Hur väljer man rätt SOC 2-principer?
En vanlig fråga är vem som är ansvarig för att fastställa och välja ut de principer som ska ingå i en SOC 2-utvärdering. Svaret på den här frågan är inte alltid det som en serviceorganisation vill höra. Precis som med SOC 1 är det alltid ledningens uppgift att välja Trust Services Principles (TSP). Det handlar ofta om vilka principer som passar ert företag, era tjänster och era kunder. Tyvärr finns det ingen definitiv lista med regler som måste följas när man väljer dessa principer. Nedan följer en beskrivning av dessa TSP:er:
- Informationssäkerhet: Systemet är skyddat mot obehörig åtkomst, användning eller modifiering för att uppfylla enhetens systemkrav.
- Tillgänglighet: Systemet är tillgängligt för drift och användning enligt åtagande eller överenskommelse.
- Bearbetningens integritet: Systembehandlingen är fullständig, giltig, korrekt, sker i rätt tid och är auktoriserad.
- Konfidentialitet: Information som betecknas som konfidentiell skyddas enligt åtagande eller överenskommelse.
- Sekretess: Personuppgifter samlas in, används, bevaras, lämnas ut och kasseras för att uppfylla enhetens mål.
Omfattning
Innan ni bestämmer er för principerna måste ni först fastställa undersökningens omfattning. Detta görs genom att identifiera de olika komponenter som faller inom ramen, inklusive tredje part som erbjuder samma tjänster. Detta är ett viktigt steg, eftersom organisationer ofta har en snävare syn på sina tjänster och vad som bör ingå i ett SOC 2-system. Dessutom måste organisationerna noga överväga sin infrastruktur, programvara, personal, rutiner och data när de definierar riktlinjerna för en SOC 2-granskning. Var och en av dessa enskilda komponenter beskrivs närmare i SOC 2-litteraturen.
Informationssäkerhet
Efter att ha fastställt omfattningen är nästa steg att avgöra vilka principer som gäller för serviceorganisationens system. Ta till exempel säkerhetsprincipen. Denna måste ingå i alla SOC 2-undersökningar eftersom den innehåller kriterier som är relaterade till alla andra principer. Dessa gemensamma kriterier omfattar att säkerställa säkerheten i ett system, till exempel att upptäcka och förhindra obehörig ändring, förstörelse eller utlämnande av information.
Om en kund vill ha en rimlig försäkran om att deras uppgifter är säkra, är de sannolikt mest intresserade av säkerhetsprincipen. Denna princip är så bred att det kan vara tillräckligt för kunden att endast undersöka denna princip för att få en känsla av säkerhet för sina uppgifter.
Tillgänglighet
Den näst vanligaste principen för en SOC 2-granskning är tillgänglighet. Eftersom de flesta serviceorganisationer tillhandahåller en outsourcad tjänst till sina kunder är tillgängligheten till denna tjänst ofta reglerad genom tjänstenivåavtal (SLA). Därför är principen om tillgänglighet en princip som behöver inkluderas i en SOC 2-utvärdering.
Behandlingsintegritet
Om serviceorganisationen hanterar transaktioner för sina kunder är behandlingsintegritet en tredje intressant princip. Denna princip bidrar till att säkerställa att data behandlas fullständigt, giltigt, korrekt och på ett auktoriserat sätt. Förutom säkerhetsprincipen, tillgänglighetsprincipen och principen om behandlingsintegritet kan två andra principer ingå i en SOC 2-granskning.
Konfidentialitet och sekretess
De två sista principerna är konfidentialitet och sekretess. Dessa diskuteras ofta i samma sammanhang, även om principerna är olika. Dessutom anser många organisationer att dessa två principer är av stor betydelse för SOC 2-utvärderingen. Principerna är likartade i det att de båda avser informationen ”i” systemet. Skillnaden är att sekretessprincipen endast gäller personlig information. Begreppet ”konfidentiell information” kan dock ha olika innebörd för olika företag. Om serviceorganisationen hanterar konfidentiell information och särskilda avtal har ingåtts om att skydda dessa uppgifter, är principen om konfidentialitet relevant.
Inom ramen för en SOC 2-granskning avser sekretess för skyddet av personlig information. Om en serviceorganisation har ansvar för att hantera ”livscykeln” för personlig information (även känd som PII, personligt identifierbar information), är denna princip intressant att inkludera i granskningen. Livscykeln avser insamling, användning, utlämnande, lagring och förstöring av personuppgifter.
Överlag är det en viktig process att välja rätt principer. Det börjar med att vara väl informerad om vilka principer som bäst tillämpas i en given situation. Detta kräver en god förståelse för organisationen. Därefter är kunskapen och erfarenheten hos ett erfaret SOC 2-företag ovärderlig. Ett välrenommerat företag kommer att vägleda en organisation i att välja lämpliga principer för SOC 2-utvärderingen.