Впровадження та сертифікація SOC 2

Фреймворк, необхідний сервісним ІТ-компаніям, щоб залишатися конкурентоспроможними

Аудит SOC 2 вимірює ефективність ваших процесів і систем на основі Критеріїв довірених сервісів (Trust Service Criteria) і перевіряє дотримання стандартів і правил інформаційної безпеки, включаючи стандарти Common Criteria.

SOC 2

Критерії довірених сервісів

Безпека
Інформація та системи захищені від несанкціонованого доступу, розголошення інформації та пошкодження систем.
Доступність
Інформація та системи доступні для операцій та використання для досягнення поставлених цілей.
Цілісність обробки
Системна обробка є повною, достовірною, точною, своєчасною та санкціонованою для досягнення цілей.
Конфіденційність
Інформація, позначена як конфіденційна, захищена для досягнення цілей.
Конфіденційність
Особиста інформація збирається, використовується, зберігається, розкривається та утилізується для досягнення цілей.

Що оцінюється в ході аудиту SOC 2?  

1
Інфраструктура

Фізична, ІТ та інші апаратні засоби, включаючи мобільні пристрої

2
ПЗ

Додатки та системне ПЗ, таке як ОС і утиліти

3
Люди

Весь персонал, який бере участь в операціях організації

4
Процеси

Всі автоматизовані та ручні процедури

5
Дані

Потоки передачі, файли, бази даних, таблиці та вихідні дані, що використовуються

Результат впровадження SOC 2

Результатом впровадження SOC 2 є звіт, який заснований на документі AICPA Attestation Standards, розділ 101, Attest Engagement. H-X Technologies надає аудиторський звіт, спеціально розроблений для постачальників технологічних послуг, компаній SaaS і організацій, які зберігають дані в хмарі.

Типи звітів SOC 2

Типи звітів SOC 2

Type I – Звіт типу 1 містить інформацію про дизайн контрольних процедур і результат оцінки системи внутрішнього контролю за станом на дату перевірки. Звіт цього типу є відправною точкою для подальшої побудови відповідності SOC 2 Type 2.

Type II – Звіт типу 2 доводить відповідність вимогам за певний проміжок часу. Організація повинна демонструвати дотримання заходів контролю та політик протягом цього періоду, а це зазвичай вимагає певної міри автоматизації та довгострокових зобов’язань.

Ми допоможемо вибрати, який тип звіту потрібен саме вам.

Ознайомтеся з додатковими сервісами та бізнес-кейсами. Надішліть форму для замовлення впровадження SOC 2 або для отримання безкоштовної консультації.

Бізнес-кейси проектів, виконаних нами

Аналіз безпеки вихідних кодів програмного забезпечення
Аудити безпеки та тести на проникнення
Кейси з впровадженню центру безпеки (Security Operations Center)
Керована безпека й комплаєнс (ISO 27001 тощо)
Реагування на інциденти та їх розслідування