Разбиране на съответствието SOC 1 срещу SOC 2 срещу SOC 3

от

Съответствието е решаващ аспект от растежа на вашата организация.

Да предположим, че искате да управлявате SaaS бизнес и да се насочите към клиенти от средния пазар. В такъв случай трябва да спазвате приложимите правила и разпоредби и да поддържате по-силна позиция за сигурност за вашата компания.

Много организации се опитват да заобиколят тези изисквания, като прилагат въпросници за сигурност.

Така че, когато клиент или клиент поиска SOC сертификат, можете да разберете колко е важно да спазвате разпоредбите.

Съответствието с контрола на организацията на услугите (SOC) се отнася до тип сертифициране, при което дадена организация извършва одит от трета страна, който показва определени контроли, които вашата организация има. Съответствието със SOC е приложимо и за веригата за доставки и киберсигурността на SOC.

През април 2010 г. Американският институт на дипломираните експерт-счетоводители (AICPA) обяви промяната на SAS 70. Усъвършенстваният и нов одиторски стандарт е наречен Декларация относно стандартите за атестационни ангажименти (SSAE 16).

Заедно с одита на SSAE 16, три други доклада също са създадени за изследване на контрола на обслужваща организация. Те се наричат ​​SOC доклади, които съдържат три доклада – SOC 1, SOC 2 и SOC 3 доклади с различни цели.

В тази статия ще спомена всеки SOC доклад и къде да го приложа, и как се вписват в ИТ сигурността.

Ето ни!

Какво точно представлява SOC доклад?

Докладите на SOC могат да се считат за конкурентно предимство, облагодетелстващо организацията по отношение на пари и време. Той използва трети страни и независими одитори, за да изследва различни аспекти на дадена организация, включително:

  • Наличност
  • Конфиденциалност
  • поверителност
  • Целостта на обработката
  • Сигурност
  • Контроли, свързани с киберсигурността
  • Контроли, свързани с финансовата отчетност

Докладите на SOC позволяват на компанията да се чувства уверена, че потенциалните доставчици на услуги работят в съответствие с изискванията и етично. Въпреки че одитите могат да бъдат трудни, те могат да предложат огромна сигурност и доверие. Докладите на SOC помагат да се установи надеждността и надеждността на доставчика на услуги.

Освен това SOC докладите са полезни за:

  • Програми за управление на доставчици
  • Надзор на организацията
  • Регулаторен надзор
  • Процес на управление на риска и вътрешнокорпоративно управление

Защо SOC докладът е важен?

Няколко обслужващи организации, като компании за центрове за данни, доставчици на SaaS, обслужващи кредити и обработващи искове, са необходими, за да преминат SOC преглед. Тези организации трябва да съхраняват финансови данни или чувствителни данни на своите клиенти или потребителски субекти.

Така че всяка компания, предоставяща услуги на други компании или потребители, може да получи SOC изпит. Докладът на SOC не само позволява на вашите потенциални клиенти да знаят, че компанията е законна, но също така разкрива пред вас недостатъците и слабостите на вашите контроли или клиенти чрез процеси на оценка.

Какво можете да очаквате от SOC оценка?

Преди да преминете през процес на оценка на SOC, трябва да определите кой тип SOC доклад ви е необходим, който може да подхожда най-много на вашата организация. След това ще започне официален процес с оценка на готовността.

Обслужващите организации се подготвят за прегледа, като идентифицират потенциални червени знамена, пропуски, недостатъци и други. По този начин компанията може да разбере наличните опции за отстраняване на тези недостатъци и слабости.

  Всъщност лошо ли е да имате отворени 100 раздела на браузъра?

Кой може да извърши SOC одит?

Одитите на SOC се извършват от независими дипломирани експерт-счетоводители (CPA) или счетоводни фирми.

AICPA установява професионални стандарти, които имат за цел да регулират работата на SOC одиторите. В допълнение към това, организациите трябва да следват определени насоки относно изпълнението, планирането и надзора.

След това всеки одит на AICPA преминава през партньорска проверка. CPA организациите или фирмите също наемат професионалисти, които не са CPA, с умения за информационни технологии и сигурност, за да се подготвят за SOC одит. Но окончателният доклад трябва да бъде проверен и оповестен от CPA.

Нека разгледаме всеки отчет поотделно, за да разберем как работят.

Какво е SOC 1?

Основната цел на SOC 1 е да се контролират целите в рамките на документите на SOC 1 и процесните области на вътрешния контрол, които са от значение за одита на финансовите отчети на субекта потребител.

Казано по-просто, той ви казва кога услугите на организацията оказват влияние върху финансовото отчитане на субекта потребител.

Какво представлява докладът SOC 1?

Докладът SOC 1 определя контрола на обслужващата организация, приложим към контрола на субекта потребител върху финансовото отчитане. Той е проектиран да отговаря на изискванията на потребителските субекти. При това счетоводителите оценяват ефективността на вътрешния контрол на обслужващата организация.

Има два вида доклади SOC 1:

  • SOC 1 Тип 1: Този отчет обикновено се концентрира върху системата на обслужващата организация и проверява пригодността на системните контроли за постигане на целите на контрола заедно с описанието на определената дата.

Отчетите SOC 1 тип 1 са ограничени само до одитори, мениджъри и потребителски субекти, обикновено доставчиците на услуги принадлежат към която и да е обслужваща организация. Одиторът на услугата определя доклада, който покрива всички изисквания на SSAE 16.

  • SOC 1 тип 2: Този доклад има подобни мнения и анализи като в доклада SOC 1 тип 1. Но той включва виждания за ефективността на предварително установените контроли, предназначени да постигнат всички контролни цели за определен период.

В отчет SOC 1 тип 2 контролните цели водят до потенциални рискове, които вътрешният контрол иска да смекчи. Обхватът включва съответните контролни области и предлага разумни гаранции. Също така се казва, че има ограничение за извършване само на разрешени и подходящи действия.

Каква е целта на SOC 1?

Както вече обсъдихме, SOC 1 е първата част от серията Контрол на организацията на услугите, която се отнася до вътрешния контрол във финансовото отчитане. Приложим е за предприятия, които директно взаимодействат с финансови данни за партньори и клиенти.

По този начин той осигурява взаимодействието на организацията, съхранява финансовите отчети на потребителите и ги предава. Въпреки това докладът SOC 1 помага на инвеститори, клиенти, одитори и ръководство да оценят вътрешния контрол около финансовото отчитане в рамките на насоките на AICPA.

Как да поддържаме съответствие със SOC 1?

Съответствието със SOC 1 определя процеса на управление на всички контроли на SOC 1, добавени в рамките на отчета SOC 1 за определен период. Той гарантира ефективността на действието на правилата SOC 1.

Контролите обикновено са ИТ контроли, контроли на бизнес процеси и т.н., използвани за предлагане на разумна увереност въз основа на контролните цели.

Какво е SOC 2?

SOC 2, разработен от AICPA, описва критериите за контролиране или управление на клиентска информация въз основа на 5 принципа за предоставяне на надеждни услуги: Тези принципи са:

  • Наличността включва възстановяване след бедствие, обработка на инциденти със сигурността и наблюдение на производителността.
  • Поверителност: Включва криптиране, двуфакторно удостоверяване (2FA) и контрол на достъпа.
  • Сигурност: Включва откриване на проникване, двуфакторно удостоверяване и защитни стени за мрежа или приложение.
  • Поверителност: Включва контрол на достъпа, криптиране и защитни стени на приложения.
  • Целостта на обработката: Включва мониторинг на обработката и осигуряване на качеството.

SOC 2 е уникален за всяка организация поради строгите си изисквания, за разлика от PCI DSS. Със специфични бизнес практики всеки дизайн има свой контрол, за да отговаря на множество принципи на доверие.

  Работите ли с престъпник? Ето как да разберете

Какво представлява докладът SOC 2?

Докладът SOC 2 позволява на обслужващите организации да получават и споделят доклад със заинтересованите страни, за да опишат общите; ИТ контроли, които са сигурни на място.

Има два вида доклади SOC 2:

  • SOC 2 Тип 1: Той описва системите на доставчика и казва дали дизайнът на доставчика е подходящ да отговаря на принципите на доверие.
  • SOC 2 Тип 2: Той споделя подробности за оперативната ефективност на системите на доставчика.

SOC 2 се различава от организация до организация по отношение на рамки и стандарти за информационна сигурност, тъй като няма определени изисквания. AICPA предоставя критерии, които сервизната организация избира, за да демонстрира контрола, който има, за да защити предлаганите услуги.

Каква е целта на SOC 2?

Съответствието със SOC 2 показва, че организацията контролира и поддържа високо ниво на информационна сигурност. Стриктното спазване позволява на организациите да гарантират, че тяхната критична информация е безопасна.

При спазване на SOC 2 ще получите:

  • Подобрени практики за сигурност на данните, при които организацията се защитава от кибератаки и пробиви в сигурността.
  • Конкурентно предимство, тъй като клиентите искат да работят с доставчици на услуги със солидни практики за сигурност на данните, особено за облачни и ИТ услуги.

Той ограничава неразрешеното използване на данните и активите, с които една организация борави. Принципите за сигурност изискват от организациите да добавят контроли за достъп, за да защитят данните от злонамерени атаки, злоупотреба, неоторизирано разкриване или промяна на фирмена информация и неоторизирано изтриване на данни.

Как да поддържаме съответствие със SOC 2?

Съответствието със SOC 2 е доброволен стандарт, разработен от AICPA, който определя как една организация управлява информацията за своите клиенти. Стандартът е описан с пет критерия за надеждни услуги, т.е. сигурност, интегритет на обработката, поверителност, поверителност и наличност.

Съответствието със SOC е съобразено с нуждите на всяка организация. В зависимост от бизнес практиките, една организация може да избере контроли за проектиране, които трябва да следват един или повече принципа на доверителната услуга. Той обхваща всички услуги, включително DDoS защита, балансиране на натоварването, анализ на атаки, сигурност на уеб приложенията, доставка на съдържание чрез CDN и др.

С прости думи, съответствието на SOC 2 не е описателен списък от инструменти, процеси или контроли; вместо това той цитира необходимостта от критерии, които са от решаващо значение за поддържането на информационната сигурност. Това позволява на всяка организация да приеме най-добрите процеси и практики, подходящи за нейните операции и цели.

По-долу е контролният списък за основно съответствие на SOC 2:

  • Контрол на достъпа
  • Системни операции
  • Намаляване на риска
  • Управление на промените

Какво е SOC 3?

SOC 3 е процедура за одит, която AICPA разработва, за да определи силата на вътрешния контрол на обслужващата организация върху центровете за данни и облачната сигурност. Рамката SOC 3 също се основава на критерии за доверителни услуги, които включват:

  • Сигурност: Системите и информацията са защитени срещу неоторизирано разкриване, неоторизиран достъп и повреда на системите.
  • Целостта на процеса: Системната обработка е валидна, точна, разрешена, навременна и пълна, за да отговори на изискванията на субекта.
  • Наличност: Системите и информацията са налични за използване и работа, за да отговорят на изискванията на субекта.
  • Поверителност: Личната информация се използва, разкрива, унищожава, съхранява и събира, за да отговори на изискванията на субекта.
  • Поверителност: Информацията, определена като критична, е защитена, за да отговори на изискванията на субекта.

С помощта на SOC 3 обслужващите организации определят кои от тези критерии за Доверителни услуги се прилагат към услугата, която предлагат на клиентите. Освен това ще намерите допълнително отчитане, изисквания за ефективност и насоки за прилагане в Изявленията относно стандартите.

Какво представлява докладът SOC 3?

Докладите на SOC 3 имат същата информация като SOC 2, но се различават по отношение на аудиторията. Докладът SOC 3 е предназначен само за широка публика. Тези отчети са кратки и не включват точно същите данни като доклад SOC 2. Те са изградени, подходящи за заинтересовани страни и информирана публика.

  Как да проверите батерията на Airpods и да поддържате здравето на батерията

Тъй като докладът SOC 3 е по-общ, той може да бъде споделен бързо и открито на уебсайта на компанията, заедно с печат, описващ неговото съответствие. Помага да се върви в крак с международните счетоводни стандарти.

Например AWS позволява публично изтегляне на доклада SOC 3.

Каква е целта на SOC 3?

Компаниите, особено малките или новосъздадените, обикновено нямат достатъчно ресурси, за да контролират или поддържат определени основни услуги вътрешно. Поради това тези компании често възлагат услугите на доставчици трети страни, вместо да инвестират допълнителни усилия или пари в изграждането на нов отдел за тези услуги.

Следователно аутсорсингът е по-добър вариант, но може да бъде рисковано. Причината е, че една организация споделя клиентски данни или чувствителна информация с доставчици трети страни в зависимост от услугите, които организацията избира да възложи на външни изпълнители.

Организациите обаче трябва да си партнират само с доставчици, които демонстрират съответствие със SOC 3.

Съответствието със SOC 3 се основава на AT-C раздел 205 и AT-C раздел 105 от SSAE 18. То включва основната информация от описанието на независимото ръководство и одиторския доклад. Прилага се за всички доставчици на услуги, съхраняващи информация за клиенти в облака, включително PaaS, IaaS и SaaS доставчици.

Как да поддържаме съответствие със SOC 3?

SOC 3 е последващата версия на SOC 2, така че процедурата за одит е същата. Одиторите на услугите търсят следните политики и контроли:

След като одитът приключи, одиторът генерира доклад въз основа на констатациите. Но докладът на SOC 3 е много по-малко подробен, тъй като споделя само информацията, необходима на обществеността. Сервизната организация свободно споделя резултатите след приключване на окончателния одит за маркетингови цели. Той ви казва върху какво да се съсредоточите, за да преминете одита. Така че сервизната организация се съветва да:

  • Внимателно изберете контролите.
  • Извършете оценка, за да идентифицирате пропуските в контролите
  • Разберете редовната дейност
  • Опишете следващите стъпки за предупреждение за инцидент
  • Потърсете квалифициран сервизен одитор, който да извърши финалния преглед

След като вече имате някаква представа за всеки тип съответствие, нека разберем разликите между трите, за да разберем как помагат на всяка фирма да стои на пазара.

SOC 1 срещу SOC 2 срещу SOC 3: Разлики

Следващата таблица описва целите и ползите от всеки SOC доклад.

SOC 1SOC 2SOC 3 Дава становища относно дизайна от тип 1 и дизайна или експлоатацията от тип 2, включително процедури за изпитване и резултати. Един продукт за справяне с изискванията на партньорите относно операциите на организацията, включително резултати и процедури. Подобно на съответствието със SOC 2, но съдържа по-малко информация . Той не включва тестови процедури, резултати или контроли. Контролира изискванията, които са от съществено значение за вътрешния контрол около финансовото отчитане. Нефинансовите контроли се оценяват с петте принципа на доверие, които са от съществено значение за предмета. Зависи и от петте доверителни услуги Критерии. Ограничено разпространение до клиенти и одитори Регулаторите с ограничено разпространение, клиентите и одиторите ще бъдат определени в доклада. Подпомагане на клиентския маркетинг. Неограничено разпространение Поддържа прозрачност на описанието, контрола, процедурата и резултата на системата. Осигурява ниво на прозрачност, точно подобно на SOC 1 Общото разпространение на отчетите за маркетингови ползи. Фокусира се върху финансовия контрол. Фокусира се върху оперативния контрол. Подобен е на SOC 2, но с по-малко информация. Описва системите на обслужващата организация. Описва също системите на обслужващата организация. Описва становището на CPA относно адекватния контрол на предприятието върху система. Отчита вътрешния контрол. Отчита наличността, поверителността, поверителността, целостта на обработката и контролите за сигурност. Подобно на SOC 2. Офисът на контролера на потребителите и одиторът на потребителите използват SOC 1. Той се споделя съгласно NDA от регулатори, ръководство и други. Достъпен е за обществеността. Повечето одитори са „Трябва да знаят“. Повечето заинтересовани страни и клиенти „Трябва да знаят“ .”Широка общественостПример: обработващи медицински искове.Пример: компания за съхранение в облак.Пример: публично предприятие.

Заключение

Решаването кое SOC съответствие ще бъде най-подходящо за вашата организация изисква да визуализирате типа информация, с която работите, независимо дали това са данните на вашите клиенти или вашите.

Ако предлагате услуги за обработка на заплати, може да искате да използвате SOC 1. Ако обработвате или хоствате клиентски данни, може да се нуждаете от отчет SOC 2. По същия начин, ако се нуждаете от по-малко формално съответствие, което е най-добро за маркетингови цели, може да искате да използвате доклад SOC 3.