SOC 2 是服務組織的自願合規標準,由美國註冊會計師協會 (AICPA) 制定,規定了組織應如何管理客戶資料。該標準基於以下信任服務條件:安全性、可用性、處理完整性、機密性、隱私。 SOC 2 報告是根據每個組織的獨特需求量身定制。 根據其特定的業務實踐,每個組織都可以設計遵循一個或多個信任原則的控制項。 這些內部報告為組織及其監管機構、業務合作夥伴和供應商提供有關組織如何管理其資料的重要資訊。 SOC 2 報告有兩種類型:
符合 SOC 2 要求的合規表示組織保持高水準的資訊安全。嚴格的合規性要求(透過現場審核進行測試)有助於確保敏感資訊得到負責任的處理。
符合 SOC 2 提供:
SOC 審計只能由獨立的會計師(註冊會計師)或會計公司進行。
AICPA 制定了專業標準,旨在規範 SOC 審計師的工作。 此外,必須遵守與審計的規劃,執行和監督有關的某些指導方針。 所有 AICPA 稽核都必須經過同行審核。
CPA 組織可以聘請具有相關信息技術(IT)和安全技能的非 CPA 專業人員來準備 SOC 審計,但最終報告必須由會計師提供和披露。
如果 CPA 進行的 SOC 審計成功,服務組織可以將 AICPA 標誌添加到其網站。
安全性是 SOC 2 合規性的基礎,也是所有五個信任服務標準通用的廣泛標準。
SOC 2 安全原則專注於防止未經授權使用組織處理的資產和數據。 此原則要求組織實施存取控制,以防止惡意攻擊、未經授權刪除數據、濫用、未經授權的修改或披露公司信息。
以下是基本 SOC 2 合規性檢查表,其中包括涵蓋安全標準的控制措施:
請記住,SOC 2 標準並不準確規定組織應該做什麼 —— 它們可以解釋。 公司負責選擇和實施涵蓋每個原則的控制措施。
安全涵蓋基礎知識。 但是,如果您的組織從事金融或銀行業,或在隱私和保密至關重要的行業中運營,您可能需要滿足更高的合規標準。
客戶更喜歡完全符合所有五個 SOC 2 原則的服務供應商。 這表明您的組織堅定地遵守資訊安全實踐。
除了基本安全原則之外,以下是如何遵守其他 SOC 2 原則:
SOC 1 和 SOC 2 是兩種不同的合規標準,具有不同的目標,均由 AICPA 監管。SOC 2 不是 SOC 1 的「升級」。下表說明 SOC 1 和 SOC 2 之間的區別。
| 電腦 1 | 電腦 2 | |
| Purpose | 協助服務組織報告與客戶財務報表相關的內部控制項。 | 協助服務組織報告有關保護客戶資料的內部控制項,這些內部控制項與五個信任服務條件相關。 |
| 控制目標 | SOC 1 稽核涵蓋整個業務和 IT 流程中的客戶信息的處理和保護。 | SOC 2 稽核涵蓋了五個原則的所有組合。 例如,某些服務組織會處理安全性和可用性,而其他組織可能會根據其營運性質和監管要求實施所有五個原則。 |
| 審計適用於 | 經審核組織的經理、外部稽核員、使用者實體 (經審核服務組織的客戶) 以及稽核其財務報表的 CPA。 | 受審計組織的高階主管、業務合作夥伴、潛在客戶、合規主管和外部審計員。 |
| 用於的稽核 | 協助使用者實體瞭解服務組織控制對其財務報表的影響。 | 監督服務組織、供應商管理計劃、內部公司治理和風險管理流程,以及監管監管。 |
Check Point 的許多產品符合 SOC 2 合規性適用的信任服務標準,例如 CloudGuard 安全性車載管理、CloudGuard Connect、Harmony 產品、Infinity 入口網站等。在這裡查看完整列表。
反映意見