SOC 2, אויך באקאנט ווי סערוויס אָרגאַניזאַציע קאָנטראָל 2, איז אַ קריטעריאָן און קאָנטראָלירן פּראָצעדור גירד צו טעק קאָמפּאַניעס און פּראַוויידערז וואָס קראָם קאַנפאַדענטשאַל קונה דאַטן אין די וואָלקן.
SOC 2 איז אַ סכום פון גיידליינז פֿאַר העסקעם רעקווירעמענץ פֿאַר קאָמפּאַניעס וואָס נוצן וואָלקן-באזירט סטאָרידזש פון קונה דאַטן. SOC 2 איז אַ יקערדיק קאָמפּאָנענט פון דיין אָרגאַניזאַציע ס רעגולאַטאָרי פאַרזע, פאַרקויפער פאַרוואַלטונג מגילה און גאַווערנאַנס.
SOC 2 איז אַ טעכניש קאָנטראָלירן, און עס ריקווייערז פולשטענדיק אינפֿאָרמאַציע זיכערהייַט פּאַלאַסיז און פּראָוסידזשערז צו זיין געשריבן און נאכגעגאנגען.
באשאפן דורך די אַודיטינג סטאַנדאַרדס באָרד פון די אמעריקאנער אינסטיטוט פון סערטאַפייד פּובליק אַקאַונטאַנץ (AICPA), SOC 2 איז עקספּרעסלי דיזיינד פֿאַר סערוויס פּראַוויידערז סטאָרינג קונה דאַטן אין די וואָלקן. דעם מיטל אַז SOC 2 אַפּלייז צו כּמעט יעדער סאַאַס פירמע, ווי געזונט ווי יעדער פירמע וואָס ניצט די וואָלקן צו קראָם קונה דאַטן און אינפֿאָרמאַציע פון זייער קאַסטאַמערז.
דער ציל פון אַ SOC 2 באַריכט איז צו אָפּשאַצן אַן די אינפֿאָרמאַציע סיסטעמען פון די אָרגאַניזאַציע וועגן זייער זיכערהייט, אַוויילאַבילאַטי, פּראַסעסינג אָרנטלעכקייַט, קאַנפאַדענשיאַלאַטי און פּריוואַטקייט.
איידער 2014, בלויז קאָמפּאַניעס וואָס צושטעלן באַדינונגס אין די וואָלקן זענען פארלאנגט צו טרעפן SOC 1 העסקעם רעקווירעמענץ. דערווייַל, יעדער פירמע וואָס סטאָרינג קונה דאַטן אין די וואָלקן מוזן טרעפן SOC 2 רעקווירעמענץ צו מינאַמייז ריזיקירן און ויסשטעלן צו די דאַטן.
מיר זענען אַזוי צופרידן אַז מיר געפֿונען דעם לייזונג, עס געמאכט אַלץ פּאַסיק צוזאַמען.
טשאָאָסינג צו באַשיצן קעגן דאַטן בריטשיז איז ניט נאָר אַ דיפענסיוו סטראַטעגיע. דאָס קען אויך העלפֿן דיין פירמע צו וואַקסן, וואָס איר קענען טאָן דורך דורכגיין אַ SOC 2 קאָנטראָלירן צו פאַרזיכערן קאַסטאַמערז און פּראַספּעקס אַז זייער דאַטן זענען זיכער פון בייזע טרעץ ווי דאַמידזשינג בריטשיז!
SOC 2 העסקעם קענען פארשטארקן אַ פירמע 'ס שעם דורך דאַקיומענטינג, יוואַליוייטינג און ימפּרוווינג זייַן ינערלעך קאָנטראָלס.
טיפּ 2 סערטאַפאַקיישאַן איז נישט די בלויז SOC באַריכט קאָמפּאַניעס קענען פאַרדינען, אָבער עס איז איינער פון די מערסט שטאַרק.
SOC 2 טיפּ 2 סערטאַפאַקיישאַן קענען נוץ אָרגאַנאַזיישאַנז אין די פאלגענדע וועגן:
א SOC 1 באַריכט פאָוקיסיז אויף די פאָרשטעלונג פון אַוצאָרסינג באַדינונגס דורך אָרגאַנאַזיישאַנז וואָס זענען באַטייַטיק צו אַ פירמע 'ס פינאַנציעל ריפּאָרטינג.
א SOC 2 באַריכט אַדרעסז די ריסקס פון אַוצאָרסינג צו דריט-פּאַרטיי פּראַוויידערז אין געביטן וואָס זענען נישט פינאַנציעל ריפּאָרטינג. די ריפּאָרץ פאַרלאָזנ זיך Trust Services Criteria, קאַווערינג פינף קאַטעגאָריעס: זיכערהייַט, אַוויילאַבילאַטי, פּראַסעסינג אָרנטלעכקייַט, קאַנפאַדענשיאַלאַטי און פּריוואַטקייט.
SOC 3 ריפּאָרץ זענען ענלעך צו SOC 2 ריפּאָרץ. זיי זענען גענעראַל-נוצן ריפּאָרץ אַז די סערוויס אָרגאַניזאַציע קענען נוצן ווי אַ פֿאַרקויף געצייַג און צושטעלן פּראָספּעקטיוו קאַסטאַמערז.
SOC 2 ריפּאָרץ באַווייַזן צו די יפעקטיוונאַס פון די ינערלעך קאָנטראָלס פון אַ סערוויס אָרגאַניזאַציע פֿאַר פינף Trust Services קאַטעגאָריעס (אַמאָל באקאנט ווי צוטרוי באַדינונגס פּרינסאַפּאַלז) געגרינדעט דורך AICPA.
אָרגאַנאַזיישאַנז וועט פּיריאַדיקלי אָפּשאַצן די יפעקטיוונאַס פון זייער פּאַלאַסיז און פּראָוסידזשערז גאַווערנינג אַנאָטערייזד אַקסעס צו אינפֿאָרמאַציע און נעמען צונעמען טריט ווען אַ בריטש אַקערז.
די אינפֿאָרמאַציע און סיסטעמען אין אַן אָרגאַניזאַציע דאַרפֿן צו זיין בארעכטיגט פֿאַר נוצן און אַפּעריישאַנאַל צו טרעפן די אַבדזשעקטיווז פון די ענטיטי.
די סיסטעם פּראַסעסאַז די טראַנסאַקטיאָן אַקיעראַטלי, אין צייט און מיט דערלויבעניש.
אויב דאַטן זענען גערעכנט ווי קאַנפאַדענשאַל, אַקסעס און אַנטפּלעקונג מוזן זיין לימיטעד צו אַ ספּעסיפיעד גאַנג פון מענטשן. ביישפילן אַרייַננעמען פירמע פּערסאַנעל, געשעפט פּלאַנז, גייסטיקע פאַרמאָג און אנדערע שפּירעוודיק פינאַנציעל אינפֿאָרמאַציע.
פּערסאַנאַלי ידענטיפיאַבלע אינפֿאָרמאַציע (PII) מוזן זיין געזאמלט, געוויינט, דיסקלאָוזד און דיספּאָוזד אויף אַ זיכער וועג. פּראַטעקטינג קונה און קליענט אינפֿאָרמאַציע פון אַנאָטערייזד אַקסעס איז אַ העכסט בילכערקייַט פֿאַר סערוויס אָרגאַנאַזיישאַנז וואָס פּראָצעס, קראָם אָדער טראַנסמיסיע דאַטן וואָס געהערן צו פונדרויסנדיק קלייאַנץ.
בוך אַ טיילערד האַנט-אויף סעסיע
באזירט אויף דיין באדערפענישן און צילן
ספר דיין דעמאָ
SOC 2 איז אַן אַדאַטינג פּראָצעדור וואָס מאכט זיכער דיין סערוויס פּראַוויידערז פירן דיין דאַטן סיקיורלי צו באַשיצן די אינטערעסן פון איר און דיין אָרגאַניזאַציע. SOC 2 העסקעם איז אַ מינימאַל פאָדערונג פֿאַר זיכערהייט-באַוווסטזיניק געשעפטן ווען איר באַטראַכטן אַ סאַאַס שפּייַזער.
SOC 2 איז נישט אַ פּריסקריפּטיוו רשימה פון קאָנטראָלס, מכשירים אָדער פּראַסעסאַז. אַנשטאָט, עס גיט די קרייטיריאַ וואָס מוזן זיין אין פּלאַץ טייַנען געזונט אינפֿאָרמאַציע זיכערהייַט. דאָס לעץ יעדער פירמע אַדאַפּט פּראַקטיסיז און פּראָוסידזשערז באַטייַטיק צו זייַן אַבדזשעקטיווז און אַפּעריישאַנז.
ISMS.online קענען צושטעלן איר מיט אַ פּלאַטפאָרמע צו באַקומען איר אויף די וועג צו דערגרייכן סאָק 2 העסקעם. יעדער אָפּטיילונג פון SOC 2 איז דיטיילד אין די זיכער פּלאַטפאָרמע, וואָס מאכט עס גרינג צו נאָכפאָלגן. דאָס ראַדוסאַז דיין ווערקלאָוד, קאָס און די דרוק פון נישט וויסן אויב איר האָט געטאן אַלץ רעכט.
פילע בענעפיץ פון סאָק 2 העסקעם אַרייַננעמען:
בוך אַ טיילערד האַנט-אויף סעסיע
באזירט אויף דיין באדערפענישן און צילן
ספר דיין דעמאָ
מיר זענען פּרייַז-עפעקטיוו און שנעל
א SOC 2 קאָנטראָלירן קענען זיין דורכגעקאָכט בלויז דורך אַ אָדיטאָר מיט אַ דערלויבעניש פון די סערטיפיעד פּובליק אַקקאָונטאַנט (קפּאַ) פירמע, ספּעשאַלייזינג אין אינפֿאָרמאַציע זיכערהייט.
אַדאַטערז וואָס דורכפירן SOC אַדאַץ זענען רעגיאַלייטאַד דורך און מוזן אַדכיר צו די כּללים באַשטימט דורך די AICPA.
אין אַדישאַן, אַ קאָנטראָלירן מוזן נאָכגיין ספּעציפיש גיידאַנס פֿאַר פּלאַנירונג און עקסאַקיוטינג פּראָוסידזשערז. AICPA מיטגלידער מוזן אויך דורכגיין אַ ייַנקוקנ רעצענזיע צו ענשור אַז די אַדאַץ זיי פירן זענען דורכגעקאָכט לויט פּאַסיק אַדאַטינג סטאַנדאַרדס.
א SOC 2 באַריכט אַשורז סערוויס אָרגאַניזאַציע קלייאַנץ, פאַרוואַלטונג און באַניצער ענטיטיז פון די פּאַסיק און יפעקטיוונאַס פון זיכערהייט-באַטייַטיק קאָנטראָלס.
די SOC 2 קאָנטראָלירן בכלל כולל די פאלגענדע:
בשעת SOC 2 רעפערס צו אַ סכום פון קאָנטראָלירן ריפּאָרץ, ISO 27001 איז אַ סטאַנדאַרט וואָס יסטאַבלישיז רעקווירעמענץ פֿאַר אַן אינפֿאָרמאַציע זיכערהייט מאַנאַגעמענט סיסטעם (ISMS).
די קשיא זאָל אויך נישט זיין יסאָ קסנומקס אָדער SOC 2, ווייַל SOC 2 איז אַן קאָנטראָלירן באַריכט און ISO 27001 איז אַ נאָרמאַל פֿאַר גרינדן אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעמען. עס קענען זיין וויוד ווי איינער פון די אַוטפּוץ וואָס קענען זיין איבערגעגעבן דורך אַן ISMS ימפּלאַמענטיישאַן.
ISO 27001 סערטאַפאַקיישאַן איז ניט מאַנדאַטאָרי צו שאַפֿן אַ SOC 2 באַריכט, אָבער אַן ISO 27001 ISMS קענען צושטעלן אַ האַרט יקער פֿאַר פּריפּערינג דעם דאָקומענט אָן הויפּט נאָך קאָס און מי. דאָס וועט פאַרגרעסערן קאַסטאַמערז 'בטחון אַז די אָרגאַניזאַציע קענען באַשיצן זייער אינפֿאָרמאַציע.
- | ISO / יעק קסנומקס | SOC 2 |
---|---|---|
ביניען | אינטערנאציאנאלע סטאַנדאַרד | אַטעסטאַטיאָן סטאַנדאַרד |
אָרט | ווערלדווייד | USA באזירט |
וואָס איז אַודיטעד? | די פּלאַן און אַפּערייטינג יפעקטיוונאַס פון דיין אינפֿאָרמאַציע זיכערהייט מאַנאַגעמענט סיסטעם (ISMS) אין אַ צייט | טיפּ 1: די פּלאַן פון קאָנטראָלס אין אַ צייט. טיפּ 2: די פּלאַן און אַפּערייטינג יפעקטיוונאַס פון קאָנטראָלס איבער אַ צייט |
רעזולטאַט | א קאָנטראָלירן באַריכט איז צוגעשטעלט צו דער אָרגאַניזאַציע און אַן ISO באַווייַזן - אויב סערטאַפאַקיישאַן איז געגעבן | SOC 2 אַטטעסטאַטיאָן באריכט - SOC 2 איז נישט אַ סערטאַפאַקיישאַן |
עקספּעריישאַן | קסנומקס יאָרן | קסנומקס יאָר |
טראַסטיד סערוויס קריטעריאַ | ISO/IEC 27001 קאָנטראָל & רעקווירעמענץ |
---|---|
TSC - זיכערהייט | A.6.1.5 (אינפֿאָרמאַציע זיכערהייט אין פּרויעקט פאַרוואַלטונג - 1 קאָנטראָל) |
A.6 (מאָביל דעוויסעס און טעלעוואָרקינג - 2 קאָנטראָלס) | |
A.8.1.3 (אַקסעפּטאַבאַל נוצן פון אַסעץ - 1 קאָנטראָל) | |
A.11.2 (עקוויפּמענט - 9 קאָנטראָלס) | |
A.13 (קאָמוניקאַטיאָנס זיכערהייט - 7 קאָנטראָלס) | |
TSC - קאַנפאַדענשיאַלאַטי | A.8.2 (אינפֿאָרמאַציע קלאַסאַפאַקיישאַן - 3 קאָנטראָלס) |
A.13.2 (אינפֿאָרמאַציע אַריבערפירן - 3 קאָנטראָלס) | |
A.9.1 (ביזנעס רעקווירעמענץ פון אַקסעס קאָנטראָל - 2 קאָנטראָלס) | |
A.9.2 (באַניצער אַקסעס פאַרוואַלטונג - 6 קאָנטראָלס) | |
A.9.4 (סיסטעם און אַפּלאַקיישאַן אַקסעס קאָנטראָל - 5 קאָנטראָלס) | |
TSC - פּראַסעסינג אָרנטלעכקייַט | A.14 (סיסטעם אַקוואַזישאַן, אַנטוויקלונג און וישאַלט - 13 קאָנטראָלס) |
TSC - אַוואַילאַביליטי | A.17 (אינפֿאָרמאַציע זיכערהייט אַספּעקץ פון געשעפט קאַנטיניויישאַן פאַרוואַלטונג - 4 קאָנטראָלס) |
TSC - פּריוואַטקייט | A.18.11 (ידענטיפיקאַטיאָן פון אָנווענדלעך געסעצ - געבונג און קאַנטראַקטשואַל רעקווירעמענץ - 1 קאָנטראָל) |
A.18.1.4 (פּריוואַטקייט און שוץ פון פּערסאַנאַלי ידענטיפיאַבלע אינפֿאָרמאַציע - 1 קאָנטראָל) |
איך אַוואַדע וואָלט רעקאָמענדירן ISMS.online, עס מאכט באַשטעטיקן און אָנפירונג דיין ISMS ווי גרינג ווי עס קענען באַקומען.
אראפקאפיע אונדזער פריי גייד צו שנעל און סאַסטיינאַבאַל סערטאַפאַקיישאַן
ביידע טיפּ I און II SOC 2 ריפּאָרץ צושטעלן אַן אומאָפּהענגיק אַסעסמאַנט פון די סערוויס אָרגאַניזאַציע, אַרייַנגערעכנט זייער באַשרייַבונג פון קאָנטראָלס און עקספּערט מיינונגען וועגן פאַרוואַלטונג פאַרטרעטונג. די צוויי באַריכט טייפּס אויך האָבן גלייך פּראָוסידזשערז פֿאַר אַססעסס די פּאַסיק צווישן סיסטעם דיזיינז.
דער הויפּט חילוק צווישן אַ SOC 1 און SOC 2 איז אַז SOC 1 פאָוקיסיז אויף די ינערלעך קאָנטראָלס פון אַן אָרגאַניזאַציע וואָס קענען פּראַל די פינאַנציעל סטייטמאַנץ פון קאַסטאַמערז. אין קאַנטראַסט, SOC 2 פאָוקיסיז אויף אַפּעריישאַנאַל קאָנטראָלס אַוטליינד דורך די AICPA ס Trust Services Criteria.
אַרבעט דורכגעקאָכט דורך די סערוויס אָדיטאָר פֿאַר SOC 2 און SOC 3 ריפּאָרץ איז זייער ענלעך. ביידע באַריכטן צו AICPA סטאַנדאַרדס, אַזוי די קאָנטראָלס יידענאַפייד און טעסטעד זענען טיפּיקלי די זעלבע פֿאַר ביידע ריפּאָרץ. דער שליסל חילוק צווישן די צוויי סטייטמאַנץ איז אין זייער ריפּאָרטינג. א SOC 3 איז שטענדיק אַ טיפּ וו און האט נישט די אָפּציע פֿאַר טיפּ I. אַדדיטיאָנאַללי, SOC 2 ריפּאָרץ זענען לימיטעד נוצן - דיזיינד צו זיין געוויינט דורך פאַרוואַלטונג, קאַסטאַמערז און די אַדאַטערז פון זייער קונה.
SOC 3 ריפּאָרץ זענען ווייניקער דיטיילד ווי SOC 1 & 2 ריפּאָרץ ווייַל זיי אַנטהאַלטן קליין אָדער קיין קאַנפאַדענשאַל אינפֿאָרמאַציע. די סערוויס אָרגאַניזאַציע קענען פאַרשפּרייטן זיי פרילי און זענען מער צונעמען פֿאַר גענעראַל נוצן דאָקומענטן מיט קליין דעטאַל.
דער באַריכט גייט נישט פיל אין דעטאַל וועגן די סיסטעם און ווי עס אַפּערייץ, וואָס קאָנטראָלס זענען טעסטעד און די רעזולטאַטן פון די טעסץ. SOC 3 איז אַ גרויס וועג צו מאַרק זיך צו פּראָספּעקטיוו קאַסטאַמערז, אָבער, אויף זיך, SOC 3 וואָלט טיפּיקלי נישט באַפרידיקן די קראַנט קונה דאַרף אָדער זייער אַדאַטערז.