Vad är SOC 2?
SOC 2 (System and Organization Controls 2) är ett revisionsramverk utvecklat av AICPA baserat på Trust Services Criteria: Säkerhet, Tillgänglighet, Bearbetningsintegritet, Konfidentialitet och Integritetsskydd. En SOC 2-rapport utfärdas av en oberoende CPA-firma efter en formell revision.
Typ I vs. Typ II
- Typ I: Bedömer utformningen av kontroller vid en specifik tidpunkt. Snabbare att uppnå, ofta vald som första steg.
- Typ II: Bedömer utformning och operativ effektivitet av kontroller under en period (vanligtvis 3–12 månader). Starkare försäkran och föredras av de flesta företagskunder.
Vem behöver SOC 2?
- SaaS- och molnleverantörer som betjänar B2B-kunder
- Leverantörer av hanterade tjänster (MSP) och datacenter
- FinTech, InsurTech och andra reglerade tjänsteleverantörer
- HR-tech, MedTech och andra plattformar som hanterar känslig data
- Alla tjänsteleverantörer som behöver passera leverantörsbedömningar från amerikanska kunder
BALTUMs SOC 2-process
- Beredskapsbedömning: Granskning av nuvarande kontroller mot Trust Services Criteria.
- Kontrolldesign: Utveckling av policyer, procedurer och tekniska kontroller.
- Evidensinsamling: Systematisk insamling och organisering av bevis under observationsperioden.
- CPA-samordning: Samordning med oberoende CPA-firma för formell SOC 2-revision.
Typisk tidsram
SOC 2 Typ I: 2–3 månader. SOC 2 Typ II: 5–9 månader (inklusive observationsperiod). Organisationer med befintlig ISO 27001-certifiering kan ofta återanvända upp till 70% av befintliga kontroller.
SOC 2 + ISO 27001
BALTUM erbjuder integrerade SOC 2 + ISO 27001-program som delar ett enhetligt kontrollramverk och evidensinsamlingssystem, vilket avsevärt minskar den totala ansträngningen och kostnaden.