Gå tillbaka

SOC 2

Vad är SOC 2?

SOC 2 (System and Organization Controls 2) är en revisionsstandard utvecklad av AICPA som utvärderar tjänsteleverantörers hantering av kunddata. Rapporten granskar organisationens kontroller baserat på fem Trust Services Criteria: säkerhet, tillgänglighet, bearbetningsintegritet, konfidentialitet och integritet.

SOC 2 Type I vs. Type II

  • Type I: Utvärderar designen av kontroller vid en specifik tidpunkt.
  • Type II: Utvärderar både design och effektivitet av kontroller över en period (vanligtvis 6–12 månader).

SOC 2 jämfört med andra ramverk

  • ISO 27001: En internationell certifiering av ett ledningssystem för informationssäkerhet (ISMS). SOC 2 är en revisionsrapport, inte en certifiering.
  • SOC 1: Fokuserar på kontroller som påverkar kundernas finansiella rapportering.
  • SOC 3: En förenklad, publik version av SOC 2 utan känsliga detaljer.

SOC 2 är särskilt relevant för SaaS-leverantörer, MSP:er och andra tjänsteleverantörer som hanterar kunddata. Många B2B-kunder kräver en SOC 2-rapport som del av sin leverantörsgranskning (TPRM). Advania stödjer organisationer i att bygga och bevisa robusta kontroller, bland annat genom CIS Controls och efterlevnadspartnerskap.