什麼是 SOC 2 合規性?

SOC 2 是服務組織的自願合規標準,由美國註冊會計師協會 (AICPA) 制定,規定了組織應如何管理客戶資料。該標準基於以下信任服務條件:安全性、可用性、處理完整性、機密性、隱私。 SOC 2 報告是根據每個組織的獨特需求量身定制。 根據其特定的業務實踐,每個組織都可以設計遵循一個或多個信任原則的控制項。 這些內部報告為組織及其監管機構、業務合作夥伴和供應商提供有關組織如何管理其資料的重要資訊。 SOC 2 報告有兩種類型:

  • 類型 I 描述組織的系統,以及系統設計是否符合相關信任原則。
  • 類型 II 詳細說明這些系統的運營效率。

免費 CSPM 試用 下載資料表

SOC 2 合規性:基礎知識與 4 步合規檢查清單

為什麼 SOC 2 合規性很重要?

符合 SOC 2 要求的合規表示組織保持高水準的資訊安全。嚴格的合規性要求(透過現場審核進行測試)有助於確保敏感資訊得到負責任的處理。

 

符合 SOC 2 提供:

  • 改進的資訊安全實踐—透過 SOC 2 指南,組織可以更好地防禦網路攻擊並防止違規。
  • 競爭優勢– 因為客戶更喜歡與能夠證明他們擁有可靠資訊安全實踐的服務提供者合作,特別是在 IT 和雲端服務方面。

誰可以執行 SOC 稽核?

SOC 審計只能由獨立的會計師(註冊會計師)或會計公司進行。

 

AICPA 制定了專業標準,旨在規範 SOC 審計師的工作。 此外,必須遵守與審計的規劃,執行和監督有關的某些指導方針。 所有 AICPA 稽核都必須經過同行審核。

 

CPA 組織可以聘請具有相關信息技術(IT)和安全技能的非 CPA 專業人員來準備 SOC 審計,但最終報告必須由會計師提供和披露。

 

如果 CPA 進行的 SOC 審計成功,服務組織可以將 AICPA 標誌添加到其網站。

SOC 2 安全性標準:四步驟檢查清單

安全性是 SOC 2 合規性的基礎,也是所有五個信任服務標準通用的廣泛標準。

 

SOC 2 安全原則專注於防止未經授權使用組織處理的資產和數據。 此原則要求組織實施存取控制,以防止惡意攻擊、未經授權刪除數據、濫用、未經授權的修改或披露公司信息。

 

以下是基本 SOC 2 合規性檢查表,其中包括涵蓋安全標準的控制措施:

  1. 存取控制 — 對資產的邏輯和實體限制,以防止未經授權人員存取。
  2. 變更管理 — 管理 IT 系統變更的受控流程,以及防止未經授權變更的方法。
  3. 系統作業-可監控持續作業、偵測並解決組織程序中的任何偏差的控制項。
  4. 降低風險-可讓組織識別風險,以及回應和減輕風險,同時處理任何後續業務的方法和活動。

 

請記住,SOC 2 標準並不準確規定組織應該做什麼 —— 它們可以解釋。 公司負責選擇和實施涵蓋每個原則的控制措施。

SOC 2 合規性要求:其他標準

安全涵蓋基礎知識。 但是,如果您的組織從事金融或銀行業,或在隱私和保密至關重要的行業中運營,您可能需要滿足更高的合規標準。

 

客戶更喜歡完全符合所有五個 SOC 2 原則的服務供應商。 這表明您的組織堅定地遵守資訊安全實踐。

 

除了基本安全原則之外,以下是如何遵守其他 SOC 2 原則:

  • 可用 — 客戶可以根據協議的使用條款和服務等級訪問系統嗎?
  • 處理完整性 — 如果公司提供財務或電子商務交易,稽核報告應包含專為保護交易而設計的管理詳細資訊。 例如,傳輸是否加密? 如果公司提供 IT 服務,例如託管和數據存儲,如何在這些服務中保持數據完整性?
  • 保密 — 資料共享方式是否有任何限制? 例如,如果您的公司對處理個人識別信息(PII)或受保護的健康信息(PHI)有具體指示,則該指示應包含在審計文件中。 該文件應指定數據存儲,傳輸和訪問方法和程序,以遵守隱私政策(例如員工程序)。
  • 隱私-組織如何收集和使用客戶信息? 公司的隱私政策必須與實際操作程序一致。 例如,如果公司聲稱每次收集資料時都會警告客戶,審計文件必須準確描述公司網站或其他渠道上提供警告的方式。 個人資料管理至少必須遵循 AICPA 的隱私管理架構 (PMF)。

SOC 1 與 SOC 2

SOC 1 和 SOC 2 是兩種不同的合規標準,具有不同的目標,均由 AICPA 監管。SOC 2 不是 SOC 1 的「升級」。下表說明 SOC 1 和 SOC 2 之間的區別。

電腦 1 電腦 2
目的 協助服務組織報告與客戶財務報表相關的內部控制項。 協助服務組織報告有關保護客戶資料的內部控制項,這些內部控制項與五個信任服務條件相關。
控制目標 SOC 1 稽核涵蓋整個業務和 IT 流程中的客戶信息的處理和保護。 SOC 2 稽核涵蓋了五個原則的所有組合。 例如,某些服務組織會處理安全性和可用性,而其他組織可能會根據其營運性質和監管要求實施所有五個原則。
審計適用於 經審核組織的經理、外部稽核員、使用者實體 (經審核服務組織的客戶) 以及稽核其財務報表的 CPA。 受審計組織的高階主管、業務合作夥伴、潛在客戶、合規主管和外部審計員。
用於的稽核 協助使用者實體瞭解服務組織控制對其財務報表的影響。 監督服務組織、供應商管理計劃、內部公司治理和風險管理流程,以及監管監管。

SOC 2 合規與檢查點

Many Check Point’s products met the SOC 2 Compliance applicable trust services criteria, such as-  Check Point Posture Management, Check Point Connect, Workspace Security Products, Check Point portal and more. See the full list here .