SOC 2 העסקעם: די דעפיניטיווע גייד

וואָס איז SOC 2?

צוטרוי איז געווען אַ האַנדשייק. הייַנט, עס איז אַ דאַטן שטעג, אַ קאָנטראָלירן קלאָץ און אַ סקרעענשאָט. צי איר זענט אַ סטאַרטאַפּ פייטינג פֿאַר דיין ערשטער פאַרנעמונג קליענט אָדער אַ וואָג-אַרויף ניגאָושיייטינג ייַנשאַפונג מיט אַ פאָרטשון 500, די קשיא איז נישט "צי איר זאָרגן וועגן זיכערהייט?" עס איז "קענען איר באַווייַזן עס?"

דאָס איז ווו SOC 2 קומט אין - ניט ווי אַ אָפּצייכן איר הענגען אויף דיין וואַנט, אָבער ווי אַ פאָרענסיק דערציילונג וואָס ווייזט, שריט דורך שריט, ווי דיין סיסטעמען טראַכטן, אַקט און ריספּאַנד אין פאַקטיש-צייט. דער פירער יגזיסץ ווייַל רובֿ דערקלערונגען פון SOC 2 לייענען ווי פּאָליטיק בינדערס אָדער פּליטקע טשעקליסץ. אָבער SOC 2 איז נישט אַ טשעקליסט. עס איז אַ סיסטעם פון צוטרוי.

דאָס איז דיין פּלאַן - ניט נאָר צו פֿאַרשטיין SOC 2, אָבער צו נוצן עס: צו ייַנרייען דיין ינערלעך פּראַסעסאַז, באַפרידיקן דיין קאַסטאַמערז און גיין אין דיין ווייַטער קאָנטראָלירן מיט וויסן אַז איר האָט אַרקאַטעקטיד די רעכט קאָנטראָלס פֿון דער ערד אַרויף.

און מיר וועלן נישט דריפּן-פיטער איר ווייג קאַנסעפּס אָדער אַבסטראַקט העסקעם טיריז. מיר וועלן גיין דורך יעדער פאַסע - פֿון באַגריף צו קאָנטראָל, פֿון פריימווערק צו פעלד זאָגן - אַזוי איר ניט בלויז "פאָרן" SOC 2 אָבער ניצן עס צו באַהערשן דיין מאַרק.

א פריימווערק געבוירן פון אַקאַונטאַביליטי

SOC 2 שטייט פֿאַר סערוויס אָרגאַניזאַציע קאָנטראָל טיפּ 2, און טראָץ דעם וואָס פילע פאָדערן טעות, עס איז נישט אַ "סערטאַפאַקיישאַן." איר טאָן ניט באַקומען SOC 2 סערטאַפייד. איר פאַרענדיקן אַ SOC 2 אַטעסטאַטיאָן באַשטעלונג, געטאן דורך אַ לייסאַנסט קפּאַ פירמע אונטער די אמעריקאנער אינסטיטוט פון סערטיפיעד פּובליק אַקאַונטאַנץ (AICPA) גיידליינז. דער דיסטינגקשאַן איז קריטיש: אַ באַווייַזן ימפּלייז אַ דורכפאַל / דורכפאַל רעזולטאַט. אַן אַטעסטאַטיאָן איז אַ נואַנסעד מיינונג, אַ משפט באזירט אויף דיין סיסטעם ס פּלאַן און פאָרשטעלונג.

וואָס מאכט SOC 2 שטאַרק איז נישט די בריוו-העאַד - דאָס איז די שטרענגקייַט. עס טוט נישט פאָרשרייַבן ספּעציפיש קאָנטראָלס ווי ISO 27001. אַנשטאָט, עס האלט איר פאַראַנטוואָרטלעך צו Trust Services Criteria (TSC) און פרעגט א פשוטע פראגע: קענען איר באַווייַזן איר טרעפן זיי? עס פאדערט ביידע פּלאַן יפעקטיוונאַס (זענען די רעכט קאָנטראָלס אין פּלאַץ?) און אַפּערייטינג יפעקטיוונאַס (האָבן זיי פליסנדיק קאַנסיסטאַנטלי איבער צייַט?).

אין אנדערע ווערטער, SOC 2 איז נישט וועגן וואָס איר זאָגן איר טאָן. עס איז וועגן וואָס איר קענען באַווייַזן אַז איר האָט געטאן.

סאָק 1, סאָק 2, סאָק 3 - וואָס איז די חילוק?

די "SOC" משפּחה כולל דריי טייפּס, יעדער דיזיינד פֿאַר פאַרשידענע פארזיכערונג אַבדזשעקטיווז:

• SOC 1: פאָקוסעס אויף פינאַנציעל ריפּאָרטינג קאָנטראָלס. טראַכטן פּייראָול פּראַוויידערז אָדער פינאַנציעל סאַאַס פּלאַטפאָרמס. דאָס איז די פעלד פון אַדאַטערז, אַקאַונטאַנץ און סאַרבאַנעס-אָקסליי.
• SOC 2: קאָווערס אַפּעריישאַנאַל צוטרוי- זיכערהייט, אַוויילאַבילאַטי, קאַנפאַדענשיאַלאַטי, פּראַסעסינג אָרנטלעכקייַט און פּריוואַטקייט. דאָס איז די דאָמינאַנט פריימווערק פֿאַר וואָלקן-באזירט באַדינונגס, סאַאַס, דאַטן פּראַסעסערז און אַפּי-ערשטער געשעפטן.
• SOC 3: א ציבור-פייסינג קיצער פון SOC 2, בדעה פֿאַר פֿאַרקויף אָדער אַלגעמיין פאַרשפּרייטונג. ווייניקער דיטיילד, אָבער נאָך גאַווערנד דורך AICPA.

אין פּראַקטיש טערמינען, אויב דיין קאַסטאַמערז פרעגן "ווי טאָן איר באַשיצן אונדזער דאַטן?" - איר זענט אין SOC 2 טעריטאָריע.

פארוואס SOC 2 איז וויכטיק

צוטרוי איז ניט נאָר אַ ווערט. עס איז אַ פּראָאָפ פליכט.

אין אַ וועלט ווו דאַטן בריטשיז האָבן ווערן אַ וויקלי כעדליין, צוטרוי איז ניט מער אַ פֿאַרקויף קלינגוואָרט - עס איז אַ קאַנטראַקטשואַל פאָדערונג. אויב איר פאַרקויפן צו אנדערע געשעפטן, ספּעציעל אין רעגיאַלייטאַד ינדאַסטריז אָדער גרויס ענטערפּריסעס, SOC 2 איז נישט אַפּשאַנאַל. עס איז די אָנהייב פונט פֿאַר קיין ערנסט שמועס.

אָבער דאָ ס דער קיקער: פילע אָרגאַנאַזיישאַנז נאָך טראַכטן SOC 2 איז נאָר אַ כערדאַל. עפּעס צו "באַקומען אויס פון די וועג" פֿאַר סאַלעס ענייבאַלינג. דער מיינדסעט געראַנטיז איר וועט לייַדן דורך דעם פּראָצעס און פאַרפירן די ביגער געלעגנהייט.

ווייַל SOC 2, ווען באהאנדלט ריכטיק, ווערט עפּעס אַנדערש: אַ סיסטעמייזד צוטרוי אַרקאַטעקטשער. עס פאָרסעס איר צו דעפינירן ווי דיין פירמע אַקשלי אַפּערייץ ווען עס קומט צו באַוואָרעניש דאַטן, ריספּאַנדינג צו טרעץ און רעגירן ינערלעך אַקאַונטאַביליטי.

ווען די אַרקאַטעקטשער איז פאַקטיש - דאַקיומענטאַד, אַפּעריישאַנאַל און אַדיטאַבאַל - איר ניט מער געסינג אין זיכערהייט. איר באַווייזן עס.

קאַמפּעטיטיוו דרוק איז שוין דאָ

מער ווי 70% פון ייַנשאַפונג טשעקליסץ אין מיטן-צו-גרויס ענטערפּריסעס איצט אַרייַננעמען SOC 2 אָדער אַן עקוויוואַלענט אַטעסטאַטיאָן פאָדערונג. אויב איר זענט אַ סאַאַס פירמע וואָס כאָופּינג צו פאַרמאַכן זעקס-פיגור דילז אָדער יקספּאַנד אין סעקטאָרס ווי פינטעטש, כעלטקער אָדער פאַרנעמונג עס, פעלן פון SOC 2 קענען דיסקוואַליפיירן איר גלייך.

און עס ס ניט נאָר פאַרנעמונג בויערס. ינקריסינגלי, סטאַרטאַפּס זיך בעטן SOC 2 פון זייער ווענדאָרס. אין אַ נול צוטרוי יקאָוסיסטאַם, יעדער לינק איז וויכטיק.

איר קאָנקורירן מער ניט מיט דער פירמע אַראָפּ די גאַס — איר קאָנקורירן מיט די ווייַטער מערסט געהאָרכיק ווערסיע פון ​​איר.

אינערלעכער קלעריטי, פונדרויסנדיק צוטרוי

די ביגאַסט, קלענסטער דיסקאַסט נוץ פון SOC 2? עס פאָרסעס איר צו דערקלערן דיין ינערלעך פּראַסעסאַז.

ווען איז געווען די לעצטע מאָל דיין ינזשעניעריע מאַנשאַפֿט ריוויוד אַקסעס רעכט אין אַלע סיסטעמען?

צי איר האָבן אַ דאַקיאַמענטאַד באַקאַפּ און ומגליק אָפּזוך סטראַטעגיע?

זענען ינסאַדאַנץ זענען טראַקט, ריוויוד און פאסטעכער אין קעסיידערדיק פֿאַרבעסערונג סייקאַלז?

SOC 2 שטעלט סטרוקטור צו די פֿראגן - און אין טאן אַזוי, עס קריייץ אַ סיסטעם פון אַפּעריישאַנאַל צייַטיקייַט וואָס גייט ווייַט ווייַטער פון אַדאַץ. עס איז אַ געצייַג פֿאַר וווּקס. פֿאַר גאַווערנאַנס. פֿאַר קאַנטיניויישאַן.

SOC 2 העסקעם איז נישט די פּרייַז פון טאן געשעפט. עס איז די פריימווערק וואָס ינייבאַלז איר צו טאָן בעסער געשעפט.

Trust Services Criteria (TSC): די פּילערז פון SOC 2

די פינף קרייטיריאַ וואָס דעפינירן אַפּעריישאַנאַל צוטרוי

SOC 2 איז באזירט אויף די Trust Services Criteria (TSC), דעוועלאָפּעד דורך די AICPA צו אַססעסס פינף דימענשאַנז פון צוטרוי אין טעכנאָלאָגיע-געטריבן סערוויס אָרגאַניזאַציעס:

1. זיכערהייַט (פארלאנגט) - די סיסטעם איז פּראָטעקטעד קעגן אַנאָטערייזד אַקסעס, ביידע גשמיות און לאַדזשיקאַל.
2. אַוואַילאַביליטי - די סיסטעם איז בארעכטיגט פֿאַר אָפּעראַציע און נוצן ווי באגאנגען אָדער מסכים.
3. פּראַסעסינג אָרנטלעכקייַט - סיסטעם פּראַסעסינג איז גאַנץ, גילטיק, פּינטלעך, בייַצייַטיק און אָטערייזד.
4. קאַנפאַדענשיאַלאַטי - אינפֿאָרמאַציע דעזיגנייטיד ווי קאַנפאַדענשאַל איז פּראָטעקטעד ווי באגאנגען אָדער מסכים.
5. אַליינקייַט - פערזענלעכע אינפֿאָרמאַציע איז געזאמלט, געוויינט, ריטיינד און דיסקלאָוזד אין קאַנפאָרמאַטי מיט קאַמיטמאַנץ.

דאָס זענען נישט בלויז אַבסטראַקט אידעאלן. יעדער קריטעריאָן איז געשטיצט דורך אַ פריימווערק פון פּראָסט קרייטיריאַ (CC1-CC9) און פאָקוס פון פאָקוס (POF)- ספּעציפיש, טעסטאַבלע פּרינסאַפּאַלז אַזאַ ווי לאַדזשיקאַל אַקסעס קאָנטראָל, ינסידענט ענטפער, טוישן פאַרוואַלטונג און ריזיקירן אַסעסמאַנץ.

טראַכטן פון די TSC ווי די אַרקאַטעקטשעראַל פּלאַן. די קאָממאָן קריטעריאַ זענען די סטראַקטשעראַל מאַסע-שייַכעס בימז. דיין קאָנטראָלס? זיי זענען די ציגל און שטאָל.

זיכערהייט: די נאָן-פאַרקויפלעך קאָר

יעדער SOC 2 באַשטעלונג מוזן דעקן די זיכערהייט קריטעריע, וואָס מאַפּס גלייַך צו אַלע פּראָסט קריטעריאַ. דאָס ינשורז אַ באַסעלינע מדרגה פון צוטרוי און אַלאַוז איר צו בויען נאָך קרייטיריאַ (למשל, אַוואַילאַביליטי, פּריוואַטקייט) באזירט אויף דיין געשעפט מאָדעל און קונה רעקווירעמענץ.

זיכערהייט קאָווערס געביטן ווי: - באַניצער אַקסעס פּראַוויזשאַנז און רעוואָקאַטיאָן - ענקריפּשאַן אין רו און אין דורכפאָר - ינסידענט דיטעקשאַן און ענטפער - נעץ מאָניטאָרינג און פּערימעטער קאָנטראָלס

דאָס איז נישט בלויז טעכניש - עס איז קולטור. צי דיין מענטשן וויסן ווי צו באַריכט ינסאַדאַנץ? זענען דיין ווענדאָרס אַססעססעד? זענען דיין פּאַלאַסיז טאַקע נאכגעגאנגען?

אָפּטיאָנאַל טוט נישט מיינען ירעלאַוואַנט

כאָטש בלויז זיכערהייט איז מאַנדאַטאָרי, איר זאָל מייַכל די רוען TSCs ווי סטראַטידזשיק ליווערידזש:

• אַוואַילאַביליטי איז יקערדיק פֿאַר סאַאַס פּלאַטפאָרמס מיט ופּטימע סלאַס.
• פּראַסעסינג אָרנטלעכקייַט ענינים אין קיין סיסטעם ווו דאַטן טראַנספאָרמאַציע אַקערז - טראַכטן בילינג ענדזשאַנז אָדער לאַדזשיסטיקס אַפּפּס.
• קאַנפאַדענשיאַלאַטי זאָל זיין אַדרעסד אויב איר פירן קונה דאַטן מיט NDAs אָדער קאַנטראַקץ אין פּלאַץ.
• אַליינקייַט איז ינקריסינגלי נייטיק אויב איר פאַרבינדן PII, ספּעציעל מיט GDPR, CCPA און HIPAA ינטערסעקטינג העסקעם לאַנדסקייפּס.

טשאָאָסינג דיין TSC פאַרנעם איז נישט וועגן טיקקינג באָקסעס - עס ס וועגן אַליינינג וואָס דיין סיסטעם טוט מיט ווי איר באַווייַזן צוטרוי.

דער ווייַטער שריט איז צו פֿאַרשטיין ווי צו סטרוקטור דיין אַטטעסטיישאַן זיך - טיפּ 1 ווס טיפּ 2, און וואָס איינער גיט איר די מייַלע דיפּענדינג אויף דיין וווּקס בינע.

SOC 2 טיפּ 1 ווס טיפּ 2: וואָס וועג גלייַכן דיין גרייטקייַט?

א מעשה פון צוויי רעדוקציעס

פארשטאנד די חילוק צווישן SOC 2 טיפּ 1 און טיפּ 2 איז קריטיש - ניט נאָר פֿאַר טשוזינג דיין קאָנטראָלירן דרך, אָבער פֿאַר אַליינינג דיין ינערלעך צייַטיקייַט צו די עקספּעקטיישאַנז פון דיין בויערס און אַדאַטערז. די צוויי פֿאָרמאַטירונגען דינען זייער פאַרשידענע סטראַטידזשיק צוועקן, און קאַנפיוזינג זיי פירט צו איינער פון די מערסט פּראָסט מיססטעפּס אין פרי-בינע העסקעם.

A טיפּ 1 באַווייַזן יוואַליוייץ צי דיין קאָנטראָל פּלאַן איז געזונט און אין פּלאַץ ווי אַ איין פונט אין צייט. עס ענטפֿערס אַ פאָוקיסט קשיא: צי איר האָבן די רעכט קאָנטראָלס אין פּלאַץ הייַנט צו טרעפן די Trust Services Criteria? דאָס מאכט טיפּ 1 ידעאַל פֿאַר קאָמפּאַניעס וואָס נאָר פאָרמאַלייזינג זייער קאָנטראָלס אָדער פּריפּערינג פֿאַר גרעסערע קלייאַנץ, ווייַל עס גיט אַ "גרייטקייט סיגנאַל" צו די מאַרק.

A טיפּ 2 באַווייַזן, אָבער, נעמט זאכן צו אן אנדער מדרגה. עס יוואַליוייץ די אַפּערייטינג יפעקטיוונאַס פון דיין קאָנטראָלס איבער אַ דיפיינד אָבסערוואַציע צייַט, טיפּיקלי ריינדזשינג פון דריי צו צוועלף חדשים. טיפּ 2 דערציילט אַ געשיכטע פון ​​קאָנסיסטענסי. עס איז נישט וועגן וואָס איר זאָגן איר טאָן - עס איז וועגן וואָס דיין קאָנטראָלירן לאָגס, וואָקטהראָוגהס, סקרעענשאָץ און אינצידענט ריפּאָרץ ווייַזן אַז איר האָט דורכגעקאָכט ריפּיטידלי.

טיפּ 1: די סטאַרטינג ליניע

אויב דיין פירמע איז אַ פרי-בינע, נאָך נישט האָבן אַלע פּאַלאַסיז ענפאָרסט, אָדער ראָולינג אויס שליסל סיסטעמען (ווי אידענטיטעט פאַרוואַלטונג אָדער מאָניטאָרינג), אַ טיפּ 1 אַטעסטאַטיאָן גיט איר אַ טאַקטיש פוטכאָולד. עס אַלאַוז איר צו זאָגן צו קאַסטאַמערז און סטייקכאָולדערז: "מיר האָבן אַרכיטעקט צוטרוי - מיר זענען גרייט צו באַווייַזן עס."

דער סיגנאַל קענען זיין ינוואַליאַבאַל אין קאָנטראַקט נאַגאָושייישאַנז. פילע קאַסטאַמערז וועלן אָננעמען אַ טיפּ 1 פֿאַר די ערשטער יאָר, ווי לאַנג ווי איר אַקטיוולי אַרבעט צו אַ טיפּ 2.

אבער היט אייך: טיפּ 1 זאָל קיינמאָל ווערן אַ העסקעם טויט-סוף. אויב איר האַלטן ביי טיפּ 1 און קיינמאָל גיינ ווייַטער צו טיפּ 2, בויערס וועלן אָנהייבן צו פרעגן צי דיין אַפּעריישאַנז זענען טאַקע דערוואַקסן.

טיפּ 2: דער דערווייַז אַז ווינס מאַרקעץ

ווען איר אַרייַן טיפּ 2 טעריטאָריע, די גאנצע קאָנטראָלירן אָביעקטיוו שיפץ. די קפּאַ פירמע וועט אָפּשאַצן ניט נאָר דיין פּאַלאַסיז אָבער דיין זאָגן פון אָפּעראַציע איבער צייַט. וואָס כולל:

• טוישן לאָגס און אַקסעס פּראַוויזשאַנז היסטאָריעס
• ינסידענט ענטפער רעקאָרדס מיט טימעסטאַמפּס
• ריזיקירן אַסעסמאַנץ וואָס זענען קעסיידער ריוויוד
• באַקקופּ און אָפּזוך בויער ריפּאָרץ

טיפּ 2 איז ווו SOC 2 ווערט אַ פאַקטיש דיפערענטשיייטער. עס ווייזט אַז איר זענט נישט בלויז געהאָרכיק אין טעאָריע - איר זענט אַפּעריישאַנאַל אַליינד אין פיר. און פֿאַר פאַרנעמונג בויערס, ספּעציעל אין הויך-ריזיקירן אָדער רעגיאַלייטאַד ווערטיקאַלז, טיפּ 2 איז געווארן טיש סטייקס.

א דערוואַקסן טיפּ 2 אַטעסטאַטיאָן, ריפּיטיד יאָר נאָך יאָר, ווערט מער ווי אַ זיכערהייט אָפּצייכן. עס ווערט ינסטיטושאַנאַל קרעדיביליטי.

אויב טיפּ 1 איז די אַרקאַטעקטשעראַל פּלאַן, טיפּ 2 איז דער דורכקוק באַריכט וואָס קאַנפערמז אַז די הויז וועט נישט ייַנבראָך אונטער דרוק.

טשאָאָסינג די רעכט וועג פאָרויס

אַזוי וואָס איז רעכט פֿאַר איר?

• קלייַבן טיפּ קסנומקס אויב:
• איר זענט אין דער פרי-בינע אָדער אין אַקטיוו גרייטקייַט מאָדע.
• איר דאַרפֿן צו באַווייַזן קאַוואָנע און ריכטונג געשווינד.

• איר גרייטן זיך פֿאַר גרעסערע אַדאַץ, אָבער איר זענט נישט גרייט צו באַווייַזן סוסטאַינעד קאָנטראָל אָפּעראַציע.

• קלייַבן טיפּ קסנומקס אויב:

• איר האָט שוין אַפּעריישאַנאַלייזד דיין שליסל קאָנטראָלס.
• קאַסטאַמערז אָדער פּאַרטנערס דאַרפן לאַנג-טערמין צוטרוי וואַלאַדיישאַן.
• איר ווילן צו נוצן SOC 2 ווי אַ לאַנג-טערמין קאַמפּעטיטיוו דיפערענטשיייטער.

און געדענקען: איר קענען יבערגאַנג פון טיפּ 1 צו טיפּ 2 אין דער זעלביקער יאָר. עטלעכע פירמס טאָן אַ טיפּ 1 אין ק 1 און אַ טיפּ 2 דורך ק 4, אַליינינג ביידע די גרייטקייט סיגנאַל און אַפּעריישאַנאַל זאָגן מיט פאַרשידענע פונקטן אין די פארקויפונג לייקע.

SOC 2 רעקווירעמענץ און קאָנטראָלס: פֿון טשעקליסט צו באַפֿעלן סיסטעם

וואָס טוט SOC 2 אַקשלי דאַרפן?

די שיינקייט פון SOC 2 - און זיין אַרויסרופן - איז אַז עס קען נישט זאָגן איר פּונקט וואָס קאָנטראָלס צו נוצן. ניט ענלעך ISO 27001, וואָס כולל אַ פּרעדעפינעד גאַנג פון קאָנטראָלס (אנעקס א), סאָק 2 יקספּעקץ איר צו דעפינירן און ינסטרומענט קאָנטראָלס וואָס ייַנרייען צו די TSC און גלייַכן דעם קאָנטעקסט פון דיין סיסטעמען.

דאָס גיט איר בייגיקייט. אבער עס אויך מיטל ווייגקייט קענען טייטן דיין קאָנטראָלירן.

אַז ס וואָס קלעריטי אין דיין קאָנטראָל סטרוקטור איז העכסט. דער אָדיטאָר טוט נישט זאָרגן אויב דיין קאָנטראָל איז פאַנטאַזיע אָדער ינאַווייטיוו. זיי זאָרגן אויב עס איז דאַקיומענטאַד, ימפּלאַמענאַד, מאָניטאָרעד און אַליינד צו איינער אָדער מער Trust Services Criteria.

דאָ איז די מערסט נואַנס: קאָנטראָלס זענען נישט בלויז קאַנפיגיעריישאַנז. זיי זענען עדות-באַקט מעשיות ווי דיין סיסטעמען רעדוצירן ריזיקירן און מקיים דיין הבטחות.

קאַטעגאָריעס פון קאָנטראָלס וואָס איז מערסט וויכטיק

כאָטש דיין ספּעציפיש קאָנטראָלס וועט בייַטן, SOC 2 אַטעסטיישאַן באַשטעלונגען יוזשאַוואַלי פאַרלאָזנ זיך אַ קאָנסיסטענט באַקבאָון פון קאַטעגאָריעס וואָס נאָכגיין די פּראָסט קריטעריאַ (CC1-CC9):

• אַקסעס קאָנטראָלס - ווער האט אַקסעס צו וואָס, ווי עס איז באוויליקט, ריוואָוקט און ריוויוד.
• לאַדזשיקאַל & גשמיות זיכערהייַט - MFA, פירעוואַללס, אַקסעס צו דאַטן צענטער, ענקריפּשאַן פּראָטאָקאָלס.
• סיסטעם אָפּעראַטיאָנס - מאָניטאָרינג, דיטעקשאַן, טוישן לאָגס, פאָרשטעלונג אַדאַץ.
• ריזיקירן פאַרוואַלטונג - ריזיקירן רעדזשיסטערז, באַהאַנדלונג פּלאַנז, רעצענזיע לאָגס.
• פאַרקויפער פאַרוואַלטונג - SLAs, פאַרקויפער באריכטן, רעכט דיליץ.
• ינסידענט ענטפער - ענטפער פּלאַנז, בריטש לאָגס, קאָמוניקאַציע רעקאָרדס.
• טוישן מאַנאַגעמענט - ווערסיעס, אַפּרווואַלז, ראָולבאַק פּלאַנז.
• באַקקופּ & רעקאָווערי - אָפסיטע סטאָרידזש, BCP / DR דרילז, רעסטעריישאַן טעסץ.

יעדער פון די קאַטעגאָריעס וועט אַנטהאַלטן קייפל קאָנטראָלס, עטלעכע אָטאַמייטיד, עטלעכע מאַנואַל, אַלע דיזיינד צו ייַנרייען כוונה מיט דערווייַז.

אין די SOC 2 אַלוועלט, אַ "קאָנטראָל" איז נישט אַ טשעקקבאָקס. עס איז אַ דערציילונג נאָדע- אַ צוטרוי אַפּאַראַט צווישן איר, דיין סיסטעמען, דיין אָדיטאָר און דיין מאַרק.

פון קאָנטראָל צו קאָנטראָלירן-גרייט עווידענסע

אַזוי וואָס מאכט אַ קאָנטראָל "גוט"? צוויי זאכן:

1. טרייסאַביליטי: איר קענען מאַפּע עס קלאר צו איינער אָדער מער Trust Services Criteria און, אָפּטיאָנאַללי, צו Points of Focus.
2. פּראַוויזאַביליטי: איר קענען באַווייַזן אַז עס איז געווען אַפּעריישאַנאַל בעשאַס די אָבסערוואַציע פֿענצטער - באַקט דורך לאָגס, פאַרשטעלן קאַפּטשערז, פּראָצעס וואַלקטראָוגהס אָדער מכשירים עקספּאָרץ.

פֿאַר בייַשפּיל: - א קאָנטראָל קען זאָגן: "כל פּראָדוקציע אַקסעס ריקוועס דאַרפן מאַנידזשיריאַל האַסקאָמע דורך Jira Service Desk." - דער אָדיטאָר וועט דערוואַרטן: - א רשימה פון ריקוועס - אַפּרווואַלז דורך די סיסטעם - טימעסטאַמפּס - ריטענשאַן פּעריאָד ענפאָרסמאַנט - סקרעענשאָץ אָדער קסוו עקספּאָרץ

אָן זאָגן, אַ קאָנטראָל איז אַ געשיכטע אָן אַ פּלאַנעווען.

אַז ס וואָס מאָדערן אָרגאַניזאַציעס זענען ווענדן צו ISMS.online, אונדזער פּלאַטפאָרמע אַלאַוז איר צו דעפינירן קאָנטראָלס, מאַפּע זיי צו TSC, און לינק לעבן זאָגן אַרטאַפאַקץ מיט פול קאָנטראָלירן טרייסאַביליטי.

דעם טורנס דיין קאָנטראָל פריימווערק אין אַ לעבעדיק, אַדיטאַבאַל מאַפּע— נישט קײן קבר־עולם.

SOC 2 קאָנטראָלירן טיימליין: וואָס צו דערוואַרטן, ווען צו צוגרייטן

פֿון פּלאַנירונג צו אַטעסטאַטיאָן: אַ רעאַליסטיש טיימליין

איינער פון די ביגאַסט פאַרבאָרגן טרעץ צו מצליח SOC 2 איז טיימליין מיסאַליינמאַנט. גרינדערס אָפט יבערנעמען אַז זיי קענען "באַקומען SOC 2" אין אַ ביסל וואָכן. אָבער אַ פאַקטיש אַטעסטאַטיאָן - ספּעציעל טיפּ 2 - ריקווייערז סטראַקטשערד פּלאַנירונג און קרייַז-פאַנגקשאַנאַל קאָואָרדאַניישאַן.

דאָ ס אַ ברייקדאַון פון די טיפּיש טיימליין:

פאַסע 1: ינערלעך גרייטקייַט (2-6 וואָכן)

• דעפינירן סיסטעם פאַרנעם
• מאַפּע סיסטעמען, מענטשן און דאַטן פלאָוז
• פּלאַן און אַפּרווו האַרץ פּאַלאַסיז
• באַשטימען קאָנטראָל אָונערז

פאַסע 2: קאָנטראָל ימפּלאַמענטיישאַן (1-3 חדשים)

• אַפּעריישאַנאַלייז קאָנטראָלס אַריבער טימז
• אָנהייבן טראַקינג לאָגס, ינסאַדאַנץ, אַפּרווואַלז
• שטעלן אַרויף מכשירים (למשל אַקסעס פאַרוואַלטונג, באַקאַפּ אָטאַמיישאַן)

פאַסע 3: עווידענסע אַקיומיאַליישאַן (בלויז טיפּ 2, 3-12 חדשים)

• לאָזן קאָנטראָלס צו אַרבעטן אין קאָנטראָלירן פֿענצטער
• קלייַבן לעבן אַרטאַפאַקץ און סקרעענשאָץ
• מאָניטאָר אויסנעמען און אינצידענט האַכלאָטע

פאַסע 4: קאָנטראָלירן דורכפירונג (4-6 וואָכן)

• אַודיטאָר קיקאָפף באַגעגעניש
• דאָקומענטאַטיאָן סאַבמישאַן
• קאָנטראָל וואַלקטראָוגהס און ינטערוויוז
• אַרויסגעבן טראַקינג און האַכלאָטע

פאַסע 5: באריכט פינאַליזאַטיאָן (2-4 וואָכן)

• אַודיטאָר פּריפּערז פּלאַן
• מאַנאַגעמענט ענטפער צו אויסנעמען
• לעצט SOC 2 מעלדונג עקספּרעס

דעפּענדינג אויף פאַרנעם און צייַטיקייַט, גאַנץ צייט-צו-אַטטעסטיישאַן ריינדזשאַז פון 2-9 חדשים. פּלאַנירונג פרי איז נישט אַפּשאַנאַל - דאָס איז דער יסוד פון הצלחה.

ווי ISMS.online אַקסעלערייץ דעם פּראָצעס

איינער פון די סיבות וואָס קאָמפּאַניעס נוצן ISMS.online איז ווייַל עס דראַמאַטיקלי קאַמפּרעסיז פאַסעס 1-3. אַנשטאָט פון בויען קאָנטראָל פראַמעוואָרקס פון קראַצן אָדער דראַונינג אין ספּרעדשיץ, איר קענען:

• ניצן פּריבילט קאָנטראָל לייברעריז מאַפּט צו TSC
• באַשטימען אָונערז און זאָגן לינקס אין אַ שערד וואָרקספּאַסע
• אַוטאָ-שפּור מיילסטאָונז מיט אַ געבויט-אין ARM מעטאַדאַלאַדזשי (אַודיט גרייטקייַט מיילסטאָונז)

דאס טורנס העסקעם פון אַ כאַאָטיש שטופּן אין אַ פּרידיקטאַבאַל, מאַנידזשאַבאַל סיקוואַנס. עס אויך קריייץ אַ איין מקור פון אמת איר קענען טיילן מיט דיין אָדיטאָר - קיין Google דרייוו נייטמערז, קיין E- בריוו פאָדעם אַרקיאַלאַדזשי.

ווייַטער רידינג

SOC 2 מכשירים און טעמפּלאַטעס: סקיילינג מיט סיסטעמען, ניט ספּרעדשיץ

מכשירים טאָן ניט פאַרבייַטן פּראָצעס - זיי פאַרשטאַרקן עס

ווען קאָמפּאַניעס צוגאַנג SOC 2 גרייטקייַט, פילע ווענדן צו פּריבוילט טעמפּלאַטעס, פּאָליטיק קיץ אָדער אָטאַמייטיד העסקעם מכשירים. עס מאכט זינען: קיינער וויל צו בויען אַלץ פֿון קראַצן. אָבער כאָטש די מכשירים פאָרשלאָגן גיכקייַט, זיי אויך פירן ריזיקירן - ספּעציעל ווען זיי ווערן סאַבסטאַטוץ פֿאַר סטראַטידזשיק קלעריטי.

טעמפּלאַטעס זענען אַקסעלערייטערז, נישט ריפּלייסמאַנץ. זיי געבן סטרוקטור צו וואָס איר וויסן איר מוזן בויען - אָבער זיי קענען נישט זאָגן איר פאַר וואָס אַ קאָנטראָל ענינים, אָדער צי אַ שטיק פון זאָגן איז עכט קאָנטראָלירן-גרייט. מכשירים זענען עפעקטיוו בלויז ווען אַליינד מיט דיין פאַקטיש אַפּערייטינג פאַקט.

דער חילוק צווישן אַ כלי וואָס העלפט און אַ כלי וואָס כינדערט ליגט אין איין וואָרט: קאָנטעקסט. אָן עס, טעמפּלאַטעס ווערן באָקסעס איר טשעק. מיט אים, זיי ווערן סקאַפאַלדינג פֿאַר צוטרוי.

וואָס צו קוקן פֿאַר אין אַ קאָמפּליאַנסע פּלאַטפאָרמע

אויב איר 'רע געגאנגען צו נוצן מכשירים (און איר זאָל), קלייַבן אַ סיסטעם וואָס גייט ווייַטער פון אָטאַמיישאַן. די רעכט פּלאַטפאָרמע זאָל ניט נאָר הילף איר באַקומען דורך דיין קאָנטראָלירן— עס זאָל דיר העלפן בויען אַ ריפּיטאַבאַל, סקאַלאַבלע העסקעם סיסטעם אַז ימפּרוווז מיט יעדער ציקל.

דאָ ס וואָס סעפּערייץ ISMS.online פֿון טשעקליסט גענעראַטאָרס און ספּרעדשיט טאָאָלקיץ:

• TSC קאָנטראָל ליבראַריעס פּרעבוילט קאָנטראָלס מאַפּט צו יעדער Trust Services קריטעריאָן מיט עדיטאַבלע פעלדער, ווערסיע און עמבעדיד זאָגן פּראַמפּס.

• עווידענסע מאַפּינג ענגינע לינק קאָנטראָלס צו פּאַלאַסיז, ​​אַפּרווואַלז, סקרעענשאָץ, לאָגס און דריט-פּאַרטיי אַטטעסטיישאַנז אין פאַקטיש-צייט.

• קאָנטראָלירן די טיימליין פּלאַננער געבויט-אין אַודיט גרייטקייַט מילעסטאָנע (ARM) מעטאַדאַלאַדזשי צו שפּור ימפּלאַמענטיישאַן און זאָגן צייַטיקייַט אַריבער טיפּ 1 און טיפּ 2 טיימליינז.

• פּאָליטיק ליפעסיקלע מאַנאַגעמענט פּלאַן, אַפּרווו, אַרויסגעבן און שפּור מאַנשאַפֿט דערקענטעניש פון ינערלעך פּאַלאַסיז אין אַ הויפט וואָרקספּאַסע.

• מולטי-פראַמעוואָרק שטיצן ייַנרייען SOC 2 מיט ISO 27001, NIST CSF, HIPAA און מער - אָן דופּליקאַט מי.

• אַודיטאָר אַקסעס & עקספּאָרץ שאַפֿן קפּאַ-פרייַנדלעך באַריכט פּאַקאַדזשאַז מיט טרייסאַבאַל זאָגן פֿעדעם און דערלויבעניש קאַנטראָולד אָדיטאָר קוקן.

דער שליסל דיפערענטשיייטער? ISMS.online טוט ניט נאָר שפּור דיין קאָנטראָלס. עס דערציילט דיין העסקעם געשיכטע מיט קאָנטראָלירן-מיינונג פאַדעלאַטי, אַלע בשעת עמבעדדינג די השתדלות אין דיין אַפּעריישאַנאַל מוסקל.

די צייַטיקייַט פון אמת העסקעם איז ומזעיק פֿאַר דיין מאַנשאַפֿט אָבער קענטיק פֿאַר דיין אָדיטאָר. עס ס פּראָצעס, קאָדאַפייד.

וואָס טעמפּלאַטעס קענען - און קענען נישט - טאָן

טעמפּלאַטעס קענען צושטעלן אַ גרויס אָנהייב: - פּאָליטיק דראַפץ וואָס גלייַכן די שפּראַך פון מאָדערן פראַמעוואָרקס. - עווידענסע טשעקליסץ טיילערד צו Trust Services Criteria. - פּרעדעפינעד קאָנטראָל מאַטריץ מיט אַליינד פונט פון פאָקוס.

אבער דאָ ס וואָס טעמפּלאַטעס קען נישט טאָן: - שנייַדער קאָנטראָלס צו דיין סיסטעמען. - דאָקומענט דיין פאַקטיש וואָרקפלאָווס. - כאַפּן פאַקטיש-צייט ינסאַדאַנץ אָדער קאָנטראָלירן לאָגס. - פאַרבייַטן קרייַז-פאַנגקשאַנאַל אָונערשיפּ און אַקאַונטאַביליטי.

מייַכל זיי ווי סקאַפאַלדינג - אָבער טאָן ניט דערוואַרטן זיי צו בויען דיין הויז.

ספר אַ דעמאָ מיט ISMS.online

איר טאָן ניט קויפן קאָמפּליאַנסע. איר בויען ינפראַסטראַקטשער.

אויב איר זענט דאָ, איר האָט שוין איינגעזען אַז SOC 2 איז מער ווי אַ רייַף צו שפּרינגען דורך. עס איז אַן אַפּעריישאַנאַל דערציילונג. עס איז אַ צוטרוי מאָטאָר. און עס זאָל זיין געבויט אויף אַ פּלאַטפאָרמע וואָס פארשטייט אַז העסקעם איז נישט אַ זייַט פּרויעקט - עס איז דיין פירמע 'ס קרעדיביליטי, סיסטעמאַטיזעד.

דאָס איז פּונקט וואָס ISMS.online איז געווען געבויט צו צושטעלן.

זען ווי עס אַרבעט

בוך אַ פערזענליכען דעמאָ צו זען ווי איר קענען:

• מאַפּע קאָנטראָלס גלייַך צו Trust Services Criteria, מיט פול זאָגן טרייסאַביליטי.
• שפּור יעדער שריט פון דיין רעדוקציע גרייטקייַט נסיעה ניצן ARM מעטאַדאַלאַדזשי.
• באַשטימען אָונערז, אָפּשאַצונג אַפּרווואַלז און לינק אַרטאַפאַקץ- אַלע אין איין זיכער, קאַלאַבערייטיוו וואָרקספּאַסע.
• יקספּאַנד אין ISO 27001 אָדער NIST CSF אָן דופּליקייטינג העסקעם מי.
• עקספּאָרט אָדיטאָר-גרייט ריפּאָרץ אַליינד צו סאָק 2 עקספּעקטיישאַנז און קפּאַ וואָרקפלאָווס.