מהו SOC 2?
SOC 2 היא אחת מדרישות העמידה בתקנים הנפוצות ביותר שחברות פיתוח וטכנולוגיה צריכות לעמוד בהן היום, על מנת להיות תחרותיות בשוק.
SOC 2 עוסק ביכולת לדווח על תכנון בקרות (ו / או בדיקה ויעילות תפעולית של בקרות אלה) עבור ארגון שירות/ פיתוח/ טכנולוגיה.
לפי AICPA, עקרונות שירותי האמון (TSC) שעליהם מבוסס הדוח, הבקרות שארגון השירות יכלול בתיאורו ובדיקות הבקרות שמבקר שירות ייבצע עבור SOC 2 ישתנו בהתאם ללקוח הספציפי.
כל מה שצריך לדעת על אבטחת המידע בארגון
לקריאת המתודולוגיה של ISO 27001 (מומלץ)
להרחבה על תקן ISO 27799 – לניהול אבטחת המידע הרפואי
להרחבה על תקן ISO 27032 – לאבטחת סייבר
להרחבה על תקן 2019:ISO 27701 – לניהול פרטיות המידע
להרחבה על תקן ISO 27017 – לאבטחת מידע בענן
להרחבה על תקן ISO 27018 – לניהול מידע מזהה אישי בעננים ציבוריים
מי נדרש לבצע את תהליך SOC 2?
אם אתה נותן שירות או ארגון שירות המאחסן מידע/בעל מאגר מידע/ מעבד או מעביר מידע כלשהו, מומלץ לך לעמוד בדרישות SOC 2. ארגונים אשר רוצים להבדיל את עצמם משאר המתחרים בשוק יוכלו לעשות זאת באמצעות עמידה בדרישות SOC 2 המוכיחות עמידה גבוהה בדרישות שונות של אבטחת המידע. בנוסף מומלץ לגופי טכנולוגיה, פיתוח ומחשוב ענן לבצע תהליך זה מאחר וכך יוכלו לתת דיווחים שימושיים ולספק זאת ללקוחותיהם על פי בקשה.
הקריטריונים של שירות האמון מתוכננים סביב תחומים אלה:
מהם ההבדלים בין SOC 2 לבין HIPAA ו-ISO 27001?
תקן ISO 27001 מאפשר יותר גמישות לחברות בקריטריונים הנדרשים בניגוד ל-SOC 2 שבו לא קיימת גמישות, כלומר כמות וסוג הדרישות מותאמת אישית לכל לקוח. בצד השני של המפה נוכל למצוא את PCI /HIPAA ורוב מסגרות האבטחה האחרות שבהן קיימים סטנדרטים מוגדרים מאוד ויש להם דרישות מפורשות מאוד.
טבלת התאמה בין דרישות רגולציית GDPR, SOC 2 ו-ISO 27001:
מהם ההבדלים בין SOC1 לבין SOC2?
לפי AICPA, דוחות SOC 2 נועדו לענות על הצרכים של מגוון רחב של משתמשים שצריכים להבין את הבקרה הפנימית בארגון, מכיוון שהיא מתייחסת לאבטחה, זמינות, שלמות, עיבוד, סודיות ופרטיות המידע. בעוד שדוחות SOC 1 נוגעים רק בבקרה פיננסית. הם מטפלים בעסקאות הכספיות שעושה חברה.
דו"ח SOC 1 הוא דו"ח שנוצר על ידי רואי החשבון עבור מבקרים אחרים, אך בדו"ח SOC 2 יש בדרך כלל מידע פנימי חסוי יותר שאינו אמור להיות משותף עם אף אחד מחוץ לחברה כמו מידע אודות אתר DR ופרטים אודות זמינות מערכות המידע של הארגון.
