了解合规性 SOC 1 vs SOC 2 vs SOC 3
合规是您组织增长的关键方面。
假设您想要经营一个面向中市场客户的saas业务,那么您需要遵守适用的规则和法规,并为您的公司保持更强的安全姿态。
许多组织尝试通过应用安全问卷来规避这些要求。
因此,当客户或客户要求soc证书时,您可以意识到遵守规定是多么重要。
服务组织控制(soc)合规是指组织完成第三方审计,展示组织拥有某些控制措施的一种认证。 soc合规也适用于供应链和soc网络安全。
2010年4月,美国注册会计师协会(aicpa)宣布了sas 70的更改。改进和新的审计标准被命名为《关于出具的陈述性公报的准则》(ssae 16)。
除了ssae 16审计,还建立了另外三个报告来检查服务组织的控制措施。这些报告被称为soc报告,包括soc 1、soc 2和soc 3报告,具有不同的目标。
在本文中,我将提及每个soc报告在哪里应用以及它们如何与it安全相结合。
我们开始吧!
什么是soc报告?
soc报告可以被视为给组织带来金钱和时间上的竞争优势。它利用第三方和独立的审计师来检查组织的不同方面,包括:
- 可用性
- 机密性
- 隐私
- 处理完整性
- 安全性
- 与网络安全相关的控制措施
- 与财务报告相关的控制措施
soc报告使公司能够有信心潜在服务提供商在合规和道德方面的运营。尽管审计可能很棘手,但它们可以提供巨大的安全和信任。 soc报告有助于建立服务提供商的可信度和信任。
此外,soc报告对以下方面非常有用:
- 供应商管理程序
- 对组织的监督
- 监管监督
- 风险管理流程和内部公司治理
soc报告为什么重要?
一些服务组织,如数据中心公司、saas提供商、贷款服务提供商和索赔处理机构,需要进行soc审查。这些组织需要存储其客户或用户实体的财务数据或敏感数据。
因此,向其他公司或用户提供服务的任何公司都可以从soc审查中受益。 soc报告不仅可以让潜在客户知道公司是合法的,还可以通过评估过程揭示控制措施或客户的缺陷和弱点。
您可以从soc评估中期望什么?
在进行soc评估过程之前,您必须确定您需要哪种类型的soc报告,以最适合您的组织。接下来,将开始正式的准备评估过程。
服务机构通过识别潜在的红旗、差距、缺陷等来准备自己的考试。这样,公司就可以了解修复这些缺陷和弱点的可用选项。
谁可以进行soc审核?
soc审计由独立的注册会计师(cpas)或会计事务所执行。
aicpa建立了专业标准,旨在规范soc审计师的工作。此外,组织还必须遵循有关执行、规划和监督的某些指导方针。
每个aicpa审计都要经过同行评审。注册会计师组织或公司还雇佣非注册会计师专业人员进行信息技术和安全技能的培训以准备soc审计。但是,最终报告必须由注册会计师进行核查和披露。
让我们逐个报告来了解它们的工作原理。
soc 1是什么?
soc 1的主要目标是控制soc 1文件和过程区域内与用户实体财务报表审计相关的内部控制目标。
简单来说,它告诉您组织的服务何时影响用户实体的财务报告。
soc 1报告是什么?
soc 1报告确定适用于用户实体对财务报告的控制的服务组织控制。它旨在满足用户实体的要求。在此报告中,会计师评估服务组织的内部控制的有效性。
soc 1报告有两种类型:
- soc 1 type 1:该报告通常关注服务组织的系统,并检查系统控制是否适合实现控制目标,并对指定日期进行描述。
soc 1 type 1报告仅限于审计师、经理和用户实体,通常属于任何服务组织的服务提供商。服务审计师确定涵盖ssae 16的所有要求的报告。
- soc 1 type 2:该报告与soc 1 type 1报告具有类似的意见和分析。但是,它包括对旨在在特定期间内实现所有控制目标的预先建立的控制措施的有效性的观点。
在soc 1 type 2报告中,控制目标导致内部控制希望减轻的潜在风险。范围包括相关的控制领域并提供合理保证。它还表示执行仅限于经过授权和适当的操作。
soc 1的目的是什么?
正如我们已经讨论过的,soc 1是服务组织控制系列的第一部分,涉及财务报告的内部控制。它适用于直接与合作伙伴和客户的财务数据进行交互的企业。
因此,它确保组织的交互,存储用户的财务报表并传输它们。然而,soc 1报告有助于投资者、客户、审计师和管理层根据aicpa的指南评估财务报告周围的内部控制。
如何保持soc 1合规性?
soc 1合规性定义了在一定期限内管理所有添加到soc 1报告中的soc 1控制的过程。它确保了soc 1规则的操作有效性。
这些控制通常是it控制、业务流程控制等,用于基于控制目标提供合理保证。
soc 2是什么?
soc 2由aicpa开发,描述了基于5个原则控制或管理客户信息以提供可信服务的标准。这些原则包括:
- 可用性包括灾难恢复、安全事件处理和性能监控。
- 隐私:包括加密、双因素身份验证(2fa)和访问控制。
- 安全:包括入侵检测、双因素身份验证和网络或应用防火墙。
- 机密性:包括访问控制、加密和应用防火墙。
- 处理完整性:包括处理监控和质量保证。
soc 2对于每个组织而言是独特的,因为它具有严格的要求,不同于pci dss。根据特定的业务实践,每个设计都有其自己的控制措施以符合多个信任原则。
soc 2报告是什么?
soc 2报告允许服务组织与利益相关方共享报告,描述了已在其位置上确保安全的一般it控制。
soc 2报告分为两种类型:
- soc 2类型1:它描述了供应商的系统,并告知供应商的设计是否适合满足信任原则。
- soc 2类型2:它分享了供应商系统的操作有效性的详细信息。
soc 2在信息安全框架和标准方面因组织而异,因为没有明确定义的要求。aicpa提供了一组标准,供服务组织选择以证明他们已采取的控制措施来保护所提供的服务。
soc 2的目的是什么?
符合soc 2意味着组织控制和维护了高水平的信息安全。严格的合规性使组织能够确保其关键信息的安全。
通过遵守soc 2,您将获得:
- 增强的数据安全实践,使组织能够防御网络攻击和安全漏洞。
- 竞争优势,因为客户希望与具有可靠数据安全实践的服务提供商合作,特别是云和it服务。
它限制了组织处理的数据和资产的未经授权的使用。安全原则要求组织添加访问控制,以保护数据免受恶意攻击、滥用、未经授权的披露或更改公司信息以及未经授权的数据删除。
如何保持soc 2合规性?
soc 2合规是由aicpa制定的一项自愿标准,规定了组织如何管理其客户信息。该标准包括五项可信服务准则,即安全性、处理完整性、机密性、隐私和可用性。
soc合规根据每个组织的需求进行定制。根据业务实践,组织可以选择遵循一个或多个可信服务准则的设计控制。它适用于所有服务,包括ddos保护,负载均衡,攻击分析,web应用安全,通过cdn的内容传递等。
简单来说,soc 2合规不是一个工具、流程或控制的描述性列表;相反,它引用了维护信息安全所需的关键准则。这使得每个组织都可以采用与其运营和目标相关的最佳流程和实践。
以下是基本soc 2合规的清单:
- 访问控制
- 系统操作
- 风险缓解
- 变更管理
soc 3是什么?
soc 3是aicpa开发的一种审计程序,用于定义服务组织对数据中心和云安全的内部控制的强度。soc 3框架也基于包括以下内容的可信服务准则:
- 安全: 系统和信息受到未经授权的披露、未经授权的访问和对系统的损害的保护。
- 处理完整性: 系统处理是有效、准确、经授权、及时和完整的,以满足实体的需求。
- 可用性: 系统和信息可供使用和运营,以满足实体的需求。
- 隐私: 个人信息的使用、披露、处置、保留和收集符合实体的要求。
- 机密性: 标记为关键的信息受到保护,以满足实体的要求。
借助soc 3,服务组织可以确定哪些可信服务准则适用于其向客户提供的服务。您还可以在《准则陈述》中找到附加的报告、执行要求和应用指南。
soc 3报告是什么?
soc 3报告与soc 2报告的信息相同,但受众不同。soc 3报告仅面向一般受众。这些报告较短,不精确地包含与soc 2报告相同的数据。它们适合于利益相关者和知情的受众。
由于soc 3报告更为一般化,因此可以快速、公开地在公司网站上分享,同时附有描述其合规性的标志。这有助于与国际会计准则保持步调一致。
例如,aws允许公开下载soc 3报告。
soc 3的目的是什么?
公司,特别是小型企业或初创企业,通常没有足够的资源来控制或维护某些重要服务。因此,这些公司通常将服务外包给第三方提供商,而不是在建立新部门来提供这些服务时投入额外的精力或资金。
因此,外包是一个更好的选择,但也存在风险。原因是组织根据选择外包的服务与第三方供应商共享客户数据或敏感信息。
然而,组织必须仅与展示soc 3合规性的供应商合作。
soc 3合规性基于ssae 18的at-c第205节和at-c第105节。它包括独立管理描述和审计师报告的基本信息。适用于所有在云中存储客户信息的服务提供商,包括paas、iaas和saas提供商。
如何维持soc 3合规性?
soc 3是soc 2的后续版本,因此审计程序相同。服务审计员正在寻找以下政策和控制:
完成审计后,审计师根据所发现的情况生成报告。但是soc 3报告要少得多,因为它只分享公众所需的信息。服务组织在完成最终审计后可以自由地分享结果以用于营销目的。它告诉您通过审计需要关注的重点。因此,建议服务组织:
- 仔细选择控制措施。
- 进行评估以确定控制措施中的差距
- 找出定期活动
- 描述下一步的事件警报
- 寻找合格的服务审计员进行最终审查
现在,您对每种合规类型有一些了解,让我们了解三者之间的区别,以了解它们如何帮助每个公司在市场上站稳脚跟。
soc 1 vs soc 2 vs soc 3: 区别
以下表格描述了每个soc报告的目的和好处。
soc 1 | soc 2 | soc 3 |
它对类型1设计和类型2设计或操作提供意见,包括测试程序和结果。 | 它是满足合作伙伴对组织运营的需求的单一可交付成果,包括结果和程序。 | 类似于soc 2合规,但包含的信息较少。它不包括测试程序、结果或控制措施。 |
它控制财务报告周围的内部控制要求。 | 非财务控制使用与主题相关的五个信任原则进行评估。 | 它还依赖于五个信任服务标准。 |
仅向客户和审计师分发 | 将在报告中定义仅向监管机构、客户和审计师分发 | 协助客户营销。不受限制的分发 |
保持对系统的描述、控制、程序和结果的透明度。 | 它提供了与soc 1完全相同的透明度水平 | 为了营销的利益,对报告进行广泛分发。 |
它专注于财务控制。 | 它专注于运营控制。 | 类似于soc 2,但信息更少。 |
它描述了服务组织的系统。 | 它也描述了服务组织的系统。 | 它描述了注册会计师对实体在系统上的适当控制的意见。 |
它报告内部控制。 | 它报告可用性、隐私、保密性、处理完整性和安全性控制。 | 类似于soc 2 |
用户控制办公室和用户审计师使用soc 1。 | 它由监管机构、管理层和其他人员在保密协议下共享。 | 对公众开放。 |
大部分审计师是“需要知道的人。” | 大部分利益相关者和客户是“需要知道的人。” | 普通公众 |
示例:医疗索赔处理者。 | 示例:云存储公司。 | 示例:公共企业。 |
结论
决定适合您组织的soc合规性需要您将处理的信息类型可视化,无论是客户的数据还是您自己的数据。
如果您提供薪资处理服务,您可能希望使用soc 1。如果您处理或托管客户数据,您可能需要soc 2报告。同样,如果您需要更少形式的合规性,以便用于营销目的,您可能会选择soc 3报告。