摘要：在本文中，我们将查看SOC 2 Type 2报告，并将其与ISO/IEC 27001和HITRUST进行比较。您将了解法规遵从性评估之间的显著差异、范围、谁受益、何时应考虑评估以及认证持续时间。在本文结束时，您将了解Soc 2 Type 2报告涵盖的内容、主要好处以及开始评估所需采取的步骤。

什么是SOC 2类型2报告？

SOC 2类型2报告是服务组织控制（SOC）对基于云的服务提供商如何处理敏感信息的审计。它涵盖了公司控制措施的适用性及其运营效率。

对于云和数据存储公司来说，对其安全保障进行独立评估是信任的基石，涵盖了五大信任服务原则（TSP）：安全性、可用性、处理完整性、保密性和隐私。作为评估的一部分，基于云的供应商托管独立检查员，向他们提供控制文档，并允许对其系统进行采样和测试。

SOC 2是一个流行的安全和风险评估框架，但公司可能会考虑使用ISO/IEC 27001或HITRUST。

SOC 2类型2 vs ISO/IEC 27001 vs HITRUST

由美国注册会计师协会（AICPA）开发的SOC2类型2，有时称为SOC2类型II，是三种流行的安全框架类型之一。所有这些都旨在解决基于云的系统中的网络安全问题。ISO/IEC 27001是由国际标准化组织（ISO）和国际电工委员会（IEC）制定的国际标准。引入HITRUST是为了解决与保护健康记录相关的问题，并使用基于风险的框架，而不是基于法规遵从性的框架。

SOC 2类型2 vs ISO/IEC 27001

这些安全认证密切相关，但并不完全相同。SOC 2类型2报告证明了公司的控制，最终报告提供的是证明，而不是认证。ISO/IEC 27001对公司进行了认证。它还需要一个信息安全管理系统（ISMS）——一个专注于风险管理的框架，详细说明您将持续采用的规范，以降低风险并解决安全问题。

在北美以外，ISO/IEC 27001的使用超过SOC 2。全球公司最终将需要SOC和ISO/IED 27001报告。这两种评估之间的另一个区别是，持牌会计师事务所证明了SOC 2报告。ISO 27001使用经认证的独立注册商对其报告进行认证。

SOC 2类型2与HITRUST

这三个安全框架都使用不同的范围因素。HITRUST的框架使用了19个类别，包括156项与《健康保险可移植性和责任法案》（HIPAA）一致的控制措施。HITRUST跨行业工作，但专注于处理电子保护健康信息（ePHI）。

评估人员评估公司控制的方式也不同。HITRUST对每个控制要求使用成熟度评级；SOC 2控制设计和操作有效性的2型试验。作为评估的一部分，HITRUST还确定了纠正行动计划（CAP），以帮助实现认证。如果客户需要这两种审查，公司可以选择在两次检查后将SOC 2 Type 2报告加上HITRUST和HITRUST认证合并为一份报告。

HITRUST认证有效期为两年，但评估员将在第二年测试19个类别中至少一个控件的样本，以继续认证。SOC 2类型2报告要求每年进行一次全面检查。

为什么SOC 2类型2很重要？

Soc 2类型2报告对于安全性和盈利能力都至关重要。首先，SOC 2类型2评估提供了证据，证明一个组织正在实施他们所说的安全控制，并且这些控制在保护敏感数据方面工作正常。如果没有云端的眼睛和耳朵，很难评估第三方供应商手中的信息有多安全。SOC 2类型2报告让人安心。

放心是一个很好的销售工具，但SOC 2 Type 2报告也越来越多地通过向企业敞开大门来提高盈利能力，否则这些企业将无法实现。越来越多的公司对其云供应商进行尽职调查，并实施内部要求以监控第三方供应商的安全。证明合规性是登陆这些账户的先决条件。

谁从SOC 2类型2审计中受益？

寻找企业帐户的基于云的供应商肯定会从SOC 2合规性中受益，这通常是为争夺数据敏感公司的业务而需要的。但评估也有助于其他公司。

对于历史上有数据泄露的公司，评估表明他们致力于严密的安全实践。它提供了一层保护，可以向合作伙伴保证，安全问题已经成为过去。

拥有未经认证竞争对手的公司也能从中受益。他们将证明他们对安全问题是认真的，并且能够预测客户对透明流程的需求。

定义SOC 2类型2报告的范围

SOC 2类型2报告使用美国注册会计师协会（AICPA）TSP，从安全到隐私。注册会计师将首先通过询问您收集的客户数据类型、存储方法以及您的业务需求和运营情况，确定哪些标准将包含在您的报告范围内。

要完成SOC 2评估，公司只需接受单一类别的审计：安全。但这并不能使过程变得简单。仅安全一项就可以包括近100项控制，如密码安全、员工入职、培训、物理访问控制、背景检查、安全培训、事件响应和多因素身份验证。SOC 2类型2是灵活的，因为您只会在需要的级别上评估那些适用于您的业务的。

SOC 2类型1和类型2之间的区别是什么？

对于您选择评估的每个TSP（如安全性），都有一个AICPA需求列表，您设计了控制来处理这些需求。SOC 2类型1报告描述了您在单个时间点制定的内部控制政策，并描述了其适用性。但是SOC 2类型2报告的范围更大，随着时间的推移（通常为六个月）对这些系统进行测试。

这两项评估的准备工作包括起草系统说明、绘制控制图、进行研究，以及对每个领域进行风险评估。然后，在SOC 2类型2评估中，审核员进行实地工作，在数周或数月内观察控制、选择样本和测试过程。

何时应进行SOC 2类型2审核？

根据AICPA，公司应在以下情况下考虑SOC 2类型2报告：

• 他们的客户需要了解他们的流程和控制
• 他们的利益相关者需要在公司的安全流程中获得信心和信任

获得认证并不总是做生意的必要条件，但它可能是赢得企业合同的必要条件。虽然许多公司会等到客户需要评估，但那些有企业销售目标的公司会从尽早接受审计中受益，因为在这种情况下，仍然有足够的灵活性来改变流程和控制，并轻松实施培训。

何时开始规划SOC 2类型2审计？

SOC 2类型2报告有多个部分。首先确定要评估的类别，进行差距分析，进行评估，最后编写报告。但是没有清单可以指导你，因为每个行业都是不同的。

因为这个过程很长，所以提前几个月开始计划。您需要设计和实施内部控制，定义哪些服务将包含在报告中，在内部程序指南中记录控制，进行准备就绪评估，并熟悉您需要遵守的联邦和地方法规。

SOC 2类型2审计的成本是多少？

SOC 2类型2评估是一项漫长的工作，可能需要花费10000至50000美元。将准备工作添加到组合中，在时间和金钱上的投资都是巨大的。SOC 2评估也可能有隐藏成本，从完成准备状态评估到用新工具和解决方案填补安全漏洞，以及对员工进行新政策培训。

由于SOC 2类型2评估必须每年完成，因此这些成本会再次发生。从准备就绪评估和记录流程开始可以降低成本。

SOC 2类型2报告的有效期为多久？

SOC 2类型2评估自发布之日起12个月内有效。短的验证期意味着有复杂IT需求的公司可以接受近一年的评估，结果发现他们将很快开始重新认证过程。

每年重新认证的需要意味着您的组织将希望继续收集文档、备份数据、建立法规遵从性和培训规范，并将安全性放在首位。毕竟，在为明年的审计做准备时，你将领先一步。

让我们开始吧

公司越来越依赖于大量基于云的服务来存储数据，在这种情况下，违规行为正在增加。从网络钓鱼到勒索软件，网络安全词汇引起了公司的注意，他们必须越来越多地证明自己对保护自己和客户保持警惕。但对于希望保护其基于云的服务的公司来说，起步可能会令人困惑。他们如何证明自己是值得信赖的合作伙伴？他们应该使用哪种协议？他们需要哪些控件？

看起来有很多框架和选择。但在他们的基础上，像SOC 2 Type 2这样的评估都是为了帮助公司描述他们的控制，并显示这些控制在现场工作。

本文：https://cioctocdo.com/soc-2-type-2-guide-everything-you-need-know