Martin Hořický
SOC 2, oficiálně Service Organization Control 2, informuje o různých organizačních kontrolách týkajících se bezpečnosti, dostupnosti, integrity zpracování, důvěrnosti nebo soukromí. Standard pro regulaci těchto pěti otázek byl vytvořen v rámci Zásad a kritérií pro důvěryhodné služby AICPA. SOC 2 se dělí na typ 1 a typ 2.
Proces
Než pozvete auditora do své kanceláře, musíte se nejprve rozhodnout, jaký typ zprávy SOC 2 vaše servisní organizace potřebuje. Auditor vám případně může pomoci navrhnout nejvhodnější způsob pro vás.
Kritéria
SOC je postaven na pěti kritériích svěřenských služeb (dříve nazývaných Zásady svěřenských služeb), které definoval Americký institut certifikovaných účetních (AICPA).
Tato kritéria důvěryhodných služeb jsou základními prvky kybernetické bezpečnosti. Zahrnují kontroly organizace, hodnocení rizik, zmírňování rizik, řízení rizik a řízení změn.