SOC 2 Type II で評価されるもの
SOC 2 Type II コンプライアンスの監査では、上記のサービス基準を満たすように設計されたポリシーと統制策の有効性が、通常6か月にわたって評価されます。管理は基準に適合しているか? あなたの組織は、それらを実行する上で一貫性がありますか?
SOC 2 Type II 認定とは
SOC 2 Type II 認定は、第三者の監査人が、SOC 2 Type IIコンプライアンスの監査に組織のポリシーが合格したことを証明するものです。
SOC 2 Type II コンプライアンスのメリット
SOC 2 Type II のメリットは、組織内およびベンダー全体のデータ・セキュリティと保護の全体的な健全性を向上させることです。サービス・プロバイダにとって、SOC 2 Type II 認定は、競合製品よりもパートナーシップやクライアントを獲得する確率を高めるのに役立ちます。クライアントにとっては、適切な制御と保護によってデータが十分に管理されていることが証明されています。
SOC 2 Type II コンプライアンスが必要なのは誰ですか?
SOC 2 Type II コンプライアンスのために顧客との契約上の義務を果たすことを目指す顧客データや秘密情報を扱うベンダーは、認定資格の恩恵を受けることができます。
SOC 2 とその他のコンプライアンス認定
SOC 1 と SOC 2 の違い
SOC 1 と SOC 2 の違い SOC 1 は、セキュリティ基準ではなく、財務報告基準に焦点を当てています。SOC 1 は、サービス組織、特に特定の財務機能が外部委託されている組織向けに設計されています。SOC 1監査は、通常、会計年度と一致しており、統制環境、リスク評価、統制活動、コミュニケーションと情報、監視を含む5つのサービス基準が含まれていることに注意してください。
SOC 2 と ISO-27001 の違い
SOC 2 Type II と ISO-27001 は、いずれも InfoSec の管理に焦点を当てたフレームワークです。SOC 2 Type II はセキュリティ管理の全体的な有効性を評価しますが、ISO-27001 は情報セキュリティ管理システムに対する非常に規範的で体系的なアプローチです。ISO-27001 は、内部システムと制御に重点を置いており、標準です。一方、SOC 2 タイプ II は監査を行うためのフレームワークです。
SOC 2 Type II vs. PCI DSS、HIPAA、GDPR
コンプライアンス・フレームワークには、さまざまな種類があり、どの組織で必要とされていますか?
SOC 2 Type II および Payment Card Industry Data Security Standard(PCI DSS)は、重複がほとんどまたはまったくない、2 つの非常に異なるコンプライアンス・フレームワークです。PCI DSS は、クレジットカード情報とトランザクションの処理方法の管理に特に関連します。PCI DSS は金融サービス・プロバイダにのみ適用できますが、SOC 2 Type II はより広範な業種を対象としています。最後に、PCI DSS は、CPA 企業ではなく、毎年実施されます。
SOC 2 Type II と医療保険の携行性と責任に関する法律(HIPAA)も、保護対象のデータの重点領域で異なります。HIPAA は、患者データを取り扱う医療機関およびサービス・プロバイダにのみ適用され(法律で義務付けられています)、SOC 2 Type II には医療機関を含めることができますが、必須ではありません。また、SOC 2 Type II は、サービス基準の達成方法において規範的なものではありませんが、HIPAA は、コンプライアンスのために満たす必要がある非常に具体的な基準を備えています。
SOC 2 Type II と一般データ保護規則(GDPR)は、データ・セキュリティとプライバシーに対処するフレームワークです。GDPR フレームワークは、欧州連合域内の居住者の個人データを取り扱う組織にのみ適用され、データのプライバシーと保護の権利に焦点を当てています。そのためには、データの使用方法の透明性、「忘れられる権利」、データ最小化、同意の管理が必要です。SOC 2 Type II は必須ではありませんが、GDPR は法的影響や罰金を伴う可能性があります。
SOC 2 Type II 評価の準備
SOC 2 Type II 監査の準備は、チームによる作業であり、現場から脱出するには数時間かかる場合があります。SOC 2 Type II コンプライアンスの導入を決定するには、物事を着手し、それを長期的にプロセスに組み込むために、かなりの量の賛同とサポートが社内で必要になる場合もあります。
SOC 2 Type II 評価の準備手順
- SOC 2 コンプライアンスのリクエストの背景にある理由について解説しています。顧客の要求やその他の理由にかかわらず、コンプライアンス認定の期限、関連する作業範囲などを理解するのに役立ちます。これにより、既存のポリシーを特定し、監査人にコンテキストと範囲を提供することもできます。
- 組織内で適切な個人チームを編成し、SOC 2 Type II にオンボーディングします。SOC 2 Type II の導入期間によっては、特定のタスク、証拠収集、開発により多くの人が参加する必要があるかもしれません。このグループには以下が含まれます。
- CEO、CTO、CISO、その他の経営幹部などのリーダーシップ
- DevOps
- 従業員が監査の対象となる可能性があるため、人事部門
- 情報セキュリティ
- InfoSec 範囲を提供する準備をします。サービスのホスト場所(パブリック・クラウド、オンプレミス)、容量予測、オフィスの場所(ゼロトラスト環境か、サーバーをホワイト・リストに登録する必要があるか)、秘密データの保存場所など、データ固有の質問に答える準備をしてください。
SOC 2 Type II コンプライアンスのための第三者監査人との連携
SOC 2 フレームワークは、米国公認会計士協会(AICPA)によって開発され、CPA企業が監査を完了する必要があります。
SOC 2 Type II コンプライアンスの監査を行う企業を評価する際には、コストとともに品質と経験を検討し、数週間から数か月にわたってチームと一緒に仕事をするのに適しているかどうかを検討し、組織の長期的なアドバイザーやパートナーになる必要があります。
ご質問:監査の成功実績はあるか? 貴社には、貴社固有の監査経験がありますか。査読、監査人に必要な第三者による文書審査、紹介を自由に依頼できます。
また、できるだけ早い段階で監査人を雇用することも検討してください。監査人は、プロジェクトの範囲を決定し、期限に間に合うように適切なリソースを社内で調整するうえで有益です(もしあれば)。
- 監査員を選んだら、次のことを行います。
- 期待値を設定する範囲設定と発見の演習
- ギャップ、開始すべきこと、既に導入されているポリシーなどについて、トップダウンで確認するための準備状況の評価。
- チェックイン、最終テストまで
- 認定試験
監査中、それぞれのポリシー、管理、証拠を提供するよう求められます。
SOC 2 Type II 認定を維持する方法
SOC 2 Type II コンプライアンスは、決して達成すべきものではありません。これには勤勉さと継続的な努力が必要です。SOC 2 Type II 認定を維持するには、継続的な監視、文書化、インシデントの開示と対応、従業員のトレーニング、定期的な評価が必要です。これは、組織がコンプライアンスに対する継続的なコミットメントを持っており、必要なポリシーの変更とアップグレードを行っていることを示すものです。
ピュア・ストレージは、ISO 27001 認定機関として、お客さまのデータに対する包括的な監視と制御を可能にするために設計された多くの製品とサービスを提供しています。最新のデータ保護ソリューションのスイートで、データ・セキュリティ・コンプライアンスの目標達成をお手伝いします。
