了解合规性 SOC 1、SOC 2 和 SOC 3
已发表: 2022-09-06合规性是组织发展的一个重要方面。
假设您想经营 SaaS 业务并瞄准中端市场客户。 在这种情况下,您需要遵守适用的规则和法规,并为您的公司保持更强的安全态势。
许多组织试图通过应用安全调查表来绕过这些要求。
因此,当客户或客户要求 SOC 证书时,您可以意识到遵守法规的重要性。
服务组织控制 (SOC) 合规性是指组织完成第三方审核以显示您的组织具有某些控制的一种认证。 SOC 合规性也适用于供应链和 SOC 网络安全。
2010 年 4 月,美国注册会计师协会 (AICPA) 宣布对 SAS 70 进行更改。改进后的新审计准则被命名为《鉴证业务准则声明》(SSAE 16)。
除了 SSAE 16 审计之外,还建立了另外三份报告来检查服务组织的控制。 这些被称为 SOC 报告,其中包含三个报告 - SOC 1、SOC 2 和 SOC 3 报告,具有不同的目标。
在本文中,我将提到每个 SOC 报告以及它们的应用位置,以及它们如何融入 IT 安全。
开始了!
究竟什么是 SOC 报告?
SOC 报告可以被视为在金钱和时间方面使组织受益的竞争优势。 它利用第三方和独立审计师来检查组织的不同方面,包括:
- 可用性
- 保密
- 隐私
- 加工完整性
- 安全
- 与网络安全相关的控制
- 与财务报告相关的控制
SOC 报告使公司能够确信潜在的服务提供商正在合规和合乎道德地运营。 尽管审计可能很棘手,但它们可以提供巨大的安全性和信任。 SOC 报告有助于建立服务提供商的可信度和可信度。
此外,SOC 报告可用于:
- 供应商管理计划
- 组织监督
- 监管监督
- 风险管理流程和内部公司治理
为什么 SOC 报告必不可少?
一些服务组织,例如数据中心公司、SaaS 提供商、贷款服务商和索赔处理商,都需要接受 SOC 检查。 这些组织需要存储其客户或用户实体的财务数据或敏感数据。
因此,任何为其他公司或用户提供服务的公司都可以参加 SOC 考试。 SOC 报告不仅让您的潜在客户知道该公司是合法的,而且还通过评估流程在您面前揭示您的控制或客户的缺陷和弱点。
您可以从 SOC 评估中得到什么?
在进行 SOC 评估流程之前,您必须确定最适合您的组织的 SOC 报告类型。 接下来,正式流程将从准备情况评估开始。
服务组织通过识别潜在的危险信号、差距、缺陷等来为考试做好准备。 通过这种方式,公司可以了解修复这些缺陷和弱点的可用选项。
谁可以执行 SOC 审核?
SOC 审计由独立的注册会计师 (CPA) 或会计师事务所执行。
AICPA 制定了旨在规范 SOC 审计员工作的专业标准。 除此之外,组织必须遵循有关执行、计划和监督的某些指导方针。
然后每次 AICPA 审计都要经过同行评审。 注册会计师组织或公司还聘请具有信息技术和安全技能的非注册会计师专业人士为 SOC 审计做准备。 但是,最终报告必须由注册会计师检查和披露。
让我们分别浏览每个报告以了解它们的工作原理。
什么是 SOC 1?
SOC 1 的主要目标是控制与用户实体财务报表审计相关的 SOC 1 文件和内部控制流程领域内的目标。
简而言之,它会告诉您组织的服务何时会影响用户实体的财务报告。
什么是 SOC 1 报告?
SOC 1 报告确定适用于用户实体对财务报告的控制的服务组织控制。 它旨在满足用户实体的需求。 在此,会计师评估服务组织内部控制的有效性。
SOC 1 报告有两种类型:
- SOC 1 类型 1:此报告通常侧重于服务组织的系统,并检查系统控制是否适合实现控制目标以及指定日期的描述。
SOC 1 Type 1 报告仅限于审计员、经理和用户实体,通常,服务提供商属于任何服务组织。 服务审核员确定涵盖 SSAE 16 的所有要求的报告。
- SOC 1 Type 2 :本报告的观点和分析与 SOC 1 Type 1 报告类似。 但是,它包括对旨在在特定时期内实现所有控制目标的预先建立的控制的有效性的看法。
在 SOC 1 类型 2 报告中,控制目标会导致内部控制想要减轻的潜在风险。 范围包括相关控制域并提供合理保证。 它还说,仅执行授权和适当的操作是有限制的。
SOC 1 的目的是什么?
正如我们已经讨论过的,SOC 1 是服务组织控制系列的第一部分,它涉及跨财务报告的内部控制。 适用于直接与合作伙伴和客户的财务数据交互的业务。
因此,它保护了组织的交互,存储用户的财务报表并传输它们。 但是,SOC 1 报告可帮助投资者、客户、审计师和管理层评估 AICPA 指南中有关财务报告的内部控制。
如何保持 SOC 1 合规性?
SOC 1 合规性定义了在定义的时期内管理 SOC 1 报告中添加的所有 SOC 1 控制的过程。 它确保了SOC 1规则运行的有效性。
控制一般为 IT 控制、业务流程控制等,用于根据控制目标提供合理保证。
什么是 SOC 2?
由 AICPA 开发的 SOC 2 描述了基于 5 项原则控制或管理客户信息以提供可信服务的标准:这些原则是:
- 可用性包括灾难恢复、安全事件处理和性能监控。
- 隐私:它包括加密、双重身份验证 (2FA) 和访问控制。
- 安全性:它包括入侵检测、双重身份验证以及网络或应用程序防火墙。
- 机密性:它包括访问控制、加密和应用程序防火墙。
- 加工完整性:包括加工监控和质量保证。
与 PCI DSS 不同,SOC 2 因其严格的要求而对每个组织都是独一无二的。 通过特定的业务实践,每个设计都可以控制以遵守多个信任原则。
什么是 SOC 2 报告?
SOC 2 报告允许服务组织接收并与利益相关者共享报告以描述一般情况; 就地安全的 IT 控制。
SOC 2 报告有两种类型:
- SOC 2 Type 1 :描述供应商的系统并说明供应商的设计是否适合满足信任原则。
- SOC 2 类型 2 :它共享供应商系统的操作有效性的详细信息。
SOC 2 在信息安全框架和标准方面因组织而异,因为没有明确的要求。 AICPA 提供服务组织选择的标准,以证明他们为保护所提供的服务而采取的控制措施。
SOC 2 的目的是什么?
符合 SOC 2 表明组织控制并保持了较高的信息安全级别。 严格的合规性使组织能够确保其关键信息是安全的。
通过遵守 SOC 2,您将获得:
- 增强的数据安全实践,组织保护自己免受网络攻击和安全漏洞。
- 竞争优势,因为客户希望与具有可靠数据安全实践的服务提供商合作,尤其是在云和 IT 服务方面。
它限制了对组织处理的数据和资产的未经授权的使用。 安全原则要求组织添加访问控制以保护数据免受恶意攻击、滥用、未经授权披露或更改公司信息以及未经授权的数据删除。
如何保持 SOC 2 合规性?
SOC 2 合规性是由 AICPA 制定的自愿性标准,用于指定组织如何管理其客户信息。 该标准用五个信任服务标准来描述,即安全性、处理完整性、机密性、隐私和可用性。
SOC 合规性是针对每个组织的需求量身定制的。 根据业务实践,组织可以选择应遵循一个或多个信任服务原则的设计控制。 它扩展到所有服务,包括 DDoS 保护、负载平衡、攻击分析、Web 应用程序安全、通过 CDN 交付内容等等。
简单来说,SOC 2 合规性不是工具、流程或控制的描述性列表; 相反,它引用了对维护信息安全至关重要的标准的必要性。 这允许每个组织采用与其运营和目标相关的最佳流程和实践。
以下是基本 SOC 2 合规性清单:
- 访问控制
- 系统操作
- 降低风险
- 更换管理层
什么是 SOC 3?
SOC 3 是 AICPA 开发的一种审计程序,用于定义服务组织对数据中心和云安全的内部控制强度。 SOC 3 框架也基于信任服务标准,包括:
- 安全性:系统和信息是安全的,可防止未经授权的披露、未经授权的访问和系统损坏。
- 过程完整性:系统处理是有效、准确、授权、及时和完整的,以满足实体的需求。
- 可用性:系统和信息可供使用和操作以满足实体的需求。
- 隐私:个人信息的使用、披露、处置、保留和收集是为了满足实体的需求。
- 机密性:被指定为关键的信息受到保护以满足实体的要求。
在 SOC 3 的帮助下,服务组织可以确定哪些信任服务标准适用于他们为客户提供的服务。 您还可以在标准声明中找到其他报告、性能要求和应用指南。
什么是 SOC 3 报告?
SOC 3 报告与 SOC 2 具有相同的信息,但在受众方面有所不同。 SOC 3 报告仅适用于一般受众。 这些报告很简短,并且不包含与 SOC 2 报告完全相同的数据。 它们适合利益相关者和知情的受众。
由于 SOC 3 报告更为笼统,因此可以在公司网站上快速公开地共享,并附上描述其合规性的印章。 它有助于与国际会计标准保持同步。
例如,AWS 允许公开下载 SOC 3 报告。
SOC 3 的目的是什么?
公司,尤其是小型公司或初创公司,通常没有足够的资源来控制或维护内部某些基本服务。 因此,这些公司经常将服务外包给第三方提供商,而不是投入额外的精力或金钱来为这些服务建立一个新部门。
因此,外包是一个更好的选择,但可能存在风险。 原因是组织根据组织选择外包的服务与第三方提供商共享客户数据或敏感信息。
但是,组织必须仅与证明 SOC 3 合规性的供应商合作。
SOC 3 合规性基于 SSAE 18 的 AT-C Section 205 和 AT-C Section 105。它包括独立管理层的描述和审计报告的基本信息。 它适用于所有在云中存储客户信息的服务提供商,包括 PaaS、IaaS 和 SaaS 提供商。
如何保持 SOC 3 合规性?
SOC 3 是 SOC 2 的后续版本,因此审核程序相同。 服务审核员正在寻求以下政策和控制:
- 灾难恢复
- 入侵检测
- 性能监控
- 质量保证
- 两因素身份验证
- 安全事件处理
- 加工监控
- 加密
- 访问控制
- 网络和应用防火墙
审核完成后,审核员会根据调查结果生成报告。 但 SOC 3 报告的详细程度要低得多,因为它只共享公众所需的信息。 服务机构在完成最终审核后免费分享结果以用于营销目的。 它告诉您要通过审核的重点。 因此,建议服务机构:
- 仔细选择控件。
- 进行评估以确定控制措施中的差距
- 弄清楚常规活动
- 描述事件警报的后续步骤
- 寻找合格的服务审核员进行期末考试
现在您已经对每种合规类型有了一些了解,让我们了解这三者之间的区别,以了解它们如何帮助每家公司在市场上站稳脚跟。
SOC 1 与 SOC 2 与 SOC 3:差异
下表描述了每份 SOC 报告的目的和好处。
| SOC 1 | SOC 2 | SOC 3 |
| 它对 1 类设计和 2 类设计或操作提出意见,包括测试程序和结果。 | 解决合作伙伴对组织运营(包括结果和程序)的需求的单一交付物。 | 类似于 SOC 2 合规性,但包含的信息较少。 它不包括测试程序、结果或控制。 |
| 它控制对财务报告的内部控制至关重要的要求。 | 非财务控制根据对标的物必不可少的五项信任原则进行评估。 | 它还取决于五个信任服务标准。 |
| 有限分发给客户和审计师 | 报告中将定义有限的分销监管机构、客户和审计师。 | 协助客户营销。 无限制分发 |
| 保持系统描述、控制、程序和结果的透明度。 | 它提供了与 SOC 1 完全相同的透明度级别 | 营销利益报告的一般分发。 |
| 它侧重于财务控制。 | 它侧重于操作控制。 | 它类似于 SOC 2,但信息较少。 |
| 它描述了服务组织的系统。 | 它还描述了服务组织的系统。 | 它描述了注册会计师对主体对系统的充分控制的意见。 |
| 它报告内部控制。 | 它报告可用性、隐私、机密性、处理完整性和安全控制。 | 类似于 SOC 2 |
| 用户控制器办公室和用户审计员使用 SOC 1。 | 它由监管机构、管理层和其他人根据 NDA 共享。 | 它可供公众使用。 |
| 大多数审计师都是“需要知道的”。 | 大多数利益相关者和客户“需要知道”。 | 公众 |
| 示例:医疗索赔处理器。 | 示例:云存储公司。 | 示例:公共企业。 |
结论
确定哪种 SOC 合规性最适合您的组织需要您可视化您正在处理的信息类型,无论是您的客户数据还是您的数据。
如果您提供工资单处理服务,您可能需要使用 SOC 1。如果您处理或托管客户数据,您可能需要 SOC 2 报告。 同样,如果您需要不太正式的合规性(最适合营销目的),您可能需要使用 SOC 3 报告。