ВНЕДРЯВАНЕ НА УПРАВЛЕНСКИ СТАНДАРТИ
0700 12 070
ЗАПИТВАНЕ ЗА ОФЕРТА
Начало| Стандарти и регулации| SOC 2
Вашата оценка 5.00 от 1 гласа

Service Organisation Control Type 2

SOC 2


Компаниите са изправени пред нарастваща среда на заплахи, което прави сигурността на информацията и данните основен приоритет. Едно нарушение на данните може да струва милиони, да не говорим за удара по репутацията и загубата на доверие на клиентите. Киберсигурността изисква да се определят рамки – ръководни принципи и добрите практики, които компаниите трябва да следват, за да гарантират сигурност на информацията. SOC 2, или Service Organisation Control Type 2, е рамка за киберсигурност, разработена от Американския институт на дипломираните експерт-счетоводители (AICPA). Основната ѝ цел е да гарантира, че доставчиците на услуги съхраняват и обработват клиентски данни по сигурен начин.
 
Докато стандарти като ISO/IEC 27001 и PCI DSS имат строги изисквания по отношение на контролите за киберсигурност, при SOC 2 това не е така. Всяка компания проектира и приема свои собствени контроли в зависимост от оперативни си модели. След това се назначава независим одитор, който да провери дали контролите на компанията отговарят на изискванията на SOC 2. След одита одиторът пише доклад за това колко добре системите и процесите на компанията отговарят на SOC 2.
 
SOC 2 определя изискванията за управление и съхраняване на клиентски данни въз основа на пет критерия за доверителност на услуги (Trust Service Criteria, TSC):
 
Сигурност. Най-общо казано, принципът на сигурност изисква защитата на данните и системите срещу неоторизиран достъп. За тази цел може да се наложи прилагане на някаква форма на контрол на достъпа, прилагане на защитни стени със строги правила за входящия и изходящия трафик, въвеждане на системи за откриване и възстановяване на проникване и използване на многофакторно удостоверяване.
 
Конфиденциалност. Данните се считат за поверителни, ако само определена група хора имат достъп до тях. Това може да включва код на приложението, потребителски имена и пароли, информация за банкова карта или бизнес планове и др. За да се спазва този принцип, поверителните данни трябва да бъдат криптирани, както в покой, така и по време на пренос като се спазва принципа на най-малко привилегии, т.е. предоставяне на минималните права, от които хората се нуждаят, за да вършат работата си.
 
Наличност. Това изисква изграждане на системи, осигуряващи наличност на услугите по всяко време, устойчиви на грешки и голям трафик. Този принцип изисква от организациите използване на системи за наблюдение на мрежата и създаване и използване на планове за възстановяване след бедствие.
 
Поверителност. Събирането, съхранението, обработката и разкриването на каквато и да е лична информация (PII) трябва да се придържа към политиката за използване на данни и поверителност на организацията, заедно с условията, определени от AICPA, в Общоприетите принципи за поверителност (GAPP). Организацията трябва да наложи строг контрол, за да защити PII от неоторизиран достъп.
 
Интегритет на обработката. Всички системи трябва винаги да функционират според предназначението си, без забавяния, уязвимости, грешки или бъгове. Обработката на данни трябва да бъде пълна, валидна, точна, навременна и оторизирана. Въпреки това целостта на обработката не означава непременно цялост на данните. Ако данните съдържат грешки преди да бъдат въведени в системата, откриването им обикновено не е отговорност на обработващия обект. Мониторингът на обработката на данни, съчетан с процедурите за осигуряване на качеството, може да помогне да се гарантира целостта на обработката.
 
 

За да удовлетворите петте принципа на TSC, трябва да отговорите на следните въпроси по отношение на:
  • Информационна сигурност: как се защитават данните от неоторизиран достъп и използване?
  • Логически и физически контрол на достъпа: как се управлява и ограничава логическия и физическия достъп, за да се предотвратява неоторизирано използване?
  • Системни операции: какви са и как се управляват системите за откриване и смекчаване на отклонения в процеса?
  • Управление на промените: Как прилагате контролиран процес на управление на промените и предотвратявате неоторизирани промени?
  • Намаляване на риска: как се идентифицира и намалява риска от прекъсване в бизнеса и услугите?
 
Видове SOC 2 доклади
 
SOC 2 докладите са два вида:
  • SOC 2 тип I оценяват контролите на компанията в един конкретен момент. Те дават отговор на въпроса: правилно ли са проектирани контролите за сигурност?
  • SOC 2 тип II оценяват как тези контроли функционират за определен период от време, обикновено от 3 до 12 месеца. Те отговарят на въпроса: функционират ли контролите за сигурност, които една компания има, както е предвидено?
За да изберете между двете, помислете за вашите цели, разходи или ограничения, например във времето.

Резултати от одита по SOC 2
Всяка организация, преминала одит по SOC 2, получава доклад, независимо от резултата от одита. Ето термините, които одиторите използват, за да опишат резултатите от одита:
  • становище без забележки (Unqualified Opinion): компанията е преминала одита без резерви и ограничения. Това означава, че контролите, които одиторът е проверил, са проектирани и работят точно както трябва.
  • становище със забележки (Qualified Opinion): компанията премива одита, но някои области изискват внимание. По време на одита една или повече контроли, включени в оценката, не са проектирани или внедрени по подходящ начин.
  • отказ (Disclaimer Opinion): организацията не е предоставила на одитора достатъчно информация и те не са успели да съставят мнение дали отговаряте на изискванията на SOC 2.
  • неблагоприятно становище (Adverse Opinion): организацията не отговаря на един или повече от стандартите за съответствие. Считани за най-ниското мнение в доклад на SOC 2, неблагоприятните мнения казват на клиентите, че не трябва да се доверяват на системите на организацията
 
Кой има нужда от SOC 2 доклад?
Ако сте организация, предоставяща услуги, която съхранява, обработва или предава някакъв вид клиентски данни, вероятно ще трябва да сте съвместими със SOC 2, защото: 
  • изискванията на SOC 2 помагат на вашата компания да установи вътрешни контроли за сигурност – основа на политики и процеси за сигурност, които могат да помогнат на ви да се разшири сигурно.
  • изграждате доверие с вашите клиенти.
Често организации, предоставящи услуги, се нуждаят от SOC 2 доклад, защото клиентите им го изискват. Клиенти трябва да знаят, че чувствителните им данни са в безопасност. SOC 2 докладът може да бъде и ключът към разширяване на продажбите и преминаването към по-голям пазар. Той:
  • дава сигнал към клиентите за ниво на сложност във вашата организация;
  • демонстрира вашия ангажимент към сигурността;
  • осигурява мощно предимство пред конкуренцията.
Казано просто, одитът на SOC 2 е важен по две причини. Първо, получаването на SOC 2 доклад помага на вашия бизнес да поддържа най-добрите в класа си стандарти за сигурност. И второ, може да отключи значителни възможности за растеж.
 

Service Organisation Control Type 2



ЕТИКЕТИ
ISO/IEC 27001 ISO/IEC 20000 ISO/IEC 27018 ISO/IEC 27701 сигурност на информацията информационна сигурност киберсигурност TISAX SOC 2 NIST SP 800-53
Новини
27
02.24
ISO и климатичните промени
Изменение 1: Действия, свързани с изменението на климата В края на миналата с...
05
02.24
ISO/IEC 27001:2023 на български език
Българският институт по стандартизация публикува БДС EN ISO/IEC 27001:2023 "...
Полезно
18
10.23
​EMAS – Схема за управление по околна среда и одит
Европейската Схема за управление по околна среда и одит (Eco-management and Audi...
10
08.23
Стандарти за защита на автомобилната сигурност
През последните няколко години автомобилната индустрия претърпя бързи промен...

Внедряване на управленски стандарти

КОНСЕХО ЕООД (CONSEJO) е консултантска фирма, сформирана от екип консултанти с над 15 годишен опит по системи за управление в областта на международните стандарти. Фокусът на фирмата е предоставяне на консултантски услуги при разработване и внедряване на системи за управление, покриващи изискванията на международните стандарти по качеството, околната среда, безопасни условия на труд, сигурност на информацията, добри производствени практики на базата на международните стандарти: ISO 9001, ISO 14001, ISO 45001, ISO 22000, ISO 27001, IFS Food, HACCP и други.

Екипът на КОНСЕХО е участвал в реализирането на проекти във всички отрасли на икономиката. Реализираните проекти от екипа на КОНСЕХО са над 1000, в областите - производство и проектиране, строителство, търговия, информационни и комуникационни технологии, транспорт и спедиция, хотелиерство и ресторантьорство, специална продукция, енергетика, дизайн, хранително-вкусова промишленост, услуги и др. Във фирмата е изграден стриктен ред за контрол по спазването на договорените изисквания с клиентите, както сроковете на договорите, така и качеството на изпълнение на услугата. Изграденият стил на работа на фирмата се състои в разработване на истински системи за управление, съвместно с нашите клиенти, на базата на провеждане на множество обучения и оказване на пълно съдействие в процеса на внедряване. Чрез подхода си на работа КОНСЕХО осигурява и гарантира безпроблемно сертифициране на изградените системи в изключително кратки срокове.

Виж повече
Партньори
https://neterra.net/
https://www.gromahold.bg/dejnosti/
https://www.oktaxi.net/
https://www.softwaregroup.com/
https://www.scorpion-shipping.net/
https://www.dundeeprecious.com/
https://www.mumnet.com/
https://www.brenntag.com/
https://www.yettel.bg/
https://www.cetinbg.bg/
https://www.dhl.com/bg-en/home.html
https://ciela.bg/
https://datecs.bg/
https://bse-sofia.bg/
https://biseroliva.bg/
https://stemo.bg/bg/
https://www.enco-vending.com/
https://toto.bg/
https://www.geotechmin.com/biznes-napravleniya/minnodobivna-deinost/elatzite-med-ad
https://multiforce.bg/
https://www.ip-arch.com/
http://www.aviationservices.bg/
https://vipsecurity.bg/
https://etemgestamp.com/
https://www.orbit.bg/bg/
https://www.devin-bg.com/
https://next-consult.com
https://rdservices.org/
https://www.unimasters.com/bg_BG/
https://vp-brands.com/
https://cashcredit.bg/
https://www.office1.bg/
https://techno-class.com/
https://sportal.bg/