SOC2 - Type I, Type II

SOC 2, oficiálně Service Organization Control 2, informuje o různých organizačních kontrolách týkajících se bezpečnosti, dostupnosti, integrity zpracování, důvěrnosti nebo soukromí. Standard pro regulaci těchto pěti otázek byl vytvořen v rámci Zásad a kritérií pro důvěryhodné služby AICPA. SOC 2 se děli na typ1 a typ 2.

SOC 2 TYP I

________________________________________

SOC 2 typ I hodnotí kontroly kybernetické bezpečnosti organizace v jednom časovém okamžiku. Cílem je zjistit, zda jsou vnitřní kontroly zavedené dostatečně a správně navržené, aby poskytovaly správnou ochranu dat zákazníků. Audity a zprávy typu 1 lze dokončit během několika týdnů.

SOC 2 TYP II

________________________________________

Zpráva SOC 2 typ 2 zkoumá, jak dobře funguje systém a kontrolní mechanismy organizace poskytující služby po určitou dobu (obvykle 3-12 měsíců). Zkoumá, jaká je provozní činnost a zdali systémy fungují tak, jak bylo původně zamýšleno po celé kontrolované období. Doba nezbytná pro provedení tohoto auditu se zpravidla pohybuje mezi 3–6 měsíci. 

SOC 2 TYP I vs. SOC 2 TYP II

________________________________________

Při výběru zprávy je vždy zásadní, zda je reálné provést ověření za celé kontrolní období, či zda se jedná o první ověření a není zajištěn soulad se všemi požadavky. Pokud není možné provést ověření za celé období (například kontroly byly zavedeny teprve nedávno,) je vhodnější zvolit typ I a následně realizovat typ II. Druhým příkladem je provedení prvního auditu SOC2. Pokud klient ví, že má zavedené kontroly a potřebuje je potvrdit před samotnou realizací typu II, zpracovává se zpráva typu I. Třetí variantou je zcela výchozí provedení ověření existence kontrol, v tomto případě klientům doporučujeme realizaci vyhodnocení souladu interních kontrol s požadavky na SOC2 (preassessment).

PROCES

KROK 1:

VYBERTE SI TYP ZPRÁVY

Než pozvete auditora do své kanceláře, musíte se nejprve rozhodnout, jaký typ zprávy SOC 2 vaše servisní organizace potřebuje. Auditor Vám případně může pomoci navrhnout nejvhodnější způsob pro Vás.

$("#btn-1").click(function(){ $(".text-div-1").slideToggle({ "opacity" : "show", bottom: "100" }, 500); }); var cross1 = true; $(".close1").click(function(){ if(!cross1){ $(".text-div-1").slideToggle({ "opacity" : "show", bottom: "100" }, 500); cross1 = false; } }); $(".text-div-1").click(function(){ if(cross1){ $(".text-div-1").slideToggle({ "opacity" : "show", bottom: "100" }, 500); cross1 = true; } });

KROK 2

DEFINUJTE ROZSAH AUDITU

Nejprve se rozhodněte, zda budete usilovat o audit SOC 2 na úrovni společnosti nebo pro konkrétní službu. Dále se rozhodněte, jaké časové období budete požadovat (doporučená délka pro typ II je alespoň 6 měsíců.). Nakonec vyberte z pěti kritérií důvěryhodných služeb, pro která musíte audit provést. Můžete vybrat pro začátek pouze některá a následně přidat další. Určitá odvětví mají některá kritéria povinná. Například zdravotnické firmy musí splňovat požadavky HIPAA, tudíž volba Privacy nad Security by měla být vyhovující. Po výběru období a kritérií určete, které kontroly a systémy zabezpečení informací jsou relevantní.

Poté shromážděte veškerou dokumentaci k těmto systémům a kontrolám. Během auditu auditor tuto dokumentaci spolu s vašimi systémy a kontrolami přezkoumá a určí provozní účinnost. Mezi dokumenty, které budete možná muset poskytnout, patří např:

inventáře aktiv, informace o řízení změn, záznamy o údržbě zařízení, záznamy o zálohování systému, kodex chování a etické zásady, plány kontinuity provozu a reakce na incidenty,...

Veškerá kritéria je také vhodné projednat s auditorem tak, aby byla jejich volba správná.

$("#btn-2").click(function(){ $(".text-div-2").slideToggle({ "opacity" : "show", bottom: "100" }, 500); }); var cross2 = true; $(".close2").click(function(){ if(!cross2){ $(".text-div-2").slideToggle({ "opacity" : "show", bottom: "100" }, 500); cross2 = false; } }); $(".text-div-2").click(function(){ if(cross2){ $(".text-div-2").slideToggle({ "opacity" : "show", bottom: "100" }, 500); cross2 = true; } });

KROK 3

PROVEĎTE ANALÝZU NEDOSTATKŮ

Nyní, když máte všechny systémy, kontrolní mechanismy a dokumenty, musíte porovnat, jak jste na tom s požadavky na shodu se standardem SOC 2. Tato analýza nedostatků vám umožní identifikovat všechny oblasti, ve kterých váš systém při ochraně údajů zákazníků zaostává. Díky tomu můžete vytvořit plán nápravy, abyste je uvedli do souladu ještě před formálním auditem SOC 2.

Auditor může také provést posouzení připravenosti. Během posouzení připravenosti provede auditorská firma vlastní analýzu nedostatků a poskytne vám některá doporučení. Vysvětlí Vám také požadavky kritérií důvěryhodných služeb, které jste si vybrali.

$("#btn-3").click(function(){ $(".text-div-3").slideToggle({ "opacity" : "show", bottom: "100" }, 500); }); var cross3 = true; $(".close3").click(function(){ if(!cross3){ $(".text-div-3").slideToggle({ "opacity" : "show", bottom: "100" }, 500); cross3 = false; } }); $(".text-div-3").click(function(){ if(cross3){ $(".text-div-3").slideToggle({ "opacity" : "show", bottom: "100" }, 500); cross3 = true; } });

KROK 4

DOKONČETE HODNOCENÍ PŘIPRAVENOSTI

V rámci přípravy si můžete přizvat auditora SOC, který vám zodpoví případné dotazy.

$("#btn-4").click(function(){ $(".text-div-4").slideToggle({ "opacity" : "show", bottom: "100" }, 500); }); var cross4 = true; $(".close4").click(function(){ if(!cross4){ $(".text-div-4").slideToggle({ "opacity" : "show", bottom: "100" }, 500); cross4 = false; } }); $(".text-div-4").click(function(){ if(cross4){ $(".text-div-4").slideToggle({ "opacity" : "show", bottom: "100" }, 500); cross4 = true; } }); $("#img-1").hover(function(){ $(this).attr("src", function(index, attr){ return attr.replace("/getattachment/Services/Audit-Assurance/Overovani-tretich-stran-(TPA)/SOC1/1_osa.png.aspx?lang=cs-CZ", "/getattachment/Services/Audit-Assurance/Overovani-tretich-stran-(TPA)/SOC1/osa_1.png.aspx?lang=cs-CZ"); }); }, function(){ $(this).attr("src", function(index, attr){ return attr.replace("/getattachment/Services/Audit-Assurance/Overovani-tretich-stran-(TPA)/SOC1/osa_1.png.aspx?lang=cs-CZ", "/getattachment/Services/Audit-Assurance/Overovani-tretich-stran-(TPA)/SOC1/1_osa.png.aspx?lang=cs-CZ"); }); }); $("#img-2").hover(function(){ $(this).attr("src", function(index, attr){ return attr.replace("/getattachment/Services/Audit-Assurance/Overovani-tretich-stran-(TPA)/SOC1/2_osa.png.aspx?lang=cs-CZ", "/getattachment/Services/Audit-Assurance/Overovani-tretich-stran-(TPA)/SOC1/osa_2.png.aspx?lang=cs-CZ"); }); }, function(){ $(this).attr("src", function(index, attr){ return attr.replace("/getattachment/Services/Audit-Assurance/Overovani-tretich-stran-(TPA)/SOC1/osa_2.png.aspx?lang=cs-CZ", "/getattachment/Services/Audit-Assurance/Overovani-tretich-stran-(TPA)/SOC1/2_osa.png.aspx?lang=cs-CZ"); }); }); $("#img-3").hover(function(){ $(this).attr("src", function(index, attr){ return attr.replace("/getattachment/Services/Audit-Assurance/Overovani-tretich-stran-(TPA)/SOC1/3_osa.png.aspx?lang=cs-CZ", "/getattachment/Services/Audit-Assurance/Overovani-tretich-stran-(TPA)/SOC1/3_osa.png.aspx?lang=cs-CZ"); }); }, function(){ $(this).attr("src", function(index, attr){ return attr.replace("/getattachment/Services/Audit-Assurance/Overovani-tretich-stran-(TPA)/SOC1/3_osa.png.aspx?lang=cs-CZ", "/getattachment/Services/Audit-Assurance/Overovani-tretich-stran-(TPA)/SOC1/3_osa.png.aspx?lang=cs-CZ"); }); }); $("#img-4").hover(function(){ $(this).attr("src", function(index, attr){ return attr.replace("/getattachment/Services/Audit-Assurance/Overovani-tretich-stran-(TPA)/SOC1/4_osa.png.aspx?lang=cs-CZ", "/getattachment/Services/Audit-Assurance/Overovani-tretich-stran-(TPA)/SOC1/osa_4.png.aspx?lang=cs-CZ"); }); }, function(){ $(this).attr("src", function(index, attr){ return attr.replace("/getattachment/Services/Audit-Assurance/Overovani-tretich-stran-(TPA)/SOC1/osa_4.png.aspx?lang=cs-CZ", "/getattachment/Services/Audit-Assurance/Overovani-tretich-stran-(TPA)/SOC1/4_osa.png.aspx?lang=cs-CZ"); }); });

KRITÉRIA

SOC je postaven na pěti kritériích svěřenských služeb (dříve nazývaných Zásady svěřenských služeb), které definoval Americký institut certifikovaných účetních (AICPA).

Tato kritéria důvěryhodných služeb jsou základními prvky kybernetické bezpečnosti. Zahrnují kontroly organizace, hodnocení rizik, zmírňování rizik, řízení rizik a řízení změn.