在SOC 2审核期间需要哪些证据?

我们团队最常见的问题之一是 SOC 2审核需要什么样的证据?

根据我们的经验，SOC 2审计所需的证据类型可以分为八个主要类别, 终止雇员, 风险管理, 逻辑安全, 事件响应, 变更管理, 治理和供应商管理. 而所要求的证据会因业务而改变, 下面列出了每个类别的常见示例.

新员工

• 背景调查
• 员工手册确认
• 系统访问请求/批准

终止雇员

• 访问删除请求
• 显示已删除/禁用帐户的用户列表

风险管理

• 完成风险评估
• 漏洞扫描和第三方渗透测试报告
• 针对已识别风险的补救计划
• 灾难恢复测试

逻辑安全

• 基于角色的访问
• 适当限制超级用户/管理员访问
• 静态数据加密
• 最低密码要求
• 反病毒/修补

事件响应

• 事件响应计划/程序
• 如何检测和处理指示安全事件的异常活动
• 事件响应计划桌面演习

变更管理

• 代码审查和测试文档
• 职责的分离是如何维持的
• 紧急变更流程

治理

• 信息安全治理结构
• 年度政策检讨
• 确认对负责信息安全治理的人员进行了关于信息安全的正式沟通
• 年度安全意识培训

供应商管理

• 供应商的库存
• 供应商风险分类
• 确认至少每年对主要供应商进行监控.e. 正式审核供应商SOC 2报告).

施耐德唐斯对SOC报告采用了独特的方法, 整合资讯科技专业知识, 内部审计和外部审计专业人员. 通过结合跨学科知识和项目管理专业知识, 我们能够有效地满足客户的期望. 如果您有兴趣了解我们如何帮助您的组织，请 bet9平台游戏 要开始或了解更多关于我们的实践 ldna.domestictunerz.com/soc. 

关于SOC 2报告

通过SOC 2报告，组织可以决定将哪些类别纳入检查范围. 这种灵活性意味着每个公司的报告都是独一无二的, 同时提供一致的框架来评估组织是否符合审查中所包括类别的标准. 这些考试是为需要有关bet9平台游戏组织中与安全相关的控制的信息和保证的广泛用户而设计的, bet9平台游戏组织用于处理用户数据的系统的可用性和处理完整性, 以及这些系统处理的信息的保密性和隐私性. 这份报告的使用受到限制. 这些报告可以在组织的监督中发挥重要作用, 供应商管理程序, 以及公司内部治理和风险管理流程.

施耐德唐斯SOC资源

• 施耐德唐斯SOC faq
• 施耐德唐斯SOC案例研究
• 施耐德唐斯SOC文章