当今的企业正在存储越来越多的客户数据，而不仅仅是用户担心其数据的安全。

为了确保数据保护而出现的合规性标准之一是服务组织控制 2 或 SOC 2 报告。虽然 SOC 2 标准不是法律或法规的一部分，但如果您处理客户数据，它们对您的业务同样重要。那么什么是 SOC 2？您是否需要担心您的企业获得 SOC 2 认证？

在本文中，我们将介绍SOC 2 的基础知识、谁应该寻求 SOC 2 认证、如何通过 SOC 2 审核、如何选择审核合作伙伴以及如何将 SOC 2 标准持续纳入您的业务实践。

什么是 SOC 2？

SOC 2是由美国注册会计师协会 (AICPA) 开发的审核程序，可确保您的企业或应用程序安全地处理客户数据，并以保护您的组织和客户隐私的方式。

处理客户数据的企业主动执行 SOC 2 审核，以确保它们满足所有标准。一旦外部审核员执行 SOC 2 审核，如果业务通过，审核员将颁发 SOC 2 证书，表明该业务符合所有要求。

SOC 2 审核涵盖五个信托服务类别：

• 安全性：衡量您的数据和系统免受未经授权的访问或信息泄露以及系统损坏的程度，以保护您存储的信息的可用性、完整性、机密性和隐私。

• 可用性：此信任类别涵盖您的信息和系统是否可用于操作和使用，以实现您公司的目标。

• 处理完整性：该原则评估您的系统的处理是否完整、准确，并且仅处理授权信息。

• 保密性：这包括指定为保密的信息是否按照您所说的那样受到保护。

• 隐私：这项最终的信任原则将考察您的用户个人信息是否根据贵公司的隐私声明和普遍接受的隐私原则(GAPP) 进行收集、使用、保留、披露和销毁。

SOC 2 审计有两种类型：类型 1 和类型 2。它们之间的区别非常简单：类型 1 审计着眼于特定安全流程或程序的设计以及某一时间点，而类型 2 审计则评估该安全流程在一段时间内的成功程度。

SOC 2 审计将包括：

• 意见书

• 管理层断言

• 系统或服务的详细描述

• 所选信托服务类别的详细信息

• 控制测试和测试结果

• 可选的附加信息

谁必须遵守 SOC 2？

正如我们之前提到的，法律上并不要求 SOC 2，并且获得认证在技术上也不是强制性的。然而，B2B 和 SaaS 企业如果尚未获得认证，则应认真考虑获得认证，因为这通常是供应商合同中的要求。

由于它得到如此广泛的采用和认可，许多采购和安全部门在批准购买您的软件之前可能需要一份 SOC 2 报告。

如果您的企业处理任何类型的客户数据，那么获取 SOC 2 报告将有助于向您的客户和用户表明您非常重视数据安全和保护。医疗保健、零售、金融服务、SaaS 以及云存储和计算公司只是将从 SOC 2 合规认证中受益的部分企业。

SOC 2 如何融入您的合规计划？

因为它是一个自愿遵守的框架，并且不受任何联邦或州法规强加于企业，所以您可能会认为大多数企业将其视为事后考虑，或者只有在遇到需要认证的潜在客户时才会费心去获得认证。

事实上，SOC 2 通常是 B2B 初创公司追求合规性的第一个合规框架，因为它提供了以下好处：它使您有机会了解内部控制中存在较大差距的地方以及您所实施的流程是否到位。实际上工作。

它告诉您所采取的安全措施是否有效，以及您的员工是否正在执行他们负责的控制措施。由于 SOC 2 涵盖了安全和隐私的许多不同方面，因此它是合规性计划的良好基础。

SOC 2 审计的范围应该是什么？

确定SOC 2 审计的范围对于成功至关重要。如果审计范围过大，您将在不具备或不需要的流程和程序上浪费不必要的时间；如果范围过窄，您将无法评估对现有和潜在客户而言重要的事项，从而有可能在补救措施和未来审计上花费更多。

它会涵盖所有信托服务类别吗？

每次审计不必包括所有五个信托服务类别，因为这些类别并不适用于每家公司。例如，如果您的公司只存储客户信息，不涉及任何信息处理，则无需审核处理完整性信任原则；同样，如果您不存储任何被视为机密的数据，则无需审核机密性原则。您的审核范围应根据与您的客户群最相关的内容及其主要关注点来确定。

它将覆盖哪些系统？

一般而言，对于提供核心服务或产品至关重要的系统应受到比对提供核心服务不重要的系统更严格的控制。例如，处理午餐订单或托管社交媒体帐户的系统可以排除在外。您可以通过区分生产系统和非生产系统来进一步限制 SOC 2 报告的范围。例如，虽然生产系统应该具有更严格的信息安全控制或机密性类别，但支持内部团队的工具不一定需要同样严格的控制级别。

一旦确定了 SOC 2 审核的范围，您就可以开发成功通过审核所需的流程和程序。这是确定此范围如此重要的另一个原因：如果您不仔细考虑需要遵守哪些 SOC 2 信任服务类别，您将无法全面了解需要做什么才能完全了解保护您的信息，否则您将花费时间建立不必要的合规性或数据保护措施。

SOC 2 类型 1 与类型 2

SOC 2 报告有两种类型——类型 1 和类型 2。

SOC 2 类型 1 检查评估某个时间点的控制。这意味着对控制措施的设计进行了评估，并确认了实施，但在 1 类报告中未评估一致的绩效。

SOC 2 类型 2 检查涵盖特定时间段（例如 6 至 12 个月）内控制措施的运行有效性。 SOC 2 类型 2 报告比类型 1 报告的标准更高，因为除了评估控制流程的设计和实施之外，它还评估控制措施在整个期间的一致性执行情况。这为客户和业务合作伙伴提供了对控制流程有效性的更大信心。

何时开始 SOC 2 合规之旅

如果您知道您将向企业销售技术服务/软件并存储和/或访问敏感的客户数据，那么最好在公司发展的早期就努力实现合规性。

我们公司的创始人兼首席执行官Craig Unger认为，启动该流程的最佳时机是当您的团队已经为您的核心服务开发了大部分功能并且您即将交付可用于生产的软件时。当您开始 SOC 2 合规之旅时，您需要确保已经建立了一些关键流程。您需要有足够的 IT 安全流程和这些流程的文档，以便审计员做出反应，这样他们就可以提供有关差距的见解。

尽早开始可以让您有机会在产品开发过程中嵌入安全控制，这比以后完全重新设计系统以满足某些安全标准要容易得多。尽早开始，您可以从一开始就将流程和控制融入团队文化中。这可能是行业现有企业无法复制的竞争优势。

如何选择审核员

在选择 SOC 2 审计师时，最重要的是要明白只有 CPA 公司才能执行 SOC 2 审计。CPA 公司可能会聘请在数据安全等领域具有专业知识的非 CPA 来协助进行这些审计，但最终审计必须由 CPA 提供和发布。

获得 SOC 2 报告后，您可能还想获得其他框架的认证（例如ISO 27001或HIPAA）。您可以考虑选择一家专门从事您所追求的合规性的多个合规框架的公司，或者具有与您所在行业合作的经验的公司。当您与一家在您所需要的所有框架方面都有经验的公司合作时，努力实现这一目标，您可以更快、以更低的成本完成审核。

准备审核

一旦您确定了 SOC 2 审计范围并选择了审计公司，您还可以在审计之前做一些其他准备工作。

收集文档

首先，将您拥有的所有合规性文档收集到一处。根据您要审核的五个信托服务类别中的哪一个，您需要提供不同类型的文档和合规证据。如果您有合规管理软件，这将是一个巨大的帮助。像 Hyperproof 这样的软件平台允许您快速存储、标记和调用文档，并在需要更新文档时提醒您。

完成审计准备情况评估

收集完所有文件后，您应与审计员一起完成审计准备评估，这可以帮助您在审计员的帮助下提前几个月为审计做好准备。利用此预审计机会可能大有裨益，因为它降低了审计员发现您的安全或合规计划存在重大漏洞并因此让您失望的可能性。

审计准备情况评估还为您提供了一个工具来团结您的组织并教育利益相关者了解建立数据合规性和 IT 安全措施的重要性。当您必须及时“收拾好自己的房子”以应对审计员的来访时，这可能会给您的利益相关者（例如高管和工程经理）留下立即启动合规计划的紧迫感。

与审计员会面

最后，在实际审计之前与审计员会面是有益的，因为审计员可以回答问题、解决疑虑，并让您了解您实施的特定控制是否合格。

为审计做准备是值得的。它可以使审计过程更加顺利，并降低因审计失败而重复审计的可能性。

安全审核期间会发生什么

独立的注册会计师 (CPA) 应进行 SOC 2 审计。对于每个适用的信托服务类别，审计员将通过审查您提交的证据来评估您的控制措施的有效性。

在评估过程中，审计员会要求您以电子形式提交所有类型的文件，例如组织结构图、资产清单、入职和离职流程以及变更管理流程。审计员还可能会采访贵组织内的关键利益相关者（例如安全工程师和 IT 员工），以更好地了解您的内部流程和操作程序。

审计本身可能需要几天到几周的时间才能完成，但彻底的准备可能需要几个月的时间。

如何持续遵守 SOC 2

大多数 SOC 2 报告涵盖 12 个月的时间，但有些公司选择每六个月完成一次这些审计。在完成符合 SOC 2 要求的初始工作后，理想情况下，您只需完成维护活动，而不必从头开始构建任何系统或流程。

与几乎所有其他合规框架一样，在自动化时保持 SOC 2 合规性是最容易的。手动流程越多，错过合规活动、证据过期和拖延职责的可能性就越大。

跟踪您的计划的合规管理软件在这里非常有价值。一个好的审核不仅可以帮助您为审核做好准备，还可以确保您在流程的某些部分不合规时收到警报，无论是由于法规的变化还是有人未完成程序。

作为Thales的合作伙伴，揽阁信息可以通过拥有全面国际认证的Thales HSM（硬件安全模块/加密机）、CipherTrust Data Security Platform（数据安全平台/KMS）、各类身份认证平台/系统/令牌等产品，为您打造专属的信息安全解决方案，以解决您在面临海外合规认证时的困扰和难题。欢迎与我们联系，进行深入的交流和沟通。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Thales与LuxTrust：数据主权和合规性的合作伙伴关系

• 硬件安全模块供应商已做好应对量子安全需求激增的准备

• Thales Luna HSM荣获第一家FIPS140-3 Level 3验证的硬件安全模块

• Thales CipherTrust 2.15 现已推出

• 升级基于PED的Thales Luna Network HSM的软件和固件