EFTERLEVNAD OCH STYRNING
SOC 2
Vad är SOC 2?
SOC 2 (System and Organization Controls 2) är en revisionsstandard utvecklad av AICPA som utvärderar tjänsteleverantörers hantering av kunddata. Rapporten granskar organisationens kontroller baserat på fem Trust Services Criteria: säkerhet, tillgänglighet, bearbetningsintegritet, konfidentialitet och integritet.
SOC 2 Type I vs. Type II
- Type I: Utvärderar designen av kontroller vid en specifik tidpunkt.
- Type II: Utvärderar både design och effektivitet av kontroller över en period (vanligtvis 6–12 månader).
SOC 2 jämfört med andra ramverk
- ISO 27001: En internationell certifiering av ett ledningssystem för informationssäkerhet (ISMS). SOC 2 är en revisionsrapport, inte en certifiering.
- SOC 1: Fokuserar på kontroller som påverkar kundernas finansiella rapportering.
- SOC 3: En förenklad, publik version av SOC 2 utan känsliga detaljer.
SOC 2 är särskilt relevant för SaaS-leverantörer, MSP:er och andra tjänsteleverantörer som hanterar kunddata. Många B2B-kunder kräver en SOC 2-rapport som del av sin leverantörsgranskning (TPRM). Advania stödjer organisationer i att bygga och bevisa robusta kontroller, bland annat genom CIS Controls och efterlevnadspartnerskap.