Розуміння відповідності SOC 1 проти SOC 2 проти SOC 3

Автор

Дотримання нормативних вимог є важливим аспектом розвитку вашої організації.

Припустімо, ви хочете вести бізнес SaaS і орієнтуватися на клієнтів середнього ринка. У такому випадку вам потрібно дотримуватися чинних правил і норм і підтримувати надійнішу безпеку вашої компанії.

Багато організацій намагаються обійти ці вимоги, застосовуючи анкети безпеки.

Отже, коли клієнт або клієнт вимагають сертифікат SOC, ви розумієте, наскільки важливо дотримуватись нормативних документів.

Відповідність контролю організації обслуговування (SOC) відноситься до типу сертифікації, під час якого організація виконує сторонній аудит, який показує певні засоби контролю, які має ваша організація. Відповідність SOC також стосується ланцюга постачання та кібербезпеки SOC.

У квітні 2010 року Американський інститут сертифікованих громадських бухгалтерів (AICPA) оголосив про зміну SAS 70. Удосконалений і новий стандарт аудиту отримав назву Заява про стандарти для атестаційних завдань (SSAE 16).

Разом з аудитом SSAE 16 також було створено три інші звіти для перевірки засобів контролю обслуговуючої організації. Вони називаються звітами SOC, які містять три звіти – звіти SOC 1, SOC 2 і SOC 3 із різними цілями.

У цій статті я згадаю про кожен звіт SOC, про те, де їх застосовувати та як вони вписуються в ІТ-безпеку.

Ось і ми!

Що таке звіт SOC?

Звіти SOC можна вважати конкурентною перевагою, що приносить користь організації з точки зору грошей і часу. Він використовує сторонніх і незалежних аудиторів для вивчення різних аспектів організації, зокрема:

  • Доступність
  • Конфіденційність
  • Конфіденційність
  • Цілісність обробки
  • Безпека
  • Елементи керування, пов’язані з кібербезпекою
  • Контролі, пов’язані з фінансовою звітністю

Звіти SOC дають компанії змогу бути впевненими, що потенційні постачальники послуг діють згідно з вимогами та етично. Хоча перевірки можуть бути складними, вони можуть запропонувати величезну безпеку та довіру. Звіти SOC допомагають встановити надійність і надійність постачальника послуг.

Крім того, звіти SOC корисні для:

  • Програми для управління постачальниками
  • Нагляд за організацією
  • Регуляторний нагляд
  • Процес управління ризиками та внутрішнє корпоративне управління

Чому звіт SOC важливий?

Для проходження експертизи SOC потрібні кілька організацій, що надають послуги, наприклад компанії центрів обробки даних, провайдери SaaS, служби кредитування та обробники вимог. Ці організації повинні зберігати фінансові дані або конфіденційні дані своїх клієнтів або користувачів.

Таким чином, будь-яка компанія, що надає послуги іншим компаніям або користувачам, може пройти іспит SOC. Звіт SOC не тільки дозволяє вашим потенційним клієнтам знати, що компанія є легітимною, але й розкриває перед вами недоліки та слабкі сторони ваших засобів контролю або клієнтів через процеси оцінки.

Чого ви можете очікувати від оцінки SOC?

Перш ніж проходити процес оцінки SOC, ви повинні визначити, який тип звіту SOC вам потрібен, який найбільше підходить вашій організації. Далі почнеться офіційний процес з оцінки готовності.

Обслуговуючі організації готуються до перевірки, визначаючи потенційні попередження, прогалини, недоліки тощо. Таким чином компанія може зрозуміти доступні варіанти усунення цих недоліків і слабких місць.

Хто може проводити аудит SOC?

Аудити SOC проводяться незалежними сертифікованими громадськими бухгалтерами (CPA) або бухгалтерськими фірмами.

AICPA встановлює професійні стандарти, які мають регулювати роботу аудиторів SOC. На додаток до цього, організації повинні дотримуватися певних вказівок щодо виконання, планування та нагляду.

Потім кожен аудит AICPA проходить експертну перевірку. Організації або фірми, які займаються ступенем професійного обслуговування, також наймають спеціалістів, які не є дипломованими спеціалістами та володіють навичками інформаційних технологій та безпеки, для підготовки до аудиту SOC. Але остаточний звіт повинен бути перевірений та оприлюднений CPA.

  Як автоматично пересилати текстові повідомлення на інший iPhone

Давайте розглянемо кожен звіт окремо, щоб зрозуміти, як вони працюють.

Що таке SOC 1?

Основна мета SOC 1 полягає в тому, щоб контролювати цілі в межах документів SOC 1 і обробити сфери внутрішнього контролю, які мають відношення до аудиту фінансової звітності організації-користувача.

Простіше кажучи, він повідомляє вам, коли послуги організації впливають на фінансову звітність організації-користувача.

Що таке звіт SOC 1?

Звіт SOC 1 визначає контроль організації, що надає послуги, застосовний до контролю організації-користувача над фінансовою звітністю. Він розроблений для задоволення потреб користувачів. При цьому бухгалтери оцінюють ефективність внутрішнього контролю обслуговуючої організації.

Існує два типи звітів SOC 1:

  • SOC 1 Тип 1: цей звіт, як правило, зосереджується на системі обслуговуючої організації та перевіряє придатність засобів керування системою для досягнення цілей контролю разом із описом на вказану дату.

Звіти SOC 1 типу 1 надаються лише аудиторам, менеджерам і користувачам, зазвичай постачальники послуг належать до будь-якої організації, що надає послуги. Аудитор послуг визначає звіт, який охоплює всі вимоги SSAE 16.

  • SOC 1 Тип 2: Цей звіт містить подібні думки та аналіз, як і у звіті SOC 1 Тип 1. Але він включає погляди на ефективність попередньо встановлених засобів контролю, призначених для досягнення всіх цілей контролю за певний період.

У звіті SOC 1 типу 2 цілі контролю призводять до потенційних ризиків, які внутрішній контроль хоче зменшити. Обсяг включає відповідні контрольні домени та пропонує розумні гарантії. Там також сказано, що існує обмеження на виконання лише дозволених і відповідних дій.

Яка мета SOC 1?

Як ми вже обговорювали, SOC 1 є першою частиною серії «Контроль організації обслуговування», яка стосується внутрішнього контролю фінансової звітності. Це стосується компаній, які безпосередньо взаємодіють з фінансовими даними для партнерів і клієнтів.

Таким чином, він забезпечує взаємодію організації, зберігаючи фінансові звіти користувачів і передаючи їх. Однак звіт SOC 1 допомагає інвесторам, клієнтам, аудиторам і керівництву оцінити внутрішній контроль фінансової звітності відповідно до вказівок AICPA.

Як підтримувати відповідність SOC 1?

Відповідність SOC 1 визначає процес керування всіма елементами керування SOC 1, доданими до звіту SOC 1 протягом визначеного періоду. Він забезпечує ефективність роботи правил SOC 1.

Засоби контролю – це, як правило, засоби контролю ІТ, засоби контролю бізнес-процесів тощо, які використовуються для надання достатньої впевненості на основі цілей контролю.

Що таке SOC 2?

SOC 2, розроблений AICPA, описує критерії для контролю або управління інформацією про клієнтів на основі 5 принципів надання надійних послуг: Ці принципи:

  • Доступність включає аварійне відновлення, обробку інцидентів безпеки та моніторинг продуктивності.
  • Конфіденційність: включає шифрування, двофакторну автентифікацію (2FA) і контроль доступу.
  • Безпека: включає виявлення вторгнень, двофакторну автентифікацію та брандмауери мережі або програм.
  • Конфіденційність: включає контроль доступу, шифрування та брандмауери програм.
  • Цілісність обробки: включає моніторинг обробки та забезпечення якості.

SOC 2 унікальний для кожної організації через свої жорсткі вимоги, на відміну від PCI DSS. Завдяки певній бізнес-практикі кожен дизайн має свій контроль, щоб відповідати численним принципам довіри.

Що таке звіт SOC 2?

Звіт SOC 2 дозволяє обслуговуючим організаціям отримувати та ділитися звітом із зацікавленими сторонами для опису загального; ІТ-контроль, безпечний у місці.

Існує два типи звітів SOC 2:

  • SOC 2 Тип 1: він описує системи постачальника та повідомляє, чи відповідає проект постачальника принципам довіри.
  • SOC 2, тип 2: він ділиться деталями операційної ефективності систем постачальника.
  Що означає «AFK» і як ви його використовуєте?

SOC 2 відрізняється від організації до структури щодо інформаційної безпеки та стандартів, оскільки немає визначених вимог. AICPA надає критерії, які обирає сервісна організація, щоб продемонструвати засоби контролю, які вони мають для захисту пропонованих послуг.

Яка мета SOC 2?

Відповідність SOC 2 вказує на те, що організація контролює та підтримує високий рівень інформаційної безпеки. Сувора відповідність дозволяє організаціям гарантувати безпеку своєї важливої ​​інформації.

Дотримуючись SOC 2, ви отримаєте:

  • Покращені методи безпеки даних, коли організація захищається від кібератак і порушень безпеки.
  • Конкурентна перевага, оскільки клієнти хочуть працювати з постачальниками послуг із надійними методами захисту даних, особливо для хмарних та ІТ-сервісів.

Він обмежує несанкціоноване використання даних і активів, якими оперує організація. Принципи безпеки вимагають від організацій додавати засоби контролю доступу, щоб захистити дані від зловмисних атак, неправильного використання, несанкціонованого розкриття чи зміни інформації компанії та неавторизованого видалення даних.

Як підтримувати відповідність SOC 2?

Відповідність SOC 2 — це добровільний стандарт, розроблений AICPA, який визначає, як організація керує інформацією про своїх клієнтів. Стандарт описується п’ятьма критеріями довірчих послуг, тобто безпека, цілісність обробки, конфіденційність, приватність і доступність.

Відповідність вимогам SOC адаптована до потреб кожної організації. Залежно від бізнес-практики організація може вибрати засоби контролю, які мають відповідати одному або декільком принципам довірчого обслуговування. Він поширюється на всі служби, включаючи захист від DDoS, балансування навантаження, аналітику атак, безпеку веб-додатків, доставку вмісту через CDN тощо.

Простіше кажучи, відповідність вимогам SOC 2 не є описовим переліком інструментів, процесів або елементів керування; замість цього він посилається на необхідність критеріїв, вирішальних для підтримки інформаційної безпеки. Це дозволяє кожній організації запроваджувати найкращі процеси та практики, що відповідають її діяльності та цілям.

Нижче наведено контрольний список базової відповідності SOC 2:

  • Контроль доступу
  • Системні операції
  • Зниження ризику
  • Управління змінами

Що таке SOC 3?

SOC 3 — це процедура аудиту, розроблена AICPA, щоб визначити силу внутрішнього контролю обслуговуючої організації над центрами обробки даних і безпекою в хмарі. Структура SOC 3 також базується на критеріях довірчих послуг, які включають:

  • Безпека: системи та інформація захищені від несанкціонованого розголошення, несанкціонованого доступу та пошкодження систем.
  • Цілісність процесу: системна обробка є дійсною, точною, авторизованою, своєчасною та повною відповідно до вимог організації.
  • Доступність: системи та інформація доступні для використання та роботи відповідно до вимог організації.
  • Конфіденційність: особиста інформація використовується, розкривається, утилізується, зберігається та збирається для задоволення вимог організації.
  • Конфіденційність: інформація, позначена як критична, захищена відповідно до вимог організації.

За допомогою SOC 3 обслуговуючі організації визначають, які з цих критеріїв довірчих послуг застосовуються до послуг, які вони пропонують клієнтам. Ви також знайдете додаткову звітність, вимоги до ефективності та вказівки щодо застосування в Положеннях про стандарти.

Що таке звіт SOC 3?

Звіти SOC 3 містять ту саму інформацію, що й SOC 2, але відрізняються за аудиторією. Доповідь SOC 3 призначена лише для широкої аудиторії. Ці звіти є короткими та містять не ті самі дані, що й звіт SOC 2. Вони розроблені для зацікавлених сторін та поінформованої аудиторії.

Оскільки звіт SOC 3 є більш загальним, його можна швидко та відкрито опублікувати на веб-сайті компанії разом із печаткою, що описує його відповідність. Це допомагає йти в ногу з міжнародними стандартами бухгалтерського обліку.

Наприклад, AWS дозволяє публічне завантаження звіту SOC 3.

Яка мета SOC 3?

Компанії, особливо невеликі чи стартапи, зазвичай не мають достатньо ресурсів, щоб контролювати чи підтримувати певні основні служби всередині компанії. Тому ці компанії часто передають послуги стороннім постачальникам замість того, щоб вкладати додаткові зусилля чи гроші у створення нового відділу для цих послуг.

  Як користуватися Skype на Chromebook

Таким чином, аутсорсинг є кращим варіантом, але може бути ризикованим. Причина полягає в тому, що організація ділиться даними клієнтів або конфіденційною інформацією зі сторонніми постачальниками залежно від послуг, які організація вирішила передати аутсорсингу.

Однак організації повинні співпрацювати лише з постачальниками, які демонструють відповідність SOC 3.

Відповідність SOC 3 базується на розділі 205 AT-C і розділі 105 AT-C SSAE 18. Він містить основну інформацію опису незалежного керівництва та звіт аудитора. Це стосується всіх постачальників послуг, які зберігають інформацію про клієнтів у хмарі, включаючи постачальників PaaS, IaaS і SaaS.

Як підтримувати відповідність SOC 3?

SOC 3 є наступною версією SOC 2, тому процедура аудиту така сама. Аудитори служби прагнуть дотримуватися таких політик і засобів контролю:

Після завершення аудиту аудитор створює звіт на основі висновків. Але звіт SOC 3 є набагато менш детальним, оскільки він ділиться лише інформацією, необхідною для громадськості. Обслуговуюча організація вільно ділиться результатами після завершення остаточного аудиту в маркетингових цілях. Він говорить вам, на чому зосередитися, щоб пройти аудит. Отже, сервісній організації рекомендується:

  • Ретельно вибирайте елементи керування.
  • Проведіть оцінку, щоб виявити прогалини в елементах контролю
  • Визначте регулярну діяльність
  • Опишіть наступні кроки для сповіщення про інцидент
  • Шукайте кваліфікованого аудитора послуг для проведення остаточної перевірки

Тепер, коли ви маєте певне уявлення про кожен тип відповідності, давайте зрозуміємо відмінності між ними, щоб знати, як вони допомагають кожній фірмі стояти на ринку.

SOC 1 проти SOC 2 проти SOC 3: відмінності

У таблиці нижче описано цілі та переваги кожного звіту SOC.

SOC 1SOC 2SOC 3Він надає висновки щодо конструкції типу 1 і конструкції або функціонування типу 2, включаючи процедури тестування та результати. Єдиний результат для задоволення вимог партнерів щодо операцій організації, включаючи результати та процедури. Подібно до відповідності SOC 2, але містить менше інформації . Він не включає процедури тестування, результати чи засоби контролю. Він контролює вимоги, необхідні для внутрішнього контролю щодо фінансової звітності. Нефінансовий контроль оцінюється за п’ятьма Принципами довіри, важливими для предмета. Це також залежить від п’яти довірчих служб. Критерії. Обмежений розподіл замовникам і аудиторам Обмежений розподіл регуляторів, клієнтів і аудиторів буде визначено у звіті. Допомога в маркетингу клієнтів. Необмежене розповсюдження. Зберігає прозорість опису, контролю, процедур і результатів системи. Це забезпечує рівень прозорості, точно такий же, як SOC 1Загальне розповсюдження звітів для маркетингових переваг. Він зосереджений на фінансовому контролі. Він зосереджений на операційному контролі. Він схожий на SOC 2, але містить менше інформації. Він описує системи організації, що надає послуги. Він також описує системи організації, що надає послуги. Він описує думку CPA щодо належного контролю організації над система. Він повідомляє про внутрішній контроль. Він повідомляє про доступність, конфіденційність, конфіденційність, цілісність обробки та засоби контролю безпеки. Подібно до SOC 2. Офіс контролера користувачів і аудитор користувачів використовують SOC 1. Згідно з угодою про нерозповсюдження, він надається регулюючим органам, керівництву та іншим. Він доступний для громадськості. Більшості аудиторів «Потрібно знати». Більшості зацікавлених сторін і клієнтів «Потрібно знати». .”Широка громадськістьПриклад: обробники медичних претензій.Приклад: компанія хмарного зберігання даних.Приклад: державне підприємство.

Висновок

Щоб вирішити, яка відповідність SOC буде найбільш прийнятною для вашої організації, потрібно візуалізувати тип інформації, з якою ви маєте справу, будь то дані ваших клієнтів чи ваші.

Якщо ви пропонуєте послуги з обробки заробітної плати, ви можете використовувати SOC 1. Якщо ви обробляєте або розміщуєте дані клієнтів, вам може знадобитися звіт SOC 2. Так само, якщо вам потрібна менш формальна відповідність, яка найкраще підходить для маркетингових цілей, ви можете скористатися звітом SOC 3.