ما هو SOC 2؟
SOC 2 (ضوابط النظام والمؤسسة 2) هو معيار تدقيق طوره المعهد الأمريكي للمحاسبين القانونيين المعتمدين (AICPA). يقيّم ضوابط مؤسسة الخدمة ذات الصلة بمعايير خدمات الثقة (TSC): الأمان والتوافر وسلامة المعالجة والسرية والخصوصية. الأمان (المعايير المشتركة) مطلوب؛ أما المعايير الأربعة المتبقية فاختيارية بحسب سياق الأعمال.
SOC 2 Type I مقابل Type II
- Type I — تقييم في نقطة زمنية محددة يؤكد أن الضوابط مصممة بشكل ملائم. الإطار الزمني المعتاد: 2-3 أشهر. مفيد كتقرير مؤقت أثناء السعي للحصول على Type II.
- Type II — تقييم خلال فترة مراقبة (عادة 6-12 شهراً) يؤكد أن الضوابط عملت بفعالية طوال الفترة. مطلوب من معظم مشتريات المؤسسات الكبرى وشركات Fortune 500.
من يحتاج إلى SOC 2؟
- شركات SaaS والبرمجيات السحابية التي تخدم عملاء مؤسسات أمريكية
- مزودو البنية التحتية السحابية والاستضافة ومراكز البيانات
- مزودو الأمان المُدار وخدمات تقنية المعلومات
- مزودو منصات الموارد البشرية والرواتب والمزايا
- أي مورد تقني يستجيب لاستبيانات الأمان المؤسسية
معايير خدمات الثقة — نظرة عامة على المعايير المشتركة
- CC1 — بيئة الرقابة (الحوكمة والمساءلة)
- CC2 — التواصل والمعلومات
- CC3 — تقييم المخاطر
- CC4 — مراقبة الضوابط
- CC5 — أنشطة الرقابة (السياسات والإجراءات)
- CC6 — ضوابط الوصول المنطقي والمادي
- CC7 — عمليات النظام (كشف الشذوذ والاستجابة للحوادث)
- CC8 — إدارة التغيير
- CC9 — تخفيف المخاطر
خدمات BALTUM لـ SOC 2
- تقييم الجاهزية مقابل جميع معايير خدمات الثقة المعمول بها
- سجل الفجوات وخارطة طريق المعالجة
- توثيق السياسات والإجراءات المتوافقة مع متطلبات TSC
- تطبيق منصة GRC (مثل Vanta أو Drata أو Sprinto أو ما شابه)
- التنسيق مع شركة CPA لتنفيذ تدقيق Type I وType II
- صيانة الامتثال المستمرة ودعم التدقيق السنوي
تكامل SOC 2 + ISO 27001
يربط إطار الأدلة الموحد من BALTUM معايير خدمات الثقة SOC 2 بضوابط الملحق A في ISO 27001:2022 — مما يتيح الحصول على شهادتي SOC 2 + ISO 27001 في وقت واحد بمكتبة سياسات واحدة وعملية تقييم مخاطر واحدة وتقليل كبير في تكرار التدقيق.