SOC 2 は、米国公認会計士協会 (AICPA) によって開発されたサービス組織の自主的なコンプライアンス基準であり、組織が顧客データを管理する方法を指定します。 この規格は、セキュリティ、可用性、処理の整合性、機密性、プライバシーというTrust Servicesの基準に基づいています。 SOC 2 レポートは、各組織の固有のニーズに合わせて調整されます。 各組織は、特定のビジネス慣行に応じて、1 つ以上の信頼の原則に従ったコントロールを設計できます。 これらの内部レポートは、組織とその規制当局、ビジネスパートナー、およびサプライヤーに、組織がデータをどのように管理しているかに関する重要な情報を提供します。 SOC 2 レポートには 2 つのタイプがあります。
SOC 2 要件への準拠は、組織が高レベルの情報セキュリティを維持していることを示します。 厳格なコンプライアンス要件(オンサイト監査でテスト済み)は、機密情報が責任を持って取り扱われることを保証するのに役立ちます。
SOC 2 に準拠すると、次のことが可能になります。
SOC監査は、独立した公認会計士(公認会計士)または会計事務所のみが実施できます。
AICPAは、SOC監査人の作業を規制するための専門的基準を確立しています。 さらに、監査の計画、実行、監督に関連する特定のガイドラインに従う必要があります。 すべてのAICPA監査は、ピアレビューを受ける必要があります。
公認会計士組織は、SOC監査の準備のために、関連する情報技術(IT)およびセキュリティスキルを持つ公認会計士以外の専門家を雇うことができますが、最終報告書は公認会計士によって提供され、開示されなければなりません。
公認会計士が実施したSOC監査が成功した場合、サービス組織はAICPAロゴをWebサイトに追加できます。
セキュリティは SOC 2 コンプライアンスの基礎であり、5 つのトラスト サービス基準すべてに共通する広範な標準です。
SOC 2 セキュリティ原則は、組織が処理する資産とデータの不正使用を防ぐことに重点を置いています。 この原則により、組織は、悪意のある攻撃、データの不正な削除、誤用、企業情報の不正な変更または開示を防ぐためにアクセス制御を実装する必要があります。
以下は、安全基準をカバーするコントロールを含む基本的なSOC 2コンプライアンスチェックリストです。
SOC 2 基準は、組織が何をすべきかを正確に規定しているわけではなく、解釈の余地があることに注意してください。 企業は、各原則をカバーする管理手段を選択し、実施する責任があります。
セキュリティは基本をカバーしています。 ただし、組織が金融業界や銀行業界、またはプライバシーと機密性が最優先される業界で事業を展開している場合は、より高いコンプライアンス基準を満たす必要がある場合があります。
顧客は、SOC 2 の 5 つの原則すべてに完全に準拠しているサービス プロバイダーを好みます。 これは、組織が情報セキュリティの実践に強く取り組んでいることを示しています。
基本的なセキュリティ原則に加えて、他の SOC 2 原則に準拠する方法は次のとおりです。
SOC 1 と SOC 2 は、目標が異なる 2 つの異なるコンプライアンス基準であり、どちらも AICPA によって規制されています。 SOC 2 は SOC 1 の "アップグレード" ではありません。 以下の表は、SOC 1 と SOC 2 の違いを示しています。
SOCの1 | SOC 2 | |
目的 | サービス組織が、顧客の財務諸表に関連する内部統制について報告するのに役立ちます。 | サービス組織が、5 つのトラストサービス基準に関連する顧客データを保護する内部統制について報告するのに役立ちます。 |
統制目標 | SOC 1 監査は、ビジネス プロセスと IT プロセス全体にわたる顧客情報の処理と保護を対象としています。 | SOC 2 監査は、5 つの原則のすべての組み合わせを対象としています。 たとえば、セキュリティと可用性を扱うサービス組織もあれば、運用の性質や規制要件により、5 つの原則をすべて実装するサービス組織もあります。 |
監査対象 | 監査対象組織のマネージャー、外部監査人、ユーザーエンティティ(監査対象サービス組織の顧客)、および財務諸表を監査する公認会計士の公認会計士。 | 被監査組織の役員、ビジネスパートナー、見込み客、コンプライアンス責任者、外部監査人 |
監査の用途 | ユーザー エンティティが、サービス組織の統制が財務諸表に与える影響を理解するのに役立ちます。 | サービス組織、サプライヤー管理計画、社内のコーポレートガバナンスとリスク管理プロセス、および規制の監督。 |
チェック・ポイントの多くの製品は、CloudGuardポスチャー管理、CloudGuard Connect、Harmony Products、Infinityポータルなど、SOC 2コンプライアンスに適用されるトラストサービス基準を満たしています。 完全なリストを参照してください 詳細を見る 。