Hur väljer man rätt SOC 2-principer?

En vanlig fråga är vem som är ansvarig för att fastställa och välja ut de principer som ska ingå i en SOC 2-undersökning. Svaret på den här frågan är inte alltid det som en serviceorganisation vill höra. Precis som med SOC 1 är det alltid ledningens uppgift att välja Trust Services Principles (TSP). Det handlar ofta om vilka principer som passar ditt företag, dina tjänster och dina kunder. Tyvärr finns det ingen definitiv lista med regler som måste följas när man väljer dessa principer. Nedan följer en beskrivning av dessa TSP:er:

  • Informationssäkerhet: Systemet är skyddat mot obehörig åtkomst, användning eller modifiering för att uppfylla enhetens systemkrav.
  • Tillgänglighet: Systemet är tillgängligt för drift och användning enligt åtagande eller överenskommelse.
  • Bearbetningens integritet: Systembehandlingen är fullständig, giltig, korrekt, sker i rätt tid och är auktoriserad.
  • Konfidentialitet: Information som betecknas som konfidentiell skyddas enligt åtagande eller överenskommelse.
  • Sekretess: Personuppgifter samlas in, används, bevaras, lämnas ut och kasseras för att uppfylla enhetens mål.

De omfattning

Innan du bestämmer dig för principerna måste du först fastställa undersökningens omfattning. Detta görs genom att identifiera de olika komponenter som faller inom ramen, inklusive tredje part som erbjuder samma tjänster. Detta är ett viktigt steg, eftersom organisationer ofta har en snävare syn på sina tjänster och vad som bör ingå i ett SOC 2-system. Dessutom måste organisationerna noga överväga sin infrastruktur, programvara, personal, rutiner och data när de definierar riktlinjerna för en SOC 2-granskning. Var och en av dessa enskilda komponenter beskrivs närmare i SOC 2-litteraturen.

Informationssäkerhet

Efter att ha fastställt omfattningen är nästa steg att avgöra vilka principer som gäller för serviceorganisationens system. Ta till exempel säkerhetsprincipen. Denna måste ingå i alla SOC 2-undersökningar eftersom den innehåller kriterier som är relaterade till alla andra principer. Dessa gemensamma kriterier omfattar att säkerställa säkerheten i ett system, till exempel att upptäcka och förhindra obehörig ändring, förstörelse eller utlämnande av information.

Om en kund vill ha en rimlig försäkran om att deras uppgifter är säkra, är de sannolikt mest intresserade av säkerhetsprincipen. Denna princip är så bred att det kan vara tillräckligt för kunden att endast undersöka denna princip för att få en känsla av säkerhet för sina uppgifter.

Tillgänglighet

Den näst vanligaste principen för en SOC 2-granskning är tillgänglighet. Eftersom de flesta serviceorganisationer tillhandahåller en outsourcad tjänst till sina kunder, är tillgängligheten till denna tjänst ofta avtalsreglerad genom servicenivåavtal (SLA). Därför är principen om tillgänglighet en tvingande princip att inkludera i en SOC 2-undersökning.

Bearbetningsintegritet

Om serviceorganisationen hanterar transaktioner för sina kunder är Processing Integrity en tredje intressant princip. Denna princip bidrar till att säkerställa att data behandlas fullständigt, giltigt, korrekt och på ett auktoriserat sätt. Förutom säkerhetsprincipen, tillgänglighetsprincipen och processintegritet kan två andra principer ingå i en SOC 2-granskning.

Konfidentialitet och integritet

De två sista principerna är konfidentialitet och integritet. Dessa diskuteras ofta i samma sammanhang, även om principerna är olika. Dessutom anser många organisationer att dessa två principer är av stor betydelse för SOC 2-examinationen. Principerna är likartade i det att de båda avser informationen ”i” systemet. Skillnaden är att Privacy-principen endast gäller personlig information. Begreppet ”konfidentiell information” kan dock ha olika innebörd för olika företag. Om serviceorganisationen hanterar konfidentiell information och särskilda avtal har ingåtts om att skydda dessa uppgifter, är principen om konfidentialitet relevant.

Inom ramen för en SOC 2-granskning avser Privacy skyddet av personlig information. Om en serviceorganisation har ansvar för att hantera ”livscykeln” för personlig information (även känd som PII, Personally Identifiable Information), är denna princip intressant att inkludera i granskningen. Livscykeln avser insamling, användning, utlämnande, lagring och förstöring av personuppgifter.

Överlag är det en viktig process att välja rätt principer. Det börjar med att vara välinformerad om vilka principer som bäst tillämpas i en given situation. Detta kräver en god förståelse för organisationen. Därefter är kunskapen och erfarenheten hos ett erfaret SOC 2-företag ovärderlig. Ett välrenommerat företag kommer att vägleda en organisation i att välja lämpliga principer för SOC 2-undersökningen.

Share this blog

juli 5, 2024

Återanvänds den lokala administratörens lösenord i din miljö? Windows operativsystem...

    juni 17, 2024

    Signering för små och medelstora företag: Stoppa nätverksövertagande attacker Vikten...

      maj 28, 2024

      Securance och Kiwa samarbetar kring lösningar för cybersäkerhet och riskhantering...