Business hour
Our support available to help you 24 hours a day, seven days a week.
Monday-Friday: 9am to 5pm
Saturday: 10am to 2pm
Sunday: Closed
Monday-Friday: 9am to 5pm
Saturday: 10am to 2pm
Sunday: Closed
För en SOC 2-certifiering, eller bättre; ett SOC 2-bestyrkandeutlåtande om kriterierna för betrodda tjänster, krävs en rapport om kontroll av tjänsteorganisationen. Denna rapport bör granskas av en extern revisor. Revisorn utfärdar en bestyrkanderapport enligt SOC 2 (ISAE 3000) typ I eller SOC 2 typ II, som ingår i bestyrkanderapporten. Denna rapport bör utarbetas i enlighet med kriterierna för betrodda tjänster. Alla kontroller måste ingå och bör vara granskningsbara. I allmänhet kräver detta mer registrering av kontroller och mer disciplin för att arbeta i enlighet med dessa kontroller.
Som en konsekvens av den ökade IT-outsourcingen. Många organisationer fokuserar på kärnverksamheten och outsourcar icke-kärnprocesser. Som en konsekvens av minskat förtroende mellan parter ökar kraven på säkerhet och kontroll över säkerhetsrisker.
En SOC 2-rapport kommer att granskas av en extern revisor. Rapporteringen ska utarbetas i enlighet med Trust Services Criteria och revisionsreglerna (ISA). Om de ansvariga medarbetarna har en revisionsbakgrund kan detta vara till hjälp i processen att förbereda en SOC 2-rapport. Specialiserade organisationer kan stödja dig med utarbetandet av rapporten, beredskapsbedömning och hantering av revisionsprocessen.
Professionella användarorganisationer (företag) kräver i allmänhet dessa från sina tjänsteleverantörer. Om processer är inlagda på ditt företag och dessa processer är avgörande för deras verksamhet är en SOC 2-rapport lämplig. Andra organisationer som står under tillsyn av till exempel SEC eller FSA bör kunna visa att säkerheten kontrolleras av serviceorganisationer.
SOC 2 och Trust Services Criteria är internationella standarder och riktlinjer för säkerhet. I (internationella) upphandlingar kommer en SOC 2-bestyrkanderapport förmodligen att krävas i IT-outsourcingsituationer. En annan fördel är att era interna processer kommer att vara bättre anpassade till era IT- och säkerhetsrisker och bättre formaliserade.
I princip kräver SOC 2 eller ISAE 3000 att urvalsstorlekarna är i linje med minskningen av risken till en rimlig nivå. I PCAOB-riktlinjerna bestäms urvalsstorlekar för kontroller beroende på kontrollfrekvens och kontrollrisk. Detaljerade riktlinjer för provstorlekar ingår inte i SOC 2-standarden.
Det här är en semantisk diskussion. En SOC 2-rapport är strikt inte en certifiering. Det är en kontrollrapport för serviceorganisationen med en bestyrkanderapport i enlighet med SOC 2 och/eller SOC 1. I allmänhet kallas det på marknaden ofta för en SOC 2-certifiering.