SOC 2 – För tjänsteleverantörer som tar säkerhet på allvar
Mer digitala tillgångar i kombination med fler nationella, internationella och branschspecifika regelverk och direktiv ställer sammantaget högre krav på organisationers informationssäkerhetsarbete. Som en följd av de tilltagande kraven ställer allt fler företag i sin tur högre krav på sina tjänsteleverantörers förmåga att hantera och redovisa sin IT- och informationssäkerhet. Ett effektivt sätt att möta kravbilden är att efterleva vedertagna ramverk och standarder, såsom SOC 2.
SOC 2 (Service Organization Control) är ett rapporteringsramverk från AICPA (American Institute of Certified Public Accountants) som säkerställer och formaliserar informationssäkerheten hos tjänsteleverantörer.
Ramverkets kontroller baseras på fem grundprinciper, så kallade Trust Service Criterias; security, availability, confidentiality, privacy och processing integrity.
Kontrollerna är delvis fördefinierade, men lämnar utrymme för egna tolkningar och tillämpningar. Det innebär att organisationen i viss utsträckning kan anpassa kontrollerna efter den egna verksamheten, som sedan rapporteras in och valideras genom externa audits.
Dessa rapporter kan sedan användas för att förse kunder, tillsynsmyndigheter, samarbetspartners och den egna organisationen med information om aktuell säkerhetsstatus. Att arbeta med SOC 2-ramverket är även ett bra sätt att vara transparent och bevisa för kunder och intressenter att man som organisation tar säkerheten på allvar genom revision från en tredje part.
Faser inom SOC 2
Överväger ni att bli SOC 2-compliant? Sentors konsulter besitter relevant kompetens och erfarenhet för att stötta er i arbetet. Vårt GRC-team hjälper årligen många företag att implementera och efterleva olika ledningssystem och ramverk inom informationssäkerhet, såsom ISO27001 och SOC 2.
Sentors metodik för efterlevnad av SOC 2 består av fem faser;
1. Kom igång
I samråd med er definierar vi ramarna för er SOC 2-rapport samt vilka Trust Service Criterias som är applicerbara på just er verksamhet. I arbetet ingår inventering och klassificering av tillgångar, samt riskanalyser för att vidare kartlägga hur just era förutsättningar ser ut. All information som framkommer ur denna fas är viktig inför det fortsatta arbetet och kommande steg.
2. Kontrolldesign och implementation
Vi arbetar vidare med det scope som definierats i fas 1 genom design av kontroller enligt SOC 2 Trusted Service Criteria, samt etablerar en styrningsmodell för informationssäkerhet med hjälp av dokumenterade policys.
3. Internal audit
När kontrollerna är designade och implementerade genomför vi en internrevision för att verifiera efterlevnad och förbereda inför den externa revisionen i nästa steg. Internrevisionen genomförs av säkerhetsexperter från Sentor som inte har varit delaktiga under fas 1 och 2 för att säkerställa objektivitet.
4. SOC 2 typ 1 och 2
När det sedan är dags för externa revisioner finns vi där och stöttar er under processen. Rent praktiskt innefattar detta vanligtvis hjälp vid redogörelse för kontrolldesign och implementationen av dessa.
Den externa revisionen för SOC 2 är uppdelad i två delar; SOC 2 typ 1 som är en revision av kontrollefterlevnad och granskad vid tillfället för revisionen, samt SOC 2 typ 2 som är en revision av kontrollefterlevnad under en period om minst 6 månader. Skillnaden mellan typ 1 och typ 2 är med andra ord perioden för mätning, varav typ 2 beaktar efterlevnad av kontroller under en längre period.
Vi rekommenderar att börja med en SOC 2 typ 1-revision innan ni går vidare med SOC 2 typ 2. Detta för att säkerställa att resultatet från den första enskilda revisionen uppfyller målen innan en mätning över tid initieras.
5. Pågående support
Under det resterande arbetet med efterlevnad av SOC 2 kan Sentor fortsätta assistera med expertis inom informationssäkerhet för att facilitera bibehållen god informationssäkerhet över tid. Rent konkret handlar detta i många fall om stöd kring nyckelinsatser i särskilt viktiga aktiviteter, såsom riskanalys, incidenthantering etc.