SOC 2

SOC 2 (Service Organization Control 2) je mezinárodní standard pro hodnocení bezpečnosti, dostupnosti a důvěryhodnosti služeb poskytovaných servisními organizacemi. SOC 2 report je klíčový pro společnosti, které zpracovávají citlivá data zákazníků a potřebují prokázat vysokou úroveň zabezpečení.

Provedeme Vás celým procesem přípravy na SOC 2 včetně vytvoření všech potřebných dokumentů a asistence při auditu.

Co je SOC 2?

SOC 2 je bezpečnostní standard vyvinutý American Institute of CPAs (AICPA), který hodnotí kontroly organizace související s bezpečností, dostupností, integritou zpracováním, důvěrností a ochranou soukromí (tj. Trust Services Criteria):

  • Bezpečnost – ochrana před neoprávněným přístupem
  • Dostupnost – systém je dostupný pro provoz podle smlouy
  • Integrita – zpracování systému je kompletní, přesné a oprávněné
  • Důvěrnost – informace označené jako důvěrné jsou chráněny
  • Ochrana soukromí – osobní informace jsou shromažďovány, používány a uchovávány v souladu se závazky organizace 

V rámci SOC 2 se vybírají oblasti z Trust Services Criteria, které chceme v rámci prověřování zahrnout s tím, že „Bezpečnost“ je mandatorní. Nejčastější kombinací je bezpečnost – dostupnost – důvěrnost.

SOC 2 není typ certifikace jako například ISO 27001, ale způsob, kterým se hodnotí bezpečnostní postupy organizace. SOC 2 report je výsledkem nezávislého auditu, který potvrzuje, že firma splňuje určité bezpečnostní standardy. SOC 2 má tyto typy:

  • SOC 2 Typ I: Hodnotí návrh bezpečnostních kontrol v daný okamžik
  • SOC 2 Typ II: Hodnotí fungování těchto kontrol během určitého časového období (např. 6–12 měsíců)

Rozhodnutí o typu je důležité kvůli auditu a přípravě důkazů, nikoliv z pohledu přípravy dokumentace.

Rozdíl mezi ISO 27001 a SOC 2

Jak Vám můžeme pomoc?

Začneme tím, že společně určíme, která Trust Services Criteria jsou pro Vaši společnost relevantní a identifikujeme Vaše informační aktiva a procesy. Podle oboru podnikání, poskytovaných služeb, cílů a aktuálních projektů zhodnotíme rizika a zranitelnosti.

Na základě rozhovorů s odpovědnými zaměstnanci dále zjistíme, co už máte vyřešeno, kde máte mezery, a co bude potřeba upravit nebo doplnit.

Dále připravíme potřebné dokumenty – nebo doplníme Vaši stávající dokumentaci tak, aby splňovala požadavky SOC 2. Součástí naší práce je i analýza rizik, plán business continuity nebo doporučení pro řízení přístupů.

Výstupem naší spolupráce pro Vás budou přehledně zpracované podklady pro auditora i pro interní řízení bezpečnosti. Dokumentace je přizpůsobena vybraným kritériím a reálnému nastavení Vaší firmy.

Domluvit konzultaci
  • Příprava na audit SOC 2 – kompletní implementace požadovaných kontrol včetně přípravy důkazů
  • Integrace s ISO 27001 – propojení s existujícím ISMS systémem
  • Splnění zákonných povinností – soulad s GDPR a dalšími regulacemi
  • Konkrétní dokumenty – připravené z předložených šablon nebo integrace do existující dokumentace
  • Risk analýza – identifikace a hodnocení bezpečnostních rizik
  • Business kontinuita – plány pro zajištění nepřetržitého provozu

Na co klademe důraz?

Funkčnost v provozu

Pomůžeme Vám nastavit procesy tak, aby dávaly smysl i z pohledu každodenního provozu a zapadly do Vašeho současného nastavení informační bezpečnosti.

Reálný přínos</span

Zaměřujeme se na to, aby Vám investice do SOC 2 přinesla konkrétní přínosy – důvěru zákazníků, efektivnější řízení nebo udržitelný rozvoj služeb.

Kontext a propojení

Známe dobře i související rámce jako ISO/IEC 27001, nový Zákon o kybernetické bezpečnosti (NIS2), DORA nebo TISAX. Umíme pracovat s překryvy a nepřidělávat zbytečnou agendu.

Kontaktujte nás a získejte svůj deštník proti kybernetickým hrozbám!

Pomůžeme Vám vytvořit základy, principy a dokumentaci pro efektivní zabezpečení. Naučíme Vás, jak rozumět a spoléhat se na Vaše zabezpečení v případě incidentů, aby mělo preventivní charakter a neochromilo provoz.

Kontakt

Nejnovější články

business-graphs-charts-magnifying-glass-table-financial-development-banking-account-statistics
GAP analýza: Zjistěte, kde máte mezery v kybernetické bezpečnosti
GAP analýza vám pomůže zjistit, jak na tom jste s kybernetickou bezpečností – kde splňujete požadavky, kde vám něco chybí a co s tím dál.

ČÍST VÍCE

green-up-arrow-bright-side-red-down-arrow-dark-side-which-print-screen-wooden-cube-block-economic-business-profit-growth-concept-copy-space
Vyšší a nižší režim podle nového Zákona o kybernetické bezpečnosti
Pokud poskytujete regulovanou službu, musíte zjistit, do jakého režimu spadáte, a podle toho plnit buď základní, nebo přísnější bezpečnostní požadavky. Jak režim poznat a co přesně znamená?

ČÍST VÍCE

businesswomen-tick-mark-assessment-questionnaire-evaluation-online-survey-online-exam-choose-right-answer-exam-filling-out-online-survey-form-answer-test-questions-concept
Regulované služby podle nového Zákona o kyberbezpečnosti
Co jsou to regulované služby a proč na tom záleží? Jejich identifikace je klíčová pro zjištění, jestli na vás bude dopadat nový kybernetický zákon a v jakém režimu.

ČÍST VÍCE

Všechny články

Newsletter

Chcete mít jistotu, že Vaše firma je chráněna před kybernetickými hrozbami a zároveň být v souladu s platnou legislativou? Přihlaste se k odběru newsletteru a získejte praktické rady od našich konzultantů s právním vzděláním.

Kliknutím na odebírat vyjadřujete souhlas se zpracováním osobních údajů pro marketingové účely.