Экспертизы System and Organization Controls (SOC) 2 или аудит SOC 2 актуальны для компаний-разработчиков программного обеспечения и сервисных организаций, которые поддерживают критически важные бизнес-процессы, хранят или обрабатывают информацию клиентов.
Кому необходим аудит SOC 2
Хотя аудит SOC 2 не является обязательным по закону, компании, предоставляющие программное обеспечение или услуги корпоративным клиентам, собирающие конфиденциальную информацию о клиентах или работающие в отраслях с высоким уровнем регулирования, часто считают, что аудит SOC 2 необходим, чтобы быть привлекательными для потенциальных клиентов. Отчет SOC 2 от авторитетной компании укрепляет доверие клиентов и служит отличительной чертой рынка для компаний, стремящихся привлечь широкий круг дорогостоящих клиентов.
Что такое аудит SOC 2
Процесс аудита SOC 2 был разработан для снижения нагрузки на поставщиков услуг путем создания стандартизированного отчета, который может быть выдан конечным пользователям. Процесс аудита SOC 2 основан на рекомендациях Американского института дипломированных общественных бухгалтеров (AICPA) и адаптирован к вашей компании с учетом отрасли, размера компании и архитектуры ИТ.
Аудиты SOC 2 сосредоточены на технических деталях программного обеспечения или услуг, которые вы предоставляете клиентам, а также на средствах контроля информационных технологий для поддержки безопасности и доступности платформы, базовой инфраструктуры и вспомогательных систем, безопасности и конфиденциальности данных. В отличие от аудита SOC 1, который включает оценку финансового контроля и процессов, аудиты SOC 2 носят более технический характер и касаются исключительно вопросов безопасности, доступности, целостности, конфиденциальности и секретности.
Отчеты SOC 2 охватывают одну или несколько категорий доверительных услуг, определенных Американским институтом общественных бухгалтеров (AICPA) — безопасность, доступность, целостность обработки, конфиденциальность и защита.
Безопасность
Защита информации и систем от несанкционированного доступа; раскрытие информации; нарушение доступности, целостности, конфиденциальности; или другие риски, влияющие на возможность поддержки клиентов и достижения целей компании.
Доступность
Доступность информации и систем в соответствии с контрактами и соглашениями об уровне обслуживания клиентов.
Целостность обработки
Полная, точная, своевременная и санкционированная обработка данных в системе.
Защита
Защита конфиденциальной информации в соответствии с законодательством и требованиями заказчика
Конфиденциальность данных
Сбор, использование, хранение, раскрытие и уничтожение личной информации в соответствии с политикой конфиденциальности, законами и требованиями заказчика.
Предоставление доказательств регулярных аудитов SOC 2 говорит вашим клиентам о том, что их конфиденциальная информация защищена в соответствии с современными стандартами информационной безопасности. После успешного завершения аудита SOC 2 компании могут легко получить отчет SOC 3 для более широкого распространения информации о своей ориентации на безопасность.
Процесс аудита SOC 2
Поскольку отчет SOC 2, содержащий недостатки в системе контроля, приносит больше вреда, чем пользы, процесс SOC 2 обычно начинается с оценки готовности к аудиту. Оценка готовности дает возможность сравнить текущие политики, процедуры и средства контроля вашей компании с требованиями SOC 2 и внедрить средства внутреннего контроля, специально разработанные для выполнения требований SOC, без чрезмерной нагрузки и затрат времени. Оценка обычно занимает две недели и включает в себя беседы с соответствующими членами команды, обзор внутренних операций и наблюдение за конфигурацией систем.
Каждая категория доверительных услуг включает список критериев, которые должны быть выполнены для соответствия требованиям. Чтобы определить, соответствует ли ваша организация критериям, процесс аудита SOC 2 включает в себя обсуждение с различными членами команды, наблюдение за процессами и процедурами, связанными с безопасностью, и тестирование контрольных мероприятий, проводимых для поддержки клиентов и защиты их информации.
Кто может проводить аудит SOC 2
В то время как подготовку SOC могут проводить различные консалтинговые ИТ-компании, аудит SOC могут проводить только лицензированные специалисты по аудиту и ИТ в аккредитованной фирме сертифицированного публичного бухгалтера (CPA), аккредитация которой утверждена AICPA.
Отчеты SOC пользуются доверием заинтересованных сторон, клиентов и аудиторов, поскольку они соответствуют высоким стандартам, установленным AICPA, и выполняются исключительно лицензированными, обученными и независимыми специалистами.