SOC 2 是美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì) (AICPA) 為服務(wù)組織制定的自愿合規(guī)標(biāo)準(zhǔn),規(guī)定了組織應(yīng)如何管理客戶數(shù)據(jù)。該標(biāo)準(zhǔn)基于以下信任服務(wù)標(biāo)準(zhǔn):安全性、可用性、處理完整性、機(jī)密性、隱私。SOC 2 報(bào)告針對(duì)每個(gè)組織的獨(dú)特需求量身定制。根據(jù)其特定的業(yè)務(wù)實(shí)踐,每個(gè)組織都可以設(shè)計(jì)遵循一個(gè)或多個(gè)信任原則的控制。這些內(nèi)部報(bào)告為組織及其監(jiān)管機(jī)構(gòu)、業(yè)務(wù)合作伙伴和供應(yīng)商提供有關(guān)組織如何管理其數(shù)據(jù)的重要信息。SOC 2 報(bào)告有兩種類型:
- 類型 I描述組織的系統(tǒng)以及系統(tǒng)設(shè)計(jì)是否符合相關(guān)的信任原則。
- 第二類詳細(xì)說明了這些系統(tǒng)的運(yùn)行效率。
為什么 SOC 2 合規(guī)性很重要?
符合 SOC 2 要求表明組織保持了高水平的信息安全。嚴(yán)格的合規(guī)要求(通過現(xiàn)場(chǎng)審核測(cè)試)有助于確保以負(fù)責(zé)任的方式處理敏感信息。
遵守 SOC 2 可提供:
- 改進(jìn)的信息安全實(shí)踐——通過 SOC 2 指南,組織可以更好地防御網(wǎng)絡(luò)攻擊并防止違規(guī)行為。
- 競(jìng)爭(zhēng)優(yōu)勢(shì)——因?yàn)榭蛻舾敢馀c能夠證明他們擁有可靠的信息安全實(shí)踐的服務(wù)提供商合作,尤其是在 IT 和云服務(wù)方面。
誰可以執(zhí)行 SOC 審核?
SOC 審計(jì)只能由獨(dú)立的 CPA(注冊(cè)會(huì)計(jì)師)或會(huì)計(jì)師事務(wù)所進(jìn)行。AICPA 制定了旨在規(guī)范 SOC 審核員工作的專業(yè)標(biāo)準(zhǔn)。此外,必須遵循與審計(jì)的計(jì)劃、執(zhí)行和監(jiān)督有關(guān)的某些指導(dǎo)方針。所有 AICPA 審計(jì)都必須經(jīng)過同行評(píng)審。
注冊(cè)會(huì)計(jì)師組織可以聘請(qǐng)具有相關(guān)信息技術(shù) (IT) 和安全技能的非注冊(cè)會(huì)計(jì)師專業(yè)人員來準(zhǔn)備 SOC 審計(jì),但最終報(bào)告必須由注冊(cè)會(huì)計(jì)師提供和披露。如果注冊(cè)會(huì)計(jì)師進(jìn)行的 SOC 審核成功,服務(wù)機(jī)構(gòu)可以在其網(wǎng)站上添加 AICPA 徽標(biāo)。
SOC 2 安全標(biāo)準(zhǔn):4 步檢查表
安全性是 SOC 2 合規(guī)性的基礎(chǔ),也是所有五項(xiàng)信任服務(wù)標(biāo)準(zhǔn)通用的廣泛標(biāo)準(zhǔn)。SOC 2 安全原則側(cè)重于防止未經(jīng)授權(quán)使用組織處理的資產(chǎn)和數(shù)據(jù)。該原則要求組織實(shí)施訪問控制,以防止惡意攻擊、未經(jīng)授權(quán)刪除數(shù)據(jù)、濫用、未經(jīng)授權(quán)更改或披露公司信息。
這是一個(gè)基本的 SOC 2 合規(guī)性檢查表,其中包括涵蓋安全標(biāo)準(zhǔn)的控制:
- 訪問控制——對(duì)資產(chǎn)進(jìn)行邏輯和物理限制,以防止未經(jīng)授權(quán)的人員訪問。
- 變更管理——管理 IT 系統(tǒng)變更的受控過程,以及防止未經(jīng)授權(quán)的變更的方法。
- 系統(tǒng)操作——可以監(jiān)控正在進(jìn)行的操作、檢測(cè)和解決與組織程序的任何偏差的控制。
- 緩解風(fēng)險(xiǎn)——允許組織識(shí)別風(fēng)險(xiǎn)、響應(yīng)和緩解風(fēng)險(xiǎn)的方法和活動(dòng),同時(shí)處理任何后續(xù)業(yè)務(wù)。
請(qǐng)記住,SOC 2 標(biāo)準(zhǔn)并沒有明確規(guī)定組織應(yīng)該做什么——它們可以解釋。公司負(fù)責(zé)選擇和實(shí)施涵蓋每項(xiàng)原則的控制措施。
SOC 2 合規(guī)要求:其他標(biāo)準(zhǔn)
安全涵蓋了基礎(chǔ)知識(shí)。但是,如果您的組織在金融或銀行業(yè)運(yùn)營(yíng),或者在隱私和保密性至關(guān)重要的行業(yè)中運(yùn)營(yíng),您可能需要滿足更高的合規(guī)標(biāo)準(zhǔn)。客戶更喜歡完全符合所有五項(xiàng) SOC 2 原則的服務(wù)提供商。這表明您的組織堅(jiān)定地致力于信息安全實(shí)踐。
除了基本的安全原則之外,以下是如何遵守其他 SOC 2 原則:
- 可用性——客戶能否按照約定的使用條款和服務(wù)水平訪問系統(tǒng)?
- 處理完整性——如果公司提供金融或電子商務(wù)交易,審計(jì)報(bào)告應(yīng)包括旨在保護(hù)交易的管理細(xì)節(jié)。例如,傳輸是否加密?如果公司提供 IT 服務(wù),例如托管和數(shù)據(jù)存儲(chǔ),如何在這些服務(wù)中維護(hù)數(shù)據(jù)完整性?
- 機(jī)密性——對(duì)數(shù)據(jù)的共享方式是否有任何限制?例如,如果貴公司有處理個(gè)人身份信息 (PII) 或受保護(hù)的健康信息 (PHI) 的具體說明,則應(yīng)將其包含在審計(jì)文件中。該文件應(yīng)指定數(shù)據(jù)存儲(chǔ)、傳輸和訪問方法和程序,以遵守員工程序等隱私政策。
- 隱私——組織如何收集和使用客戶信息?公司的隱私政策必須與實(shí)際操作程序一致。例如,如果一家公司聲稱每次收集數(shù)據(jù)時(shí)都會(huì)警告客戶,那么審計(jì)文件必須準(zhǔn)確地描述如何在公司網(wǎng)站或其他渠道上提供警告。個(gè)人數(shù)據(jù)管理必須至少遵循AICPA 的隱私管理框架(PMF)。
SOC 1 與 SOC 2
SOC 1 和 SOC 2 是兩個(gè)不同的合規(guī)標(biāo)準(zhǔn),具有不同的目標(biāo),均由 AICPA 監(jiān)管。SOC 2 不是 SOC 1 的“升級(jí)”。下表解釋了 SOC 1 和 SOC 2 之間的區(qū)別。
| SOC 1 | SOC 2 | |
| 目的 | 幫助服務(wù)機(jī)構(gòu)報(bào)告與客戶財(cái)務(wù)報(bào)表相關(guān)的內(nèi)部控制。 | 幫助服務(wù)組織報(bào)告與五項(xiàng)信任服務(wù)標(biāo)準(zhǔn)相關(guān)的保護(hù)客戶數(shù)據(jù)的內(nèi)部控制。 |
| 控制目標(biāo) | SOC 1 審核涵蓋跨業(yè)務(wù)和 IT 流程的客戶信息處理和保護(hù)。 | SOC 2 審核涵蓋五項(xiàng)原則的所有組合。例如,某些服務(wù)組織處理安全性和可用性問題,而其他服務(wù)組織可能由于其運(yùn)營(yíng)性質(zhì)和監(jiān)管要求而實(shí)施所有五項(xiàng)原則。 |
| 審計(jì)的目的 | 被審計(jì)組織的經(jīng)理、外部審計(jì)師、用戶實(shí)體(被審計(jì)服務(wù)組織的客戶)和審計(jì)其財(cái)務(wù)報(bào)表的注冊(cè)會(huì)計(jì)師。 | 被審計(jì)組織的高管、業(yè)務(wù)合作伙伴、潛在客戶、合規(guī)主管和外部審計(jì)師。 |
| 審計(jì)用于 | 幫助用戶實(shí)體了解服務(wù)組織控制對(duì)其財(cái)務(wù)報(bào)表的影響。 | 監(jiān)督服務(wù)組織、供應(yīng)商管理計(jì)劃、內(nèi)部公司治理和風(fēng)險(xiǎn)管理流程以及監(jiān)管。 |
