Внедрение и соответствие SOC 2

Фреймворк, необходимый сервисным ИТ-компаниям, чтобы оставаться конкурентоспособными

Аудит SOC 2 измеряет эффективность ваших процессов и систем на основе Критериев доверенных сервисов (Trust Service Criteria) и проверяет соблюдение стандартов и правил информационной безопасности, включая стандарты Common Criteria.

SOC 2

Критерии доверенных сервисов

Безопасность
Информация и системы защищены от несанкционированного доступа, разглашения информации и повреждения систем.
Доступность
Информация и системы доступны для операций и использования для достижения поставленных целей.
Целостность обработки
Системная обработка является полной, достоверной, точной, своевременной и санкционированной для достижения целей.
Конфиденциальность
Информация, обозначенная как конфиденциальная, защищена для достижения целей.
Приватность
Личная информация собирается, используется, хранится, раскрывается и утилизируется для достижения целей.

Что оценивается в ходе аудита SOC 2?  

1
Инфраструктура

Физическая, ИТ и другие аппаратные средства, включая мобильные устройства

2
ПО

Приложения и системное ПО, такое как как ОС и утилиты

3
Люди

Весь персонал, участвующий в операциях организации

4
Процессы

Все автоматизированные и ручные процедуры

5
Данные

Используемые потоки передачи, файлы, базы данных, таблицы и выходные данные

Результат внедрения SOC 2

Результатом внедрения SOC 2 является отчёт, который основан на документе AICPA Attestation Standards, раздел 101, Attest Engagement. H-X Technologies предоставляет аудиторский отчет, специально разработанный для поставщиков технологических услуг, компаний SaaS и организаций, которые хранят данные в облаке.

Типы отчетов SOC 2

Типы отчетов SOC 2

Type I – Отчет типа 1 содержит информацию о дизайне контрольных процедур и результат оценки системы внутреннего контроля по состоянию на дату проверки. Отчет этого типа является отправной точкой для дальнейшего построения соответствия SOC 2 Type 2.

Type II – Отчет типа 2 доказывает соответствие требованиям за определённый период времени. Организация должна демонстрировать соблюдение мер контроля и политик в течение этого периода, а это обычно требует определенной степени автоматизации и долгосрочных обязательств.

Мы поможем выбрать, какой тип отчета нужен именно вам.

Ознакомьтесь с дополнительными сервисами и бизнес-кейсами. Отправьте форму для заказа внедрения SOC 2 или для получения бесплатной консультации.

Бизнес-кейсы проектов, выполненых нами

Анализ безопасности исходных кодов программного обеспечения
Аудиты безопасности и тесты на проникновение
Кейсы по внедрению центра безопасности (Security Operations Center)
Реагирование на инциденты и их расследование
Управляемая безопасность и комплаенс (ISO 27001 и т. д.)