SOC2

מהו SOC2?

Service Organization Control) SOC) הינו מרכז אבטחת מידע ייעודי שמנטר, מזהה ומגיב לאירועי סייבר.

דו"ח SOC2 לספקי ענן מתמקד בחמישה עקרונות: זמינות (Availability), שלמות ודיוק (Integrity), אבטחה (Security), פרטיות (Privacy) וחסיון (Confidentiality) המבטיחים כי ספקי הענן מנהלים ומגנים בצורה מאובטחת על הנתונים בארגון.

אחד ההבדלים של SOC2 משאר תקני אבטחת המידע הינו שהדו"ח מתמקד בבדיקות מעמיקות ומקיפות וייחודיות לכל ארגון. כלומר, כל ארגון מחליט אילו מהקריטריונים רלוונטים עבורו וכותב בהתאם נהלים בכדי לעמוד בדרישות אלו.

ארגונים רבים מעוניינים לסמוך על ספקי הענן שלהם בכל הקשור למידע סודי, ודוח SOC 2 נקי מציין שהארגונים יכולים להיות תלויים בספקי ענן שלהם לצורך אירוח מאובטח. חשוב לזכור: על הלקוח יש אותה אחריות לציית ולעמוד בתקנות, במדיניות ובנהלים של החברה, בדיוק כמו הספק.

כל מה שצריך לדעת על אבטחת המידע בארגון

לכל המאמרים על ISO 27001

לקריאת המתודולוגיה של ISO 27001 (מומלץ) 

להרחבה על תקן ISO 27799 – לניהול אבטחת המידע הרפואי 

להרחבה על תקן ISO 27032 – לאבטחת סייבר 

להרחבה על תקן 2019:ISO 27701 – לניהול פרטיות המידע 

להרחבה על תקן ISO 27017 – לאבטחת מידע בענן 

להרחבה על תקן  ISO 27018 – לניהול מידע מזהה אישי בעננים ציבוריים 

 

מי מחוייב לעמוד בדרישות התקן?

SOC2 חל על כל ארגון המעוניין להיכנס לשוק האמריקאי ולהתמודד במכרזים של חברות בינלאומיות ואמריקאיות.

 

נקודות הסמכה לתקן אבטחת מידע:

להלן הסבר כללי על חמשת העקרונות הבסיסיים הנדרשים על מנת לעמוד בדרישות תקן אבטחת המידע SOC2:

חמשת העקרונות הבסיסיים הנדרשים בכדי לעמוד בדרישות תקן אבטחת המידע SOC2

  1. אבטחת מידע (Security): הגנה על מערכות הארגון ע"י הגדרות משתמשים והרשאות גישה למערכת. שימוש במערכות זיהוי ואימות נתונים וגישה (two factor authentication) וביצוע בדיקות חדירה (PT).

 

  1. זמינות (Availability): בדיקה והטמעה של מערכות המוודאות זמינות בהתאם לדרישות החוזיות מול הלקוח. ניטור הרשת ומערכות המידע על מנת להבטיח את הזמינות הדרושה.

 

  1. שלמות המידע (Processing integrity): בדיקה והטמעה של מערכות המוודאות את נכונות המידע הקיים במערכת במסגרת הזמן והתקציב שהוגדרו. כלומר, יש לוודא את קבלת המידע הנכון בזמן הנכון בעלות הנכונה.

 

  1. סודיות (Security): ביצוע בדיקות המוודאות שהמידע נשמר בסודיות ובמידור הדרוש על מנת לאפשר גישה מאובטחת רק לגורמים המורשים. התהליך מתבצע ע"י הצפנת הנתונים ומתן הרשאות גישה מוגבלות בהתאם לכללים שנקבעו ע"י מנהל המערכת.

 

  1. פרטיות (Privacy): שמירה על חסיון המידע בהתאם לדרישות הפרטיות של הארגון בהתאמה לחוקים ולרגולציות מקומיות (כיום יש התאמה לתקן ישן GAPP שלא תואם לדרישות רגולציית GDPR) יש דמיון בין התקנים אך נדרשת עבודת התאמה מרובה על מנת לאפשר לארגון המחזיק בתקן SOC2 לעמוד בדרישות ה-GDPR.

למאמרים אודות רגולציית הגנת הפרטיות GDPR

 

הקשר וההבדלים בין ISO 27001 ל-SOC2:

SOC2 ותקן ISO 27001 מכסים נושאי אבטחת מידע רבים כגון: תהליכים, מדיניות וטכנולוגיות אשר מטרתם להגן על המידע הרגיש בארגון. למעשה, הם מכסים כ-96% מאותם בקרות אבטחה.

בדו"ח SOC2 וגם ב-ISO 27001 הארגונים מטמיעים את הבקרות אצלם רק במידה והן רלוונטיות לארגון, אך ההבדל הוא כיצד הם מטמיעים אותן.

ISO 27001 מתמקד ביישום והטמעת מערכת ניהול אבטחת מידע (ISMS), ובכדי לעמוד בתקן, הארגון מחוייב לנהל סיכונים, לזהות וליישם בקרות אבטחה ולבדוק אפקטיביות בכל זמן נתון.

לעומת זאת, הבקרות בדו"ח SOC2 הינן גמישות יותר, המתמקדות בזמינות, שלמות ודיוק, אבטחה, פרטיות וחסיון המבטיחים כי ספקי הענן מנהלים ומגנים בצורה מאובטחת על המידע הרגיש בארגון.

 

טבלת התאמה בין דרישות רגולציית  SOC2 ,GDPR ו-ISO 27001:

טבלת התאמה בין דרישות רגולציית GDPR ,SOC2  ו-ISO 27001:

 

חברת Nextep יכולה לספק עבורכם את כל הדרוש לארגון שלכם, בהתאם להיקף הנדרש ולתחום הפעילות. השאירו פרטים כאן לקבלת מידע אודות SOC2 או התקשרו ל- 03-9677336

נכתב על ידי עדי מיידלר, מנהל תחום אבטחת מידע בחברת נקסטפ.

מעוניינים לקבל מידע נוסף אודות SOC2?

מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!
  • טלפון

    03-9550222

  • מרדכי רוז'נסקי 18 כניסה ב',
    א.ת חדש ראשון לציון

  • א' - ה'
    08:00-17:00