SOC 2

För tjänsteleverantörer som
tar säkerhet på allvar
Översikt

SOC 2 – För tjänsteleverantörer som tar säkerhet på allvar

Mer digitala tillgångar i kombination med fler nationella, internationella och branschspecifika regelverk och direktiv ställer sammantaget högre krav på organisationers informationssäkerhetsarbete. Som en följd av de tilltagande kraven ställer allt fler företag i sin tur högre krav på sina tjänsteleverantörers förmåga att hantera och redovisa sin IT- och informationssäkerhet. Ett effektivt sätt att möta kravbilden är att efterleva vedertagna ramverk och standarder, såsom SOC 2.

SOC 2 (Service Organization Control) är ett rapporteringsramverk från AICPA (American Institute of Certified Public Accountants) som säkerställer och formaliserar informationssäkerheten hos tjänsteleverantörer.

Ramverkets kontroller baseras på fem grundprinciper, så kallade Trust Service Criterias; security, availability, confidentiality, privacy och processing integrity.

Kontrollerna är delvis fördefinierade, men lämnar utrymme för egna tolkningar och tillämpningar. Det innebär att organisationen i viss utsträckning kan anpassa kontrollerna efter den egna verksamheten, som sedan rapporteras in och valideras genom externa audits.

Dessa rapporter kan sedan användas för att förse kunder, tillsynsmyndigheter, samarbetspartners och den egna organisationen med information om aktuell säkerhetsstatus. Att arbeta med SOC 2-ramverket är även ett bra sätt att vara transparent och bevisa för kunder och intressenter att man som organisation tar säkerheten på allvar genom revision från en tredje part.

Faser inom SOC 2

Överväger ni att bli SOC 2-compliant? Sentors konsulter besitter relevant kompetens och erfarenhet för att stötta er i arbetet. Vårt GRC-team hjälper årligen många företag att implementera och efterleva olika ledningssystem och ramverk inom informationssäkerhet, såsom ISO27001 och SOC 2.

Sentors metodik för efterlevnad av SOC 2 består av fem faser;

1. Kom igång

I samråd med er definierar vi ramarna för er SOC 2-rapport samt vilka Trust Service Criterias som är applicerbara på just er verksamhet. I arbetet ingår inventering och klassificering av tillgångar, samt riskanalyser för att vidare kartlägga hur just era förutsättningar ser ut. All information som framkommer ur denna fas är viktig inför det fortsatta arbetet och kommande steg.

2. Kontrolldesign och implementation

Vi arbetar vidare med det scope som definierats i fas 1 genom design av kontroller enligt SOC 2 Trusted Service Criteria, samt etablerar en styrningsmodell för informationssäkerhet med hjälp av dokumenterade policys.

3. Internal audit

När kontrollerna är designade och implementerade genomför vi en internrevision för att verifiera efterlevnad och förbereda inför den externa revisionen i nästa steg. Internrevisionen genomförs av säkerhetsexperter från Sentor som inte har varit delaktiga under fas 1 och 2 för att säkerställa objektivitet.

4. SOC 2 typ 1 och 2

När det sedan är dags för externa revisioner finns vi där och stöttar er under processen. Rent praktiskt innefattar detta vanligtvis hjälp vid redogörelse för kontrolldesign och implementationen av dessa.

Den externa revisionen för SOC 2 är uppdelad i två delar; SOC 2 typ 1 som är en revision av kontrollefterlevnad och granskad vid tillfället för revisionen, samt SOC 2 typ 2 som är en revision av kontrollefterlevnad under en period om minst 6 månader. Skillnaden mellan typ 1 och typ 2 är med andra ord perioden för mätning, varav typ 2 beaktar efterlevnad av kontroller under en längre period.

Vi rekommenderar att börja med en SOC 2 typ 1-revision innan ni går vidare med SOC 2 typ 2. Detta för att säkerställa att resultatet från den första enskilda revisionen uppfyller målen innan en mätning över tid initieras.

5. Pågående support

Under det resterande arbetet med efterlevnad av SOC 2 kan Sentor fortsätta assistera med expertis inom informationssäkerhet för att facilitera bibehållen god informationssäkerhet över tid. Rent konkret handlar detta i många fall om stöd kring nyckelinsatser i särskilt viktiga aktiviteter, såsom riskanalys, incidenthantering etc.

Vill du veta mer om hur vi kan hjälpa er med SOC 2? Lämna din e-postadress så hör vi av oss!

Sentor kommer lagra dina angivna personuppgifter för att tillgodose ditt berättigade intresse och dessa kommer lagras tills dess att affärsrelationen upphört. För mer information om hur Sentor hanterar personuppgifter, läs vår integritetspolicy.

Prenumerera på nyhetsbrevet

Vill du hålla dig uppdaterad inom IT- och informationssäkerhet? Anmäl dig till vårt nyhetsbrev här!
Anmäl dig!

Whitepapers

Sentor har tagit fram flera whitepapers som berör informationssäkerhet och compliance.

NIS-direktivet
GDPR och outsourcing
ISO 27001
Mer läsning!

Case studies

Vi har två kundcase där kunderna beskriver om sina utmaningar och hur Sentor har varit hjälp.

GDPR - Insplanet
ISO 27001 - TeamEngine
Mer läsning!

Debattinlägg i Sydsvenskan

Svenska organisationer måste ta ansvar för sin säkerhet. Det krävs inte minst nu när NIS-direktivet börjar gälla i EU, skriver Krister Hedfors.
Läs mer! (extern länk)

Vill du komma i kontakt med oss?