SOC2

מהו SOC2?

Service Organization Control) SOC) הינו מרכז אבטחת מידע ייעודי שמנטר, מזהה ומגיב לאירועי סייבר.

דו"ח SOC2 לספקי ענן מתמקד בחמישה עקרונות: זמינות (Availability), שלמות ודיוק (Integrity), אבטחה (Security), פרטיות (Privacy) וחסיון (Confidentiality) המבטיחים כי ספקי הענן מנהלים ומגנים בצורה מאובטחת על הנתונים בארגון. אחד ההבדלים של SOC2 משאר תקני אבטחת המידע הינו שהדו"ח מתמקד בבדיקות מעמיקות ומקיפות וייחודיות לכל ארגון.

כל מה שצריך לדעת על אבטחת המידע בארגון – לחצו כאן

למאמרים על ISO 27001 לחצו כאן

כל מה שצריך לדעת על תהליך ההסמכה לתקן ISO 27001 (מומלץ) – לחצו כאן

להרחבה על תקן ISO 27799 – לניהול אבטחת המידע הרפואי לחצו כאן

להרחבה על תקן ISO 27032 – לאבטחת סייבר לחצו כאן

להרחבה על תקן 2019:ISO 27701 – לניהול פרטיות המידע לחצו כאן

להרחבה על תקן ISO 27017 – לאבטחת מידע בענן לחצו כאן

להרחבה על תקן ISO 27018 – לניהול מידע מזהה אישי בעננים ציבוריים לחצו כאן

 

מי מחוייב לעמוד בדישות התקן?

SOC2 חל על ארגונים אשר מוגדרים כספקי נתונים המאחסנים או מעבדים מידע פיננסי, או במידה והארגונים מעוניינים להשתמש בשירותי מיקור חוץ לאחסון נתוני הארגון.

 

נקודות הסמכה לתקן אבטחת מידע:

להלן הסבר כללי על חמשת העקרונות הבסיסיים הנדרשים על מנת לעמוד בדרישות תקן אבטחת המידע SOC2:

חמשת העקרונות הבסיסיים הנדרשים בכדי לעמוד בדרישות תקן אבטחת המידע SOC2

  1. אבטחת מידע (Security): הגנה על מערכות הארגון ע"י הגדרות משתמשים והרשאות גישה למערכת. שימוש במערכות זיהוי ואימות נתונים וגישה (two factor authentication) וביצוע בדיקות חדירה (PT).

 

  1. זמינות (Availability): בדיקה והטמעה של מערכות המוודאות זמינות בהתאם לדרישות החוזיות מול הלקוח. ניטור הרשת ומערכות המידע על מנת להבטיח את הזמינות הדרושה.

 

  1. שלמות המידע (Processing integrity): בדיקה והטמעה של מערכות המוודאות את נכונות המידע הקיים במערכת במסגרת הזמן והתקציב שהוגדרו. כלומר, יש לוודא את קבלת המידע הנכון בזמן הנכון בעלות הנכונה.

 

  1. סודיות (Security): ביצוע בדיקות המוודאות שהמידע נשמר בסודיות ובמידור הדרוש על מנת לאפשר גישה מאובטחת רק לגורמים המורשים. התהליך מתבצע ע"י הצפנת הנתונים ומתן הרשאות גישה מוגבלות בהתאם לכללים שנקבעו ע"י מנהל המערכת.

 

  1. פרטיות (Privacy): שמירה על חסיון המידע בהתאם לדרישות הפרטיות של הארגון בהתאמה לחוקים ולרגולציות מקומיות (כיום יש התאמה לתקן ישן GAPP שלא תואם לדרישות רגולציית GDPR) יש דמיון בין התקנים אך נדרשת עבודת התאמה מרובה על מנת לאפשר לארגון המחזיק בתקן SOC2 לעמוד בדרישות ה GDPR.

למאמרים אודות רגולציית הגנת הפרטיות GDPR – לחצו כאן

 

טבלת התאמה בין דרישות רגולציית  SOC2, GDPR ו-ISO 27001:

טבלת התאמה בין דרישות רגולציית GDPR ,SOC2  ו-ISO 27001:

 

חברת Nextep יכולה לספק עבורכם את כל הדרוש לארגון שלכם, בהתאם להיקף הנדרש ולתחום הפעילות, לחצו כאן או התקשרו ל- 03-9677336

נכתב על ידי עדי מיידלר, מנהל תחום אבטחת מידע בחברת נקסטפ.

 

מעוניינים לקבל מידע נוסף אודות SOC2?

מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!
  • טלפון

    03-9550222

  • מרדכי רוז'נסקי 18 כניסה ב',
    א.ת חדש ראשון לציון

  • א' - ה'
    08:00-17:00