Подробнее о SOC 2

Примеры политик информационной безопасности

Экспертизы System and Organization Controls (SOC) 2 или аудит SOC 2 актуальны для компаний-разработчиков программного обеспечения и сервисных организаций, которые поддерживают критически важные бизнес-процессы, хранят или обрабатывают информацию клиентов.

Кому необходим аудит SOC 2

Хотя аудит SOC 2 не является обязательным по закону, компании, предоставляющие программное обеспечение или услуги корпоративным клиентам, собирающие конфиденциальную информацию о клиентах или работающие в отраслях с высоким уровнем регулирования, часто считают, что аудит SOC 2 необходим, чтобы быть привлекательными для потенциальных клиентов. Отчет SOC 2 от авторитетной компании укрепляет доверие клиентов и служит отличительной чертой рынка для компаний, стремящихся привлечь широкий круг дорогостоящих клиентов.

Что такое аудит SOC 2

Процесс аудита SOC 2 был разработан для снижения нагрузки на поставщиков услуг путем создания стандартизированного отчета, который может быть выдан конечным пользователям. Процесс аудита SOC 2 основан на рекомендациях Американского института дипломированных общественных бухгалтеров (AICPA) и адаптирован к вашей компании с учетом отрасли, размера компании и архитектуры ИТ.

Аудиты SOC 2 сосредоточены на технических деталях программного обеспечения или услуг, которые вы предоставляете клиентам, а также на средствах контроля информационных технологий для поддержки безопасности и доступности платформы, базовой инфраструктуры и вспомогательных систем, безопасности и конфиденциальности данных. В отличие от аудита SOC 1, который включает оценку финансового контроля и процессов, аудиты SOC 2 носят более технический характер и касаются исключительно вопросов безопасности, доступности, целостности, конфиденциальности и секретности.

Отчеты SOC 2 охватывают одну или несколько категорий доверительных услуг, определенных Американским институтом общественных бухгалтеров (AICPA) — безопасность, доступность, целостность обработки, конфиденциальность и защита

Безопасность

Защита информации и систем от несанкционированного доступа; раскрытие информации; нарушение доступности, целостности, конфиденциальности; или другие риски, влияющие на возможность поддержки клиентов и достижения целей компании.

Доступность

Доступность информации и систем в соответствии с контрактами и соглашениями об уровне обслуживания клиентов.

Целостность обработки

Полная, точная, своевременная и санкционированная обработка данных в системе.

Защита

Защита конфиденциальной информации в соответствии с законодательством и требованиями заказчика

Конфиденциальность данных

Сбор, использование, хранение, раскрытие и уничтожение личной информации в соответствии с политикой конфиденциальности, законами и требованиями заказчика.

Предоставление доказательств регулярных аудитов SOC 2 говорит вашим клиентам о том, что их конфиденциальная информация защищена в соответствии с современными стандартами информационной безопасности. После успешного завершения аудита SOC 2 компании могут легко получить отчет SOC 3 для более широкого распространения информации о своей ориентации на безопасность.

Процесс аудита SOC 2

Поскольку отчет SOC 2, содержащий недостатки в системе контроля, приносит больше вреда, чем пользы, процесс SOC 2 обычно начинается с оценки готовности к аудиту. Оценка готовности дает возможность сравнить текущие политики, процедуры и средства контроля вашей компании с требованиями SOC 2 и внедрить средства внутреннего контроля, специально разработанные для выполнения требований SOC, без чрезмерной нагрузки и затрат времени. Оценка обычно занимает две недели и включает в себя беседы с соответствующими членами команды, обзор внутренних операций и наблюдение за конфигурацией систем.

Каждая категория доверительных услуг включает список критериев, которые должны быть выполнены для соответствия требованиям. Чтобы определить, соответствует ли ваша организация критериям, процесс аудита SOC 2 включает в себя обсуждение с различными членами команды, наблюдение за процессами и процедурами, связанными с безопасностью, и тестирование контрольных мероприятий, проводимых для поддержки клиентов и защиты их информации.

Кто может проводить аудит SOC 2

В то время как подготовку SOC могут проводить различные консалтинговые ИТ-компании, аудит SOC могут проводить только лицензированные специалисты по аудиту и ИТ в аккредитованной фирме сертифицированного публичного бухгалтера (CPA), аккредитация которой утверждена AICPA.

Отчеты SOC пользуются доверием заинтересованных сторон, клиентов и аудиторов, поскольку они соответствуют высоким стандартам, установленным AICPA, и выполняются исключительно лицензированными, обученными и независимыми специалистами.