SOC 2 และ ISO 27001 ลูกค้าทั่วโลกมีความกังวลมากขึ้นเรื่อยๆ ว่าการที่ผู้ขายทำงานให้อาจส่งผลต่อผลลัพธ์ของพวกเขาอย่างไร ผลที่ตามมาคือ พวกเขาต้องการหลักฐานที่แสดงว่าบริการที่จัดหาให้นั้นน่าเชื่อถือมากขึ้นเรื่อยๆ และวิธีพิสูจน์ก็คือการจัดทำรายงาน Service Organization Control (SOC) 2
- คำนิยาม. SOC 2 หมายถึงชุดของรายงานการตรวจสอบเพื่อพิสูจน์ระดับความสอดคล้องกับเกณฑ์ที่กำหนด (TSC) ISO 27001 เป็นมาตรฐานที่กำหนดข้อกำหนดสำหรับระบบการจัดการความปลอดภัยของข้อมูล (ISMS)
- การบังคับใช้ทางภูมิศาสตร์ SOC 2 – สหรัฐอเมริกา, ISO 27001 – ระหว่างประเทศ
- การบังคับใช้ตามอุตสาหกรรม SOC 2 – สำหรับองค์กรบริการจากทุกอุตสาหกรรม, ISO 27001 – สำหรับองค์กรทุกขนาดหรือทุกอุตสาหกรรม
- การปฏิบัติตาม SOC 2 ได้รับการรับรองโดยผู้สอบบัญชีรับอนุญาต (CPA) ISO 27001 ได้รับการรับรองโดยหน่วยงานรับรองมาตรฐาน ISO
- มีไว้เพื่ออะไร? SOC 2 มีวัตถุประสงค์เพื่อพิสูจน์ระดับความปลอดภัยของระบบเทียบกับหลักการและเกณฑ์คงที่ ในขณะที่ ISO 27001 – เพื่อกำหนด นำไปใช้ ดำเนินการ ควบคุม และปรับปรุงความปลอดภัยโดยรวม
บทความนี้จะนำเสนอวิธีที่องค์กรที่ต้องการนำเสนอรายงาน SOC 2 สามารถใช้ประโยชน์จากISO 27001ซึ่งเป็นมาตรฐาน ISO ชั้นนำสำหรับการจัดการความปลอดภัยของข้อมูล เพื่อปฏิบัติตามข้อกำหนด
SOC 2 คืออะไร?
SOC 2 คือชุดรายงานที่สร้างขึ้นระหว่างการตรวจสอบ ซึ่งดำเนินการโดยผู้สอบบัญชีรับอนุญาตอิสระ (CPA) หรือองค์กรบัญชี
เนื้อหาของรายงานเหล่านี้ถูกกำหนดโดย American Institute of Certified Public Accountants (AICPA) และด้วยเหตุนี้จึงมักใช้ได้กับบริษัทในสหรัฐฯ SOC 2 ตรวจสอบการควบคุมภายในที่เกี่ยวข้องกับระบบข้อมูลที่เกี่ยวข้องในการให้บริการ โดยพิจารณาจากห้าประเภทที่ทับซ้อนกันซึ่งเรียกว่า Trust Service Criteria (TSC)
เนื่องจากเนื้อหาของรายงานไม่จำเป็นต้องมีองค์ประกอบ “ผ่านหรือไม่ผ่าน” ตามวัตถุประสงค์ – มีเพียงความเห็นของผู้สอบบัญชีซึ่งเป็นเรื่องส่วนตัว – รายงานการตรวจสอบจึงไม่ได้รับการรับรองตาม SOC 2; สามารถรับรองได้ว่าเป็นไปตามข้อกำหนดของ SOC 2 เท่านั้น และการรับรองนี้สามารถทำได้โดย CPA ที่มีใบอนุญาตเท่านั้น
รายงาน SOC 2 มีสองประเภท รายงานประเภทที่ 1 ครอบคลุมรายละเอียดของระบบบริการและแสดงว่าการควบคุมที่เสนอสนับสนุนวัตถุประสงค์ที่องค์กรต้องการบรรลุหรือไม่ รายงานประเภทที่ 2 ยังครอบคลุมถึงรายละเอียดของระบบบริการและแสดงว่าการควบคุมที่เสนอนั้นสนับสนุนวัตถุประสงค์ที่องค์กรต้องการบรรลุหรือไม่ รวมถึงดูว่าการควบคุมเหล่านี้ทำงานตามที่คาดไว้ในช่วงระยะเวลาหนึ่งหรือไม่ (โดยทั่วไปคือระหว่าง 6 เดือนถึง 1 ปี) . ตัวอย่างของวัตถุประสงค์ที่จะบรรลุได้โดยใช้ระบบของบริการ ได้แก่ ความสามารถในการทำกำไรที่เพิ่มขึ้น การลดลงของการสูญเสีย/ค่าใช้จ่าย การปรับปรุงประสิทธิภาพการดำเนินงาน การปฏิบัติตามข้อกำหนดทางกฎหมาย เป็นต้น
ดังที่ได้กล่าวไปแล้ว รายงาน SOC 2 มุ่งเน้นไปที่วิธีการควบคุมตามหมวดหมู่กึ่งซ้อนทับห้าหมวดที่เรียกว่า Trust Service Criteria (TSC):
ความปลอดภัย:ข้อมูลและระบบได้รับการปกป้องจากความเสี่ยงที่สามารถประนีประนอมได้และส่งผลกระทบต่อความสามารถขององค์กรในการบรรลุวัตถุประสงค์ที่กำหนดไว้
ความพร้อมใช้งาน:ข้อมูลและระบบต้องพร้อมใช้งานเมื่อจำเป็น เพื่อให้องค์กรบรรลุวัตถุประสงค์
ความสมบูรณ์ของการประมวลผล:การประมวลผลของระบบต้องให้ข้อมูลที่เชื่อถือได้เมื่อได้รับอนุญาต เพื่อให้องค์กรสามารถบรรลุวัตถุประสงค์ได้
การ รักษาความลับ:ข้อมูลสามารถเข้าถึงได้โดยผู้มีอำนาจเท่านั้น ดังนั้นองค์กรจึงสามารถบรรลุวัตถุประสงค์ได้
ความเป็นส่วนตัว:ข้อมูลส่วนบุคคลได้รับการจัดการในลักษณะที่ช่วยให้องค์กรบรรลุวัตถุประสงค์
เนื้อหาของรายงานการตรวจสอบ SOC 2 ควรครอบคลุม:
- การยืนยันจากผู้บริหาร : การยืนยันจากฝ่ายบริหารว่าระบบที่เกี่ยวข้องกับบริการที่จัดให้ได้รับการอธิบายอย่างเป็นธรรมในรายงาน
- รายงานของผู้สอบบัญชี:สรุปการทดสอบและผลลัพธ์ที่ดำเนินการ และความเห็นของผู้สอบบัญชีเกี่ยวกับประสิทธิผลของการควบคุมของคุณเมื่อเทียบเคียงกับเกณฑ์ Trust Services
- ภาพรวมระบบ:คำอธิบายโดยละเอียดของระบบหรือบริการ
- เกณฑ์บริการที่เชื่อถือได้ที่เกี่ยวข้อง:มีการควบคุม รวมถึงประสิทธิภาพของการควบคุมเหล่านั้นโดยพิจารณาจากเกณฑ์บริการที่เชื่อถือได้
- ข้อมูลเพิ่มเติมที่เกี่ยวข้อง
ความหมายของ ISO 27001 คืออะไร?
ISO 27001 เป็นมาตรฐานที่กำหนดข้อกำหนดและการควบคุมสำหรับการปกป้องข้อมูลอย่างเป็นระบบ ใช้ได้กับองค์กรทุกขนาดและอุตสาหกรรม ประกอบด้วย 10 ข้อและ 93 การควบคุมความปลอดภัยที่จัดกลุ่มเป็นสี่ส่วน (ภาคผนวก A) ระบบการจัดการความปลอดภัยของข้อมูลที่กำหนดไว้ในข้อ 4 ถึง 10 ช่วยให้องค์กรสามารถรักษาระดับความปลอดภัยให้สอดคล้องกับวัตถุประสงค์และผลลัพธ์ที่องค์กรต้องการ (เช่น ความได้เปรียบทางการตลาด การลดลงของการสูญเสียจากเหตุการณ์ การเพิ่มประสิทธิภาพการดำเนินงาน ฯลฯ) ในแนวทางการบริหารความเสี่ยง
สำหรับข้อมูลเพิ่มเติม โปรดอ่านบทความนี้: จะเริ่มต้นจากที่ ใดกับ ISO 27001
SOC 2 และ ISO 27001 แตกต่างกันอย่างไร
ในขณะที่ SOC 2 หมายถึงชุดของรายงานการตรวจสอบเพื่อพิสูจน์ระดับความสอดคล้องของการออกแบบและการดำเนินการควบคุมความปลอดภัยของข้อมูลเทียบกับชุดของเกณฑ์ที่กำหนดไว้ (TSC) แต่ ISO 27001 เป็นมาตรฐานที่กำหนดข้อกำหนดสำหรับระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ) กล่าวคือ ชุดของการปฏิบัติเพื่อกำหนด ดำเนินการ ดำเนินการ และปรับปรุงความปลอดภัยของข้อมูล ตารางด้านล่างแสดงการเปรียบเทียบโดยละเอียดระหว่าง SOC 2 และ ISO 27001 และการบังคับใช้
ISO 27001 นำไปใช้กับ SOC 2 ได้อย่างไร
ISO 27001 มีการควบคุมต่อไปนี้เป็นอย่างน้อยที่สามารถใช้เพื่อตอบสนองเกณฑ์ Trust Services:
| เกณฑ์บริการที่เชื่อถือได้ | ข้อกำหนด / การควบคุม ISO 27001 | ข้อมูลอ้างอิงเพิ่มเติม |
| ความปลอดภัย | ก.5.8 ความปลอดภัยของข้อมูลในการจัดการโครงการ | วิธีจัดการความปลอดภัยในการบริหารโครงการตามมาตรฐาน ISO 27001 |
| ก.6.7 การทำงานระยะไกล
A.8.1 อุปกรณ์ปลายทางของผู้ใช้ |
วิธีใช้ ISO 27001 เพื่อรักษาความปลอดภัยข้อมูลเมื่อทำงานจากระยะไกล | |
| ก.5.10 การใช้ข้อมูลและทรัพย์สินที่เกี่ยวข้องอื่น ๆ ที่ยอมรับได้ | นโยบายความปลอดภัยด้านไอที | |
| ก.5.14 การถ่ายโอนข้อมูล
A.6.6 ข้อตกลงการรักษาความลับหรือไม่เปิดเผย ก.7.7 โต๊ะทำงานและหน้าจอที่ชัดเจน ก.7.8 ที่ตั้งอุปกรณ์และการป้องกัน ก.7.9 การรักษาความปลอดภัยทรัพย์สินนอกสถานที่ ก.7.10 การกำจัดทรัพย์สิน ก.7.11 สนับสนุนสาธารณูปโภค ก.7.12 ความปลอดภัยของการเดินสาย ก.7.13 การบำรุงรักษาอุปกรณ์ ก.7.14 การทิ้งอย่างปลอดภัยหรือการนำอุปกรณ์กลับมาใช้ใหม่ A.8.1 อุปกรณ์ปลายทางของผู้ใช้ |
วิธีการใช้การป้องกันทางกายภาพของอุปกรณ์ตามมาตรฐาน ISO 27001 | |
| ก.8.20 ความปลอดภัยของเครือข่าย
ก.8.22 การแยกเครือข่าย ก.8.21 ความปลอดภัยของบริการเครือข่าย |
วิธีจัดการความปลอดภัยของบริการเครือข่ายตามมาตรฐาน ISO 27001 | |
| การรักษาความลับ | ก.5.10 การใช้ข้อมูลและทรัพย์สินที่เกี่ยวข้องอื่น ๆ ที่ยอมรับได้
ก.5.12 การจัดประเภทของข้อมูล ก.5.13 การติดฉลากข้อมูล ก.5.14 การถ่ายโอนข้อมูล |
การจำแนกประเภทข้อมูลตามมาตรฐาน ISO 27001 |
| ก.5.15 การควบคุมการเข้าถึง
ก.5.16 การจัดการเอกลักษณ์ ก.5.17 ข้อมูลการรับรองความถูกต้อง ก.5.18 สิทธิในการเข้าถึง ก.8.2 สิทธิ์การเข้าถึงพิเศษ ก.8.3 การจำกัดการเข้าถึงข้อมูล ก.8.4 การเข้าถึงซอร์สโค้ด A.8.5 การรับรองความถูกต้องที่ปลอดภัย ก.8.18 การใช้โปรแกรมอรรถประโยชน์พิเศษ |
วิธีจัดการการควบคุมการเข้าถึงตามมาตรฐาน ISO 27001 | |
| ความสมบูรณ์ของการประมวลผล | ก.5.8 ความปลอดภัยของข้อมูลในการจัดการโครงการ
ก.8.25 วงจรชีวิตการพัฒนาที่ปลอดภัย ก.8.26 ข้อกำหนดด้านความปลอดภัยของแอปพลิเคชัน ก.8.27 สถาปัตยกรรมระบบที่ปลอดภัยและหลักการทางวิศวกรรม ก.8.29 การทดสอบความปลอดภัยในการพัฒนาและการยอมรับ ก.8.30 จ้างพัฒนาภายนอก ก.8.31 การแยกสภาพแวดล้อมการพัฒนา การทดสอบ และการผลิต ก.8.32 การบริหารการเปลี่ยนแปลง ก.8.33 ข้อมูลการทดสอบ |
วิธีรวมการควบคุม ISO 27001 เข้ากับวงจรชีวิตการพัฒนาระบบ/ซอฟต์แวร์ (SDLC) (บทความนี้เกี่ยวกับการรวมคุณลักษณะด้านความปลอดภัยในการพัฒนาและบำรุงรักษาซอฟต์แวร์) |
| ความพร้อมใช้งาน | ก.5.29 ความปลอดภัยของข้อมูลระหว่างการหยุดชะงัก
ก.8.14 ความซ้ำซ้อนของสิ่งอำนวยความสะดวกในการประมวลผลข้อมูล |
วิธีการใช้ ISO 22301 สำหรับการนำความต่อเนื่องทางธุรกิจไปใช้ใน ISO 27001 |
| ความเป็นส่วนตัว | ก.5.31 ข้อกำหนดทางกฎหมาย กฎหมาย ข้อบังคับ และสัญญา
A.5.34 ความเป็นส่วนตัวและการคุ้มครอง PII |
ความสัมพันธ์ระหว่าง ISO 27701, ISO 27001 และ ISO 27002 |
นอกจากนี้ ในฐานะที่เป็นส่วนหนึ่งของวงจรชีวิต ISO 27001 ISMS ในระหว่างการตรวจสอบ ISO 27001 โดยมีส่วนร่วมของ CPA อิสระ คุณสามารถใช้ข้อมูลที่รวบรวมเพื่อสร้างรายงานการตรวจสอบ SOC 2 โดยปฏิบัติตามข้อกำหนดที่กำหนดไว้ใน Trust Service Criteria (TSC ).
SOC 2 กับ ISO 27001: คุณควรเลือกอันไหน
สรุปแล้ว ไม่ใช่คำถามของ ISO 27001 กับ SOC 2 เนื่องจาก SOC 2 เป็นรายงานการตรวจสอบ ในขณะที่ ISO 27001 เป็นมาตรฐานในการสร้างระบบการจัดการความปลอดภัยของข้อมูล ดังนั้นจึงสามารถมอง SOC 2 เป็นหนึ่งในผลลัพธ์ที่สามารถส่งมอบได้โดยใช้ ISO 27001 ISMS
วิธีที่เหมาะสมในการดูความสัมพันธ์ระหว่าง SOC 2 และ ISO 27001 คือ: แม้ว่าการรับรอง ISO 27001 จะไม่จำเป็นในการสร้างรายงาน SOC 2 แต่ ISO 27001 ISMS สามารถจัดเตรียมพื้นฐานที่มั่นคงสำหรับการเตรียมการนี้ได้โดยไม่ต้องเสียค่าใช้จ่ายและความพยายามเพิ่มเติม รายงานในขณะที่ยังเพิ่มความมั่นใจให้กับลูกค้าว่าองค์กรสามารถปกป้องข้อมูลของพวกเขาและสนับสนุนการบรรลุผลสำเร็จและผลลัพธ์ที่ต้องการในลักษณะแบบไดนามิก
สำหรับองค์กรที่ต้องการ Document and Content Management Solution ที่สมบูรณ์แบบ พร้อม Professional Services ที่มีประสบการณ์ Implement Alfresco มามากกว่า 100 โครงการณ์ สามารถติดขอคำปรึกษากับ K&O Systems
ทั้งนี้บริษัทเคแอนด์โอ จึงได้มุ่งเน้นการจัดการแก้ไขปัญหา จัดการเอกสาร ด้านเอกสารขององค์กรมาอย่างยาวนาน และ ให้ความสำคัญกับด้านงานเอกสาร ต่อลูกค้าเป็นอย่างดี จนถึงปัจจุบันก็ได้ความยอมรับจากองค์กร ขนาดใหญ่ ขนาดกลาง และขนาดเล็กมากมาย จึงใคร่ขออาสาดูและปัญหาด้านเอกสารให้กับองค์กรของท่านอย่างสุดความสามารถ เพราะเราเป็นหนึ่งในธุรกิจ ระบบจัดเก็บเอกสาร ที่ท่านไว้ใจได้
สนใจรับคำปรึกษาด้านวางระบบจัดการเอกสารอิเล็กทรอนิกส์ EDMS โดยทีมงานผู้เชี่ยวชาญจาก K&O ที่มีประสบการณ์มากว่า 15 ปี รวมถึงซอฟต์แวร์ระดับโลก ติดต่อ 0 2 – 8 6 0 – 6 6 5 9
สนใจ บทความ หรือ Technology สามารถติดต่อได้ตามเบอร์ที่ให้ไว้ด้านล่างนี้
Tel.086-594-5494
Tel.095-919-6699
e-mail cs@ko.in.th หรือ K&O FB / เว็บไซต์หลัก สแกนเพื่อแอด Line พูดคุยตอนนี้
