影响|什么是SOC2合规性？它如何影响您的业务？业务|合规性|服务

SOC 2报告如何帮助云服务提供商在竞争中脱颖而出（并使您的客户对您保护其数据的能力更有信心）

文章图片
虽然我们都可以欣赏到这部漫画的幽默，但令人震惊的是，有多少组织在云存储数据的安全性，隐私性和机密性方面拥有这种思维方式。这正是SOC 2合规性审核和报告真正派上用场的地方。
但是，SOC 2合规性是什么？SOC2合规性是许多企业和组织信息安全的重要组成部分。对于第三方服务提供商，例如云存储，Web托管和软件即服务（SaaS）公司，尤其如此……或者，实际上，任何将其客户数据存储在云中的组织均是如此。可以想象，这大大扩展了列表。
基本上，SOC 2的审核和报告可帮助服务提供商证明其所处理数据（即其客户或客户的用户数据）的私密性，机密性和完整性是优先考虑的。虽然并不是说它们作为整个组织都具有100％的安全性，但这表明它们在缺少这些报告的竞争对手中领先。这可以帮助他们的客户了解那些供应商正在做他们应该做的事情，以确保云中数据的安全。
那么，当我们谈论SOC2合规性时，这到底是什么意思？为何拥有SOC 2报告对您的客户如此重要？谁真正执行了这些检查并创建了全球组织信任的报告？
让我们对其进行哈希处理。
什么是SOC 2？SOC2合规性带来了什么……感到有点迷茫？您并不孤单（因此我们写这篇文章的原因）。简而言之，SOC2（通常称为“袜子2”）代表信息安全不可或缺的三个系统和组织控制（SOC）审核和报告中的第二个。SOC是由美国注册会计师协会（AICPA）制定的一套合规标准，APA是全球超过430,000个CPA的成员网络。
SOC审核旨在检查组织的政策，程序和内部控制。测试和报告这些控件很重要，因为它们会影响实体敏感数据的安全性，隐私和机密性。每次审核均按照AIPCA审核指南和“ 认证标准”第101节（通常称为“ AT第101节”）进行。
SOC审核是服务提供商需要在数据隐私，安全性和完整性方面划清界限的要素。这是要向客户和潜在客户表明您知道自己在做什么，并正在采取适当的步骤来确保他们的数据对您而言是安全的。
SOC报告的三种类型那么，服务组织的SOC报告选项的三种类型是什么？它们包括：

SOC 1-设计用于报告影响组织内部财务报告（ICFR）内部控制的过程和控制。从本质上讲，您作为服务组织所做的选择可能会影响用户组织的财务报告。
【影响|什么是SOC2合规性？它如何影响您的业务？】SOC 2- 此报告旨在为服务组织和非财务报告控制报告，并着重于五个关键的信任服务标准（以前称为信任服务原则）或TSC（众所周知）（我们将在后面进行讨论）暂时深入）。基本上，这里的目标是帮助概述必要的标准，以确保敏感数据在传输或静止时保持私有和安全。
SOC 3 –第三种类型的SOC报告在报告标准方面类似于第二种类型–两者之间的差异归结为如何报告信息。SOC 2专为特定组织量身定制，而SOC 3报告则更适用于普通受众（公众）。

从技术上讲，也有关于网络安全和供应链的SOC报告，但今天我们不会涉及所有这些。只需知道，用于网络安全的SOC报告（本质上是对组织的网络安全风险管理计划的检查）与SOC 2参与报告之间存在几个关键区别。KirkPatrickPrice报告说，这些差异与主题，目的和用途，受众和报告类型有关。
有适用于所有类型SOC报告的特定标准，这些标准称为“ 证明参与标准声明（SSAE）”，当前版本为18。此审计标准基本上是现已弃用的SSAE的继承者。第16号审核标准，该审核标准过去仅适用于SOC 1报告。
SOC 2和SOC 1如何不同，以及为什么SOC 2合规性对您的组织很重要SOC 2标准尤其关注于内部控制和系统的非财务报告，您可以实施这些内部控制和系统来保护存储在云环境中的数据的机密性和隐私性。
基本上，这些控件是一组特定的策略和过程，可帮助确保第三方服务提供商负责保护的任何敏感信息的安全性。这与SOC 1考试侧重于财务报告不同。基本上，这种类型的报告是由审核员为审核员创建的。
好吧，考虑到您的组织必须遵守特定的数据安全标准（例如：CCPA，GDPR，FIPS，PCI DSS，HIPAA等），那么您应该可以期望与您签约的任何第三方组织能够在线存储或处理您的数据也一样…对吗？
如果您相信这一点，那么我就有一两个桥梁可以卖给您……可能还有一个独角兽。
不幸的是，并非所有服务提供商都严格保护自己的数据。如果您的数据处理不当，很容易受到各种安全问题的影响，其中包括：

数据盗窃，泄露和泄漏 -考虑到基于风险的安全性报告称，由于数据泄露，2019年有超过150亿条记录被暴露，这是一个关键问题。
恶意软件和勒索软件攻击 -去年，勒索软件对于美国各地的主要组织和机构来说是一个代价很高的问题。Emsisoft报告称，仅在2019年，勒索软件攻击给医疗保健提供者，政府组织和教育机构造成了高达79亿美元的损失。
名誉损失和相关损失 -出于任何原因而失去信任会对组织造成重大打击。如果是实施安全措施可以避免的网络安全事件的结果，那就是双重打击。分页标题

因此，如果他们对自己的做法不严格，您为什么希望他们付出更多的精力来保护您的数据？这是SOC 2考试的五个信任服务标准起作用的地方。
那么，SOC 2的信任服务标准是什么？

文章图片
如您所知，SOC 2检查是确保第三方服务提供商正在执行他们应采取的措施来保护和保护客户数据的一种方法。通过了解信誉良好的第三方（在本例中为获得许可的CPA）已根据五项特定的信任服务标准（TSC）评估了服务提供商的政策，控制措施和程序，以减轻或识别潜在风险，从而为您提供了一些安全保证：
AICPA的《 TSP 100 2017信任服务安全性，可用性，处理完整性，机密性和隐私权准则》中概述了这些报告选项：
1.安全性信任服务标准的这一部分包含在所有SOC审核中。它着眼于SOC 2审核报告原则中的通用标准（CC），该标准与保护用于收集或创建，存储，使用，处理或传输数据的数据和系统有关。（在完成TSC之后，我们将讨论这些CC。）
根据AICPA的《 2017年信任服务指南》，安全TSC就是要确保：
“保护信息和系统免受未经授权的访问，未经授权的信息披露以及对系统的损害，这些损害可能损害信息或系统的可用性，完整性，机密性和隐私性，并影响实体实现其目标的能力。”
在“无忧无虑”中，我们始终对数据安全性和完整性的重要性持保留态度。因此，我们很高兴看到安全性也成为AICPA名单上的第一名，因为它是如此重要！
可能属于此类别的工具和策略的一些示例包括：

入侵检测和入侵检测系统（IDS）
防火墙以及其他网络和应用程序安全措施
多因素身份验证工具和潜在的客户端证书
渗透测试和漏洞评估
实施计算机使用政策
数字和物理访问控制

我们要指出一件事：安全类别适用于所有业务，而报告中不必涵盖其他四个类别。（基本上，您可以根据需要只报告安全性，也可以选择报告安全性以及我们稍后将讨论的任何其他选项。）
一些组织选择做到彻底，并包括全部五个组织，而其他组织仅包括他们认为最适用于他们的标准。确实，您的选择取决于您要如何进行。
2.可用性TSC类别全都涉及可访问性-数据对于实体的系统以及其客户收到的产品或服务的可用性。在审核的这一部分中，获得许可的CPA会检查系统的控件，以查看它们是否支持操作，监视和维护的这种可访问性，并帮助组织实现其目标。
属于此类别的工具，过程和策略的一些示例包括：

灾难响应与恢复
安全的数据备份
性能和事件监控与响应

3.处理完整性好吧，这个类别是不言自明的。但是，让我们继续将其分解。众所周知，企业和组织希望知道在处理过程中不会以任何方式破坏或篡改其客户的数据。因此，如果他们与第三方服务提供商合作，则这部分信任服务标准将帮助他们确保数据的准确性，完整性，有效性和及时性以及提供商系统正在处理数据经授权。
最终，这里的重点是解决实体的系统是否能够实现其设计目的或目的。因此，审核过程的这一部分评估系统在处理过程中是否显示出任何延迟，遗漏，错误或操纵（无意或未经授权）。但这并不一定意味着数据中没有因错误的数据输入而导致的错误，但是，这当然是数据完整性问题，这是一个单独的问题。
属于此类别的流程和策略的一些示例包括流程监控和质量保证（QA）流程。
4.保密性五个信任服务标准的这一类别旨在证明任何“机密”数据均受到保护和安全。其中包括各种类型的信息……从实体的个人信息到其知识产权的所有信息。
加密至关重要，例如SSL / TLS证书和电子邮件签名证书（又名客户端证书和个人身份验证证书）提供的传输中数据安全性。
对于保护数据特别有用的一些工具和过程包括：

数字和物理访问控制
网络和应用防火墙
密码解决方案

5.隐私权等等，机密性和隐私不是一回事吗？不。TSC机密性适用于各种类别的敏感信息，而隐私权仅适用于包括（但不限于）以下内容的个人身份信息（PII）：

名和姓
社会安全号码（或其他类似的标识符）
地址和联系方式

AICPA在其指南中概述了隐私权标准，具体如下：

通知和目标沟通
选择与同意
采集
使用，保留和处置
访问
披露和通知
质量
监控与执行

为了符合此领域的SOC 2合规性要求，组织必须证明他们安全地保护和处理了个人信息。此特定的报告选项涉及如何收集，使用，披露，保留和处置数据，作为实体执行工作的一部分。
一些对SOC 2合规性有用的重要工具，流程和策略包括：

加密
访问控制
隐私和披露通知
安全处置流程

关于我们之前提到的那些通用标准…您是否知道五个信任服务标准只是TSP的一部分？实际上，还有第二个要考虑的部分-基本上，五个SOC 2通用标准中的每个标准都包含九个特定的子类别：分页标题

控制环境（CC1）
交流与信息（CC2）
风险评估（CC3）
监控控件（CC4）
与控件的设计和实施有关的控件活动（CC5）
逻辑和物理访问控制（CC6）
系统操作（CC7）
变更管理（CC8）
降低风险（CC9）

文章图片
前五个共同标准类别对应于2013年COSO框架中概述的前五个类别，该框架由17条原则组成。（注意：2013 COSO框架仍作为2017 TSC标准的一部分使用。）TSP第100.05节概述了其余四个补充标准类别，作为补充COSO原则12的附加标准。
TSP第100.07节涵盖了其余四个TSP类别的其他特定标准。
那么，SOCO的17条原则是什么？SOCO的17条原则如下（注：这些文字逐字引用自AICPA 2017 TSP第100节文件）：
原则1：实体表现出对诚信和道德价值观的承诺。
原则2：董事会表现出与管理层的独立性，并对内部控制的发展和绩效进行监督。
原则3：管理层在董事会的监督下建立结构，报告渠道，并为实现目标建立适当的权限和责任。
原则4：实体展现出根据目标吸引，发展和保留有能力的个人的承诺。
原则5：实体要求个人在追求目标时对内部控制责任负责。
原则6：主体以足够明确的方式指定目标，以便能够识别和评估与目标相关的风险。
原则7：实体在整个实体中识别实现其目标的风险，并分析风险，作为确定如何管理风险的基础。
原则8：主体在评估实现目标的风险时考虑欺诈的可能性。
原则9：主体确定并评估可能会严重影响内部控制系统的变更。
原则10：主体选择并开展控制活动，这些活动有助于将风险降低到实现可接受的水平。
原则11：实体还选择并开发针对技术的一般控制活动，以支持目标的实现。
原则12：实体通过建立期望的策略以及将策略付诸实践的程序来部署控制活动。
原则13：实体获取或生成并使用相关的质量信息来支持内部控制的功能。
原则14：实体在内部传达支持内部控制功能所必需的信息，包括内部控制的目标和责任。
原则15：实体就影响内部控制功能的事宜与外部各方进行沟通。
原则16：主体选择，制定和执行正在进行的和/或单独的评估，以确定内部控制的组成部分是否存在并起作用。
原则17：企业应及时评估内部控制缺陷并将其传达给负责采取纠正措施的各方，包括高级管理层和董事会（视情况而定）。
SOC 2报告的两种类型如果您像大多数人一样，至少听说过SOC 2报告。但是您可能不知道，SOC 2报告实际上有两种类型：报告1和报告2。这两个报告旨在提供有关组织用来处理和保护用户数据并保护的控制和系统的详细信息和保证。他们的隐私。他们这样做的方式以及每个报告的重点是什么，每个报告与另一个报告都不同，并且部分差异会随着时间的流逝而变化。
让我们进一步研究这两个报告，以更好地了解SOC2合规性：

SOC 2类型1报告 -根据AICPA，该报告是“管理层对服务组织系统的描述以及控件设计和操作有效性的适用性。” 该报告在特定时间点评估控件。
SOC 2类型2报告 -此报告迈出了第一步，不仅关注控件的描述和设计，而且实际上涉及评估控件的操作有效性。此外，这种情况不会在一到两周内发生-评估注册会计师会在很长一段时间内编写此报告，以确保控制措施的有效性（可能需要几个月的时间）。

Dash Solutions的首席执行官Jacob Nemetz提供公共云中的安全合规性解决方案，他强调企业拥有SOC报告的重要性。
“通常，服务组织应该每年查看一次SOC报告，以确保SOC 2报告得到持续的覆盖。承保范围问题可能导致合作伙伴或客户进行进一步的安全审查。”
— Dash Solutions首席执行官Jacob Nemetz如何获得SOC 2合规性报告只有获得许可的注册会计师事务所才能提供这些报告之一。为什么？因为AICPA要求SOC审核和报告只能由独立的，有执照的注册会计师执行。从审核和报告过程的开始到结束，您都需要聘请经过认证的CPA或CPA公司的服务。
因此，这意味着尽管您可能与非CPA簿记员Sue保持良好的工作关系，但如果她不是注册会计师，那么她将无法执行SOC 2审计。就是那样子。
组织应与信誉良好的SOC 2审计公司合作，并且在进行SOC 2审计时可以期望处理以下事项：

安全调查表-服务组织很可能会收到有关您团队的安全计划，策略和已实施的安全控制的一系列问题。
文件和证据收集-可能要求团队提供组织内有效控制的证据。团队将要提供当前的策略并证明技术安全控制措施已经到位。
安全评估—审核员可能会要求提供有关内部控制的其他证据或信息。可能会要求具有SOC 2合规性差距的团队在收到报告之前更新其安全计划并解决安全问题。
报表创建-审核员成功评估了您的内部控制后，他们将为您的组织编写并提供SOC 2报告。

虽然审计公司可以与您的组织合作以确保安全控制是最新的，但团队应该拥有某些内部控制和文档，以简化合规流程。分页标题
“不准备进行SOC 2审核的团队通常会面临更长的评估过程，更多的审查以及更高的总体成本。团队应准备安全控制措施并收集所有相关证据以简化审核过程。”
— Dash Solutions首席执行官Jacob Nemetz要了解有关SOC 2合规性的内容，审核和报告流程中涉及的内容以及一般SOC的更多信息，请联系处理SOC报告的持牌CPA。虽然我们在这里为您提供见解，但我们没有获得许可的CPA，因此请务必与专家联系！
关于SOC 2合规性的最终想法（TL; DR for You Skimmers）是的，我们知道所有这些都可以吸收，但是我们希望本文能够回答您所有与“ SOC 2是什么？”有关的问题。或“ SOC 2合规性是什么？” 这就是为什么我们要为那些喜欢略读而不是阅读内容的人提供一些简短的摘要：

SOC 2是信息安全必不可少的三种类型的系统和组织控制审核和报告中的一种。
它们对于提供有关特定实体的信息很有用，有关它们如何在云中处理和存储敏感或私有数据。
SOC 2报告可以包含一个或多个信任服务条件，但始终包括安全性：

隐私。
保密性，以及
处理完整性
可用性，
安全，

TSC有一些通用标准：

风险管理（CC9）
变更管理（CC8）
系统操作（CC7）
逻辑和物理访问控制（CC6）
控制活动（CC5）
活动监控（CC4）
风险管理（CC3）
信息与通讯（CC2）
控制环境（CC1）

SOCO原则有17条
只有获得许可的CPA才能评估您的组织是否符合SOC2合规性标准。

如果您是将客户数据存储在云中的服务提供商或其他组织，则无论您选择只报告安全信任服务标准还是全部五个TSC，都必须接受SOC 2审计和报告，这一点很重要。毕竟，此类报告告诉组织（您的潜在客户）您对保护其数据很认真。因此，为什么不通过证明您的企业在竞争中领先于他人来为他们提供安全保证呢？
符合SOC 2的要求是向组织表明您有能力，并正在采取步骤确保客户数据的安全。与漫画最初提出的建议不同，您不是一个依靠运气，混乱或其他不可靠因素来保护其云中数据的组织。