Nếu bạn chưa nghe về thuật ngữ này, bạn sẽ sớm thấy. SOC 2, có nghĩa là Hệ thống và Kiểm soát Tổ chức 2, là một thủ tục kiểm toán được phát triển bởi Viện CPA Hoa Kỳ (AICPA). Tuân thủ SOC 2 có nghĩa là bạn đã thực hiện các biện pháp kiểm soát và thực hành của tổ chức để cung cấp sự đảm bảo cho việc bảo vệ và bảo mật dữ liệu khách hàng. Nói cách khác, bạn phải thể hiện (ví dụ: ghi lại và chứng minh) rằng bạn đang hành động một cách thiện chí với thông tin của người khác. Theo định nghĩa đơn giản nhất, đó là một thẻ báo cáo của một kiểm toán viên.
Tại Rewind, trước SOC 2, chúng tôi đã có một số quy trình, chẳng hạn như quy trình quản lý thay đổi để nhanh chóng đưa các bản sửa lỗi khẩn cấp vào sản xuất. Nhưng sau khi bắt đầu hành trình SOC 2, chúng tôi nhận ra rằng chúng tôi không có cách tuyệt vời để theo dõi lý do đằng sau một thay đổi khẩn cấp bắt buộc và điều này là bắt buộc đối với quá trình đánh giá SOC 2 của chúng tôi. Vì vậy, chúng tôi đã làm việc với kiểm toán viên của mình để thiết lập một hệ thống kiểm toán liên tục cho những yêu cầu này, cung cấp giải pháp lâu dài và cải tiến quy trình lớn, cung cấp giải pháp này cho các công ty khác ở vị trí của chúng tôi. Đạt được tín hiệu tuân thủ SOC 2 cho thị trường, rằng bạn sẵn sàng cung cấp sự đảm bảo dưới dạng báo cáo kiểm toán của bên thứ ba rằng bạn sẽ bảo vệ thông tin của khách hàng. Thông tin mà doanh nghiệp của bạn dựa vào.
Tại sao lại có SOC 2?
Nói tóm lại, ngày nay nhiều tổ chức thu thập được nhiều dữ liệu hơn bất kỳ thời điểm nào trong lịch sử. Nhìn chung, các nhóm khu vực công và tư nhân ngày càng có ý thức hơn về cách các bên khác xử lý dữ liệu độc quyền của họ. Đối với các ngành được quản lý cao như tài chính, chăm sóc sức khỏe hoặc các công ty giao dịch công khai, SOC 2 về cơ bản đã trở thành chi phí kinh doanh. Đối với bất kỳ công ty SaaS nào muốn “lớn lên” và bán cho các thương hiệu lớn, câu hỏi “Bạn có SOC2 của mình không?” sẽ là một trong những điều đầu tiên mà nhóm bán hàng của bạn được hỏi.
Các báo cáo của SOC 2 cũng giúp các công ty tăng cường khả năng đảm bảo cho khách hàng trong bối cảnh an ninh mạng ngày nay. Số lượng các cuộc tấn công mạng đang tăng lên hàng năm. Một hành vi vi phạm có thể dẫn đến tiền phạt, gây tổn hại đến danh tiếng của công ty, khiến khách hàng phải rời đi và nhiều hơn thế nữa. Việc tuân thủ SOC 2 giúp giảm thiểu thiệt hại từ các tình huống này bằng cách đảm bảo rằng bạn có các quy trình chính tại chỗ. Một doanh nghiệp tuân thủ có nhiều khả năng phản ứng với vi phạm một cách nhanh chóng, do đó hạn chế tác động của nó.
Nhận SOC2 theo cách nhanh chóng và thông minh
Trước khi tôi tham gia Rewind và tương tự đối với hầu hết các công ty SaaS đang phát triển, SOC 2 dường như là một nhiệm vụ đáng sợ phải đạt được. Chúng tôi đã có các quy trình, nhưng chúng tôi còn nhiều việc phải làm để chính thức hóa chúng để tuân thủ SOC 2 và sẵn sàng kiểm tra. Nhóm bán hàng cũng liên tục được hỏi về việc Tua lại và các kế hoạch của chúng tôi về việc tuân thủ SOC 2 vì khách hàng của chúng tôi muốn có sự đảm bảo đó và ưu tiên nhận được SOC 2. Bước tiếp theo là hiểu các mục tiêu, ưu tiên SOC2 của công ty bạn và xác định những bước cần thực hiện để trở nên tuân thủ.
Tôi đã dành toàn bộ sự nghiệp của mình với tư cách là một Chuyên gia Bảo mật Thông tin với trọng tâm là quản trị, rủi ro và tuân thủ. Phần lớn điều này là bản chất thứ hai đối với tôi. Đối với những người mới bắt đầu, nó có thể là một quá trình khó khăn và choáng ngợp. Vì vậy, đây là một khuôn khổ nhanh chóng để giúp bạn chuẩn bị cho con đường phía trước.
1 – Chọn phạm vi của bạn
Bước đầu tiên là quyết định phạm vi kiểm toán của bạn, dịch vụ hoặc sản phẩm nào sẽ là trọng tâm,
và Nguyên tắc Dịch vụ Ủy thác nào bạn muốn được kiểm toán. Ví dụ: Bảo mật là một nguyên tắc bắt buộc, nhưng bạn cũng có thể bao gồm tính bảo mật, tính khả dụng, tính toàn vẹn của quá trình xử lý hoặc các nguyên tắc về quyền riêng tư.
Đây là một cách dễ dàng để nghĩ về điều này: dịch vụ bạn cung cấp cho khách hàng của mình có thể xác định Nguyên tắc dịch vụ tin cậy cần tập trung vào. Ví dụ: nếu công ty của bạn xử lý dữ liệu tài chính, thì “xử lý tính toàn vẹn” có thể là một nguyên tắc quan trọng cần giới thiệu. Một dịch vụ thương mại điện tử hoặc tiếp thị có thể sẽ tập trung vào bảo mật và quyền riêng tư vì lượng dữ liệu cá nhân tuyệt đối mà chúng xử lý.
Rewind cung cấp các bản sao lưu SaaS, vì vậy phạm vi là nền tảng phần mềm của riêng chúng tôi. Đối với rodeo SOC 2 đầu tiên của chúng tôi, trong phạm vi này, trọng tâm là kiểm soát an ninh và bí mật. Bảo mật là một nguyên tắc quan trọng, vì khách hàng đang tin tưởng chúng tôi với dữ liệu sao lưu của họ và chúng tôi muốn chứng minh cách chúng tôi đảm bảo tính bảo mật của thông tin được giao phó cho chúng tôi.
Điều quan trọng cần nhớ là nếu bạn muốn theo đuổi các Nguyên tắc Dịch vụ Tin cậy khác trong tương lai, bạn có thể nuôi dưỡng và phát triển chương trình tuân thủ SOC2 và các quy trình nội bộ của mình để đạt được mục tiêu đó.
2 – Đánh giá mức độ kiểm soát của bạn
Yêu cầu từ nhóm bán hàng chắc chắn có thể giúp bạn xác định Nguyên tắc dịch vụ tin cậy cần tập trung vào, nhưng điều đó không có nghĩa là bạn có thể bắt đầu quy trình kiểm tra vào ngày mai. Tôi luôn khuyến nghị các công ty hoàn thành đánh giá mức độ sẵn sàng. Điều này giúp thiết lập điểm chuẩn về số lượng kiểm soát bạn có thể đã có và đối với những kiểm soát bạn có thể không, bạn có thể xác định những lĩnh vực cần tập trung vào. Khi bạn đạt đến 100%, bạn có thể chuẩn bị cho quá trình kiểm tra của mình.
Bạn có thể tìm thấy các tài liệu đánh giá mức độ sẵn sàng khác nhau trên web từ các bên thứ ba khác nhau hoặc truy cập trang web AICPA. Kiểm toán viên cũng có thể giúp bạn đánh giá mức độ sẵn sàng của bạn như một phần trong cam kết của bạn.
Như một phần thưởng bổ sung, đánh giá mức độ sẵn sàng có thể giúp bạn hiểu cách lập ngân sách tốt hơn cho chương trình SOC2 của bạn trong tương lai .. Ví dụ: bạn có thể xác định rằng bạn cần thực hiện kiểm tra thâm nhập của bên thứ ba trên ứng dụng của mình theo định kỳ hoặc đầu tư vào quy trình kiểm tra lý lịch của nhân viên, tất cả đều có chi phí liên tục để lập ngân sách.
3 – Tổ chức kiểm soát và thu thập bằng chứng
Không có cách nào sai để tổ chức chương trình và kiểm soát tuân thủ SOC2 của bạn. Tuy nhiên, về lâu dài, có những cách làm cho nó khó hơn và những cách làm cho nó dễ dàng hơn. Bảng tính có thể liệt kê ra tất cả các kiểm soát của bạn, chỉ định chủ sở hữu, ghi lại ghi chú và thêm liên kết đến nơi lưu trữ bằng chứng của bạn để kiểm tra. Tuy nhiên, theo thời gian, điều này trở nên lộn xộn và khó theo dõi.
Tại Rewind, chúng tôi muốn tập trung vào tuổi thọ của chương trình tuân thủ SOC2 của chúng tôi. Kiểm soát quyền sở hữu và thu thập bằng chứng cần thiết để được tập trung và tất cả các bên liên quan có thể tiếp cận được. Để giải quyết vấn đề này, chúng tôi đã đầu tư vào Nền tảng đảm bảo an ninh để giúp chúng tôi quản lý chương trình tuân thủ của mình. Tôi khuyên bạn nên xem xét một công cụ như một phần trong ngân sách SOC2 của mình để xem xét một công cụ có thể giúp bạn tổ chức các kiểm soát của mình và giám sát chúng trong tương lai.
Khó khăn ở đây là tìm đúng giải pháp phù hợp với nhu cầu của bạn. Bạn sẽ thường thấy các công ty quảng cáo giải pháp của họ với lời hứa “Nhận SOC2 sau hai tháng!”. Chương trình tuân thủ của bạn phải là một cỗ máy tiếp tục hoạt động. Nó không phải là một huy chương sáng bóng để giành được trong thời gian kỷ lục. Chúng tôi cũng muốn có một công cụ chia sẻ sứ mệnh đó.
4 – Chọn và đào tạo chủ sở hữu quyền kiểm soát
Đây là những cá nhân trong doanh nghiệp của bạn chịu trách nhiệm về việc triển khai và tuân thủ liên tục các kiểm soát của bạn. Thách thức chính ở đây là bề ngoài bạn đang yêu cầu mọi người làm nhiều việc hơn. Tuy nhiên, nó không nên được nhìn theo cách này. Đây là một nỗ lực hợp tác nhằm thiết kế các kiểm soát và quy trình tuân thủ SOC2, trở thành quy trình hàng ngày của mỗi nhóm.
Bất kỳ quy trình mới nào được thêm vào phải là một cải tiến đối với bảo mật (hoặc quy trình / kiểm soát liên quan đến Nguyên tắc Dịch vụ Tin cậy) của công ty bạn. Phương pháp của Rewind là đi theo phương pháp cộng tác do “Nhóm tin cậy” của chúng tôi lãnh đạo nhưng đồng thời, trao quyền cho chủ sở hữu quyền kiểm soát chịu trách nhiệm về các lĩnh vực tuân thủ của riêng họ. SOC2 nên là mục tiêu chung cho toàn bộ công ty của bạn, không chỉ riêng nhóm bảo mật.
5 – Chọn kiểm toán viên của bạn
Có rất nhiều CPA có uy tín để thực hiện kiểm toán cho bạn, nhưng các công ty kiểm toán khác nhau cung cấp nhiều dịch vụ khác nhau. Tại Rewind, chúng tôi đề xuất và đào tạo lựa chọn đánh giá viên (Moss Adams) để sử dụng Nền tảng đảm bảo an ninh (Tugboat Logic), nền tảng mà chúng tôi sử dụng để quản lý chương trình SOC2 của mình. Điều này có nghĩa là chúng tôi có thể quản lý sự tuân thủ của toàn bộ chương trình của mình, bao gồm cả việc cung cấp bằng chứng cho các kiểm toán viên của chúng tôi trong cùng một công cụ. Điều này làm giảm khối lượng công việc của kiểm toán viên kiểm soát của chúng tôi và có nghĩa là chúng tôi có thể có một nơi tập trung để quản lý các hoạt động kiểm soát, thu thập bằng chứng và kiểm toán của mình.
Một trở ngại ở đây có thể là thực sự biết bắt đầu từ đâu. Bạn không muốn ràng buộc mình với một công cụ đảm bảo bảo mật cụ thể hoặc CPA nếu nó không phù hợp với bạn về lâu dài. Chọn một CPA có uy tín sẵn sàng làm việc với bạn và quy trình làm việc của bạn. Bạn muốn có một mối quan hệ hợp tác, nơi bạn cũng có thể yêu cầu lời khuyên và biết rằng họ cũng muốn trở thành một phần trong thành công của bạn.
6 – Xem xét báo cáo Loại 1 trước Báo cáo Loại 2
Đánh giá SOC2 Loại 1 có thể mang lại lợi ích vô cùng lớn nếu bạn chân ướt chân ráo bước vào quá trình đánh giá SOC2. Đánh giá Loại 1 mang lại cho bạn cơ hội để có kinh nghiệm với quy trình đánh giá SOC2 và xây dựng mối quan hệ cũng như phát triển mối quan hệ làm việc với đánh giá viên của bạn. Bạn cũng nhận được một báo cáo để cung cấp cho khách hàng, báo cáo này báo hiệu cam kết của bạn đối với chương trình tuân thủ của mình. Đây là cách chúng tôi đã thực hiện tại Rewind và tôi rất vui vì chúng tôi đã làm được.
Rõ ràng là có nhiều thứ hơn cho quá trình này so với những gì tôi đã cung cấp. Tuy nhiên, dựa trên kinh nghiệm của mình, tôi nghĩ điều này có thể giúp bạn tạo tiền đề cho các bước tiếp theo. Suy nghĩ về cách kiểm soát SOC 2 phù hợp với doanh nghiệp của bạn ngày hôm nay, sẽ giúp bạn đỡ đau đầu trong tương lai.
.
