我们团队最常见的问题之一是 SOC 2审核需要什么样的证据?
根据我们的经验,SOC 2审计所需的证据类型可以分为八个主要类别, Terminated Employees, Risk Management, Logical Security, Incident Response, Change Management, 治理和供应商管理. 而所要求的证据会因业务而改变, 下面列出了每个类别的常见示例.
New Hires
- Background checks
- 员工手册确认
- 系统访问请求/批准
Terminated Employees
- 访问删除请求
- 显示已删除/禁用帐户的用户列表
Risk Management
- 完成风险评估
- 漏洞扫描和第三方渗透测试报告
- 针对已识别风险的补救计划
- 灾难恢复测试
Logical Security
- Role-based access
- 适当限制超级用户/管理员访问
- 静态数据加密
- 最低密码要求
- Anti-virus/patching
Incident Response
- 事件响应计划/程序
- 如何检测和处理指示安全事件的异常活动
- 事件响应计划桌面演习
Change Management
- 代码审查和测试文档
- 职责的分离是如何维持的
- 紧急变更流程
Governance
- 信息安全治理结构
- Annual policy review
- 确认对负责信息安全治理的人员进行了关于信息安全的正式沟通
- 年度安全意识培训
Vendor Management
- Vendor inventory
- 供应商风险分类
- 确认至少每年对主要供应商进行监控.e. 正式审核供应商SOC 2报告).
施耐德唐斯对SOC报告采用了独特的方法, 整合资讯科技专业知识, 内部审计和外部审计专业人员. 通过结合跨学科知识和项目管理专业知识, 我们能够有效地满足客户的期望. 如果您有兴趣了解我们如何帮助您的组织,请 contact us 要开始或了解更多bet9平台游戏的实践 0u.sextoser.com/soc.
About SOC 2 Reports
通过SOC 2报告,组织可以决定将哪些类别纳入检查范围. 这种灵活性意味着每个公司的报告都是独一无二的, 同时提供一致的框架来评估组织是否符合审查中所包括类别的标准. 这些考试是为需要有关bet9平台游戏组织中与安全相关的控制的信息和保证的广泛用户而设计的, bet9平台游戏组织用于处理用户数据的系统的可用性和处理完整性, 以及这些系统处理的信息的保密性和隐私性. 这份报告的使用受到限制. 这些报告可以在组织的监督中发挥重要作用, 供应商管理程序, 以及公司内部治理和风险管理流程.