web-dev-qa-db-ja.com

SOC 2に準拠するための手順は?

SOC 2に準拠するために必要な具体的な手順はありますか?または、専門の監査人からチェックリストを入手するだけですか?

いくつかのコンテキスト:

  • 私たちは小さな会社であり、パートナーのAPIと統合するためにSOC 2に準拠する必要があります。
  • Ruby on RailsアプリがHerokuでホストされています。
4
rebagliatte

私はITセキュリティの専門家で、現在IT監査人として働いており、SOC 2の証明に非常に精通しています。質問に答えるには、まずSOC 2プログラムの背景を少し説明しておくと役立ちます。

SOC 2認証はAICPAの発案であり、 Trust Service Principlesに基づいています。 各Trust Principleには、 定義された一連の制御基準 管理者が定義するシステムが満たす必要があるシステムの概要の概要。各管理基準を満たすために使用される特定の管理については、それは会社の上級管理者の決定です。

SOC 2コンプライアンスを達成するために従う必要のある具体的な手順はありますか?

この質問は最終的に見当違いです。 SOC 2は、クライアントに提供するservicesの管理を管理者が定義した制御に関係しています。したがって、合格するために使用できるチェックリストを尋ねるのではなく、どのトラスト原則が会社の顧客にとって重要であるかを考えてください。ほとんどの場合、彼らはあなたの会社と取引するかどうかを決定する前に監査結果をレビューします。サービス監査人によって証明されたコントロールが最終顧客にとって価値がない場合、SOC 2認証を取得しても、その特定の顧客にとっては何も意味がありません

大まかに言えば、サービス監査人は、貴社の上級管理職によって与えられた説明に含まれている統制が、各信託原則の統制目的を満たすために適切に設計され、効果的に機能していることを確認します。サービス監査人が尋ねる可能性がある代表的な質問を以下に示します。

  • 信頼の原則を満たすために必要な手順とポリシー(提供されたサービスに基づいて適用される場合)は、関連するユーザーに伝えられていますか?

  • 定義されたシステムは不正アクセスから保護されていますか(セキュリティ原則)

  • 顧客と定義された機密データは、合意に従って保護されていますか? (守秘義務の原則)

最終的には、一般的な「チェックボックス」アプローチよりも顧客のニーズに焦点を当てることで、より良いサービスが提供されます。

8
Anthony