SOC 2 pasirengimo vertinimas
Prieš praleidžiant mėnesius SOC 2 audite, reikia žinoti, kur iš tikrųjų esate pagal patikimumo paslaugų kriterijus. Mūsų SOC 2 pasirengimo vertinimas kartografuoja jūsų esamas kontroles pagal penkis TSC ramsčius, nustato audito blokuojančius trūkumus ir pateikia prioritizuotą šalinimo planą su įrodymų rinkimo gairėmis — kad pats auditas vyktų sklandžiai ir laiku.
Pirma pasirengimas — paskui auditas
Dauguma įmonių patenka į pirmąjį SOC 2 auditą nepasiruošę. Auditorius pažymi dešimtis kontrolių trūkumų, projektas trunka mėnesiais ilgiau nei planuota ir galutinė ataskaita turi kvalifikacijas, kurių enterprise pirkėjai klausinės. SOC 2 pasirengimo vertinimas atskleidžia tuos trūkumus prieš auditorių — kai dar turite laiko juos sklandžiai pašalinti.
Mūsų pasirengimo vertinimas nustatytas pagal jūsų patikimumo paslaugų kriterijų pasirinkimą. Dauguma SaaS įmonių pradeda tik nuo saugumo (CC); įmonės, tvarkančios jautrų duomenį, dažnai prideda prieinamumo (A) ir konfidencialumo (C). Padedame pasirinkti tinkamą apimtį prieš pradedant vertinimą, kad įrodymų rinkimas būtų sutelktas į kriterijus, kuriuos tikrins jūsų auditorius. Išvestis yra trūkumų registras ir įrodymų planas, tiesiogiai pereinantis į mūsų pilną SOC 2 pasiruošimo projektą.
Nuo esamos būklės iki auditui paruošto plano
Trūkumų analizė
Kontrolė po kontrolės vertinimas pagal visus penkis SOC 2 patikimumo paslaugų kriterijus: saugumas (CC), prieinamumas (A), konfidencialumas (C), apdorojimo vientisumas (PI) ir privatumas (P). Trūkumai surikiuoti pagal audito blokavimo sunkumą — kad pirmiausia taisytumėte tinkamus dalykus. Kiekvienoje išvadoje nurodomas konkretus TSC kriterijus, su kuriuo ji susijusi.
Patikimumo paslaugų kriterijų kartografavimas
Visapusis jūsų esamų kontrolių kartografavimas pagal SOC 2 patikimumo paslaugų kriterijus. Matote tiksliai, kurie kriterijai jau tenkinami, kurie tenkinami iš dalies ir kurie neturi aprėpties. Naudojama audito projekto apimčiai nustatyti ir šalinimo išlaidoms prioritizuoti.
Įrodymų rinkimo gairės
Kiekvienai kontrolei tiksliai nurodome, kokių įrodymų prašys jūsų auditorius: prieigos peržiūros įrašai, pakeitimų žurnalai, pažeidžiamumų nuskaitymo istorija, mokymų užbaigimo sertifikatai, tiekėjų rizikos vertinimai. Gausite paruoštą įrodymų kontrolinį sąrašą ir rinkimo kalendorių, kad nieko netrūktų pradedant auditą.
Auditoriaus pasirinkimo palaikymas
CPA įmonės pasirinkimas yra svarbus. Padedame vertinti licencijuotus SOC 2 auditorius pagal pramonės patirtį, įprastą audito trukmę, kainą ir ataskaitos kokybę. Supažindiname su įmonėmis, su kuriomis dirbome, ir padedame derėtis dėl apimties — kad pasirinktumėte auditorių, kurio ataskaitą jūsų enterprise pirkėjai iš tikrųjų priims.
SOC 2 pasirengimo vertinimas — dažniausiai užduodami klausimai
Kas yra SOC 2 pasirengimo vertinimas?
SOC 2 pasirengimo vertinimas yra struktūrizuotas jūsų esamų informacijos saugumo kontrolių vertinimas pagal AICPA patikimumo paslaugų kriterijus (TSC). Jis nustato kontrolių trūkumus, kuriuos pažymėtų auditorius, įvertina jūsų šalinimo darbo krūvį ir rengia įrodymų rinkimo planą. Tai pasiruošimo žingsnis, atliekamas prieš auditą, skirtas auditą padaryti greitesniu, pigesniu ir labiau tinkančiu gauti švarią ataskaitą.
Kiek laiko SOC 2 trunka po pasirengimo vertinimo?
Po pasirengimo vertinimo laikas iki SOC 2 I tipo ataskaitos paprastai yra 2–4 mėnesiai. Tai apima: trūkumų, nustatytų vertinime, šalinimą (4–12 savaičių, priklausomai nuo kiekio), konkretaus laiko momento įrodymų rinkimą ir auditoriaus lauko darbus bei ataskaitų teikimą (4–8 savaitės). SOC 2 II tipas reikalauja papildomo 6–12 mėnesių stebėjimo laikotarpio po I tipo arba apibrėžtos pradžios datos. Įmonės, pasirengimo vertinime nustatančios minimalius trūkumus, gali judėti žymiai greičiau.
Koks skirtumas tarp SOC 2 I tipo ir II tipo?
SOC 2 I tipas yra konkretaus laiko momento vertinimas: jis patvirtina, kad jūsų kontrolės yra tinkamai suprojektuotos konkrečią dieną. SOC 2 II tipas apima laikotarpį (paprastai 6–12 mėnesių) ir patvirtina, kad jūsų kontrolės veikė efektyviai viso to laikotarpio metu. Įmonių pirkėjai ir dideli pirkimų skyriai aiškiai teikia pirmenybę II tipui — jis įrodo veiklos nuoseklumą, o ne tik projektinį ketinimą. I tipą rekomenduojame tik kaip tiltą, kai turite konkretų artimą terminą, kuris negali laukti II tipo stebėjimo laikotarpio.
Kiek kainuoja SOC 2 pasirengimo vertinimas?
Mūsų SOC 2 pasirengimo vertinimas prasideda nuo €4,500 tik saugumo (CC) kriterijų apimčiai 20–100 žmonių įmonėje. Kelių kriterijų vertinimai (pridedant prieinamumą, konfidencialumą ar privatumą) nustatomi individualiai. Vertinimo mokestis įskaitomas į pilną SOC 2 pasiruošimo projektą, jei su mumis tęsite — taigi, jei eisite iki audito, pasirengimo vertinimas jūsų nieko papildomai nekainuos. Pats auditas (CPA įmonės mokestis) yra atskiras ir paprastai kainuoja €8,000–€20,000, priklausomai nuo auditoriaus ir organizacijos dydžio.
Žinokite savo SOC 2 trūkumus prieš auditorių
Papasakokite, kuriuos patikimumo paslaugų kriterijus taikote ir kada jums reikia ataskaitos — nustatysime pasirengimo vertinimo apimtį ir grįšime su fiksuota kaina.
Susisiekti → ISO 27001 ir SOC 2 →