En SOC 2-granskning visar att ert företag har etablerade kontroller för att skydda kunddata och hantera informationssäkerhet på ett strukturerat sätt. SOC 2 används ofta av SaaS-bolag, IT-leverantörer och andra tjänsteorganisationer som behöver visa kunder, investerare och samarbetspartners att deras system och processer är säkra, tillförlitliga och kontrollerade.
Svensk Certifiering utför inte SOC 2-granskningar med egna revisorer. I stället samarbetar vi med en extern, oberoende part som genomför SOC 2-granskningen. Vi hjälper er att förstå processen, förbereda organisationen och samordna kontakten med rätt granskningspart.
SOC 2 är en granskningsrapport för tjänsteorganisationer och bygger på AICPA:s Trust Services Criteria. Granskningen omfattar kontroller som är relevanta för säkerhet, tillgänglighet, behandlingsintegritet, konfidentialitet och integritet/personuppgiftsskydd.
SOC 2 är särskilt relevant för organisationer som hanterar kunddata eller tillhandahåller digitala tjänster, exempelvis:
En SOC 2-rapport fungerar som ett förtroendeskapande underlag för kunder och intressenter. Den visar inte bara att säkerhetsrutiner finns dokumenterade, utan även hur organisationens kontroller är utformade och, vid Type 2, hur de fungerat över tid.
Att genomföra en SOC 2-granskning innebär flera affärsmässiga och operativa fördelar:
Visa att ni arbetar strukturerat med säkerhet, åtkomstkontroll, incidenthantering och skydd av kunddata.
SOC 2 efterfrågas ofta av större kunder, särskilt inom teknik, SaaS, finans, vård och andra datadrivna verksamheter.
En SOC 2-rapport kan minska behovet av omfattande säkerhetsenkäter och återkommande kundgranskningar.
Processen hjälper organisationen att tydliggöra ansvar, risker, tekniska kontroller och uppföljning.
En genomförd SOC 2-granskning visar mognad och professionalism gentemot kunder, investerare och samarbetspartners.
Det finns två vanliga typer av SOC 2-rapporter:
Bedömer om kontrollerna är lämpligt utformade vid en viss tidpunkt. Detta kan vara ett bra första steg för organisationer som snabbt behöver visa att en kontrollmiljö finns på plats.
Bedömer både kontrollernas utformning och deras funktion över en tidsperiod, ofta 3–12 månader. Type 2 ger normalt ett starkare bevisvärde eftersom rapporten visar hur kontrollerna har fungerat i praktiken över tid.
SOC 2 utgår från Trust Services Criteria. Vilka områden som ingår beror på verksamhetens tjänster, kundkrav och riskbild. De fem huvudområdena är:
Security är normalt grundläggande i SOC 2 och kompletteras vid behov med övriga områden beroende på kundkrav och tjänstens utformning.
En SOC 2-granskning sker normalt i tydliga steg:
Vi går igenom er verksamhet, vilka tjänster som ska omfattas och om målet är SOC 2 Type 1 eller Type 2.
Tillsammans med den externa granskningsparten fastställs vilka Trust Services Criteria som är relevanta för er rapport.
Organisationens befintliga policyer, processer och tekniska kontroller jämförs med de krav och förväntningar som gäller för SOC 2.
Eventuella brister hanteras. Det kan exempelvis handla om åtkomststyrning, loggning, riskhantering, incidentprocesser, leverantörsstyrning, förändringshantering och uppföljning.
Den oberoende granskningsparten genomför SOC 2-granskningen och tar fram rapporten.
Efter genomförd granskning får ni en SOC 2-rapport som kan delas med relevanta kunder och intressenter enligt de villkor som gäller för rapporttypen.
Svensk Certifiering är ett oberoende certifieringsorgan med lång erfarenhet av revision, ledningssystem och informationssäkerhet. För SOC 2 använder vi en extern part som genomför själva granskningen, eftersom SOC 2 inte är en ISO-certifiering och normalt utförs enligt särskilda gransknings- och rapporteringskrav.
SOC 2 och ISO 27001 har flera beröringspunkter, men de är inte samma sak.
ISO 27001 är en internationell certifieringsstandard för ledningssystem för informationssäkerhet. SOC 2 är en granskningsrapport som bedömer kontroller hos en tjänsteorganisation utifrån Trust Services Criteria.
För organisationer som redan arbetar enligt ISO 27001 kan vägen till SOC 2 ofta bli mer strukturerad, eftersom många grundläggande processer redan finns på plats, exempelvis riskhantering, styrning av informationssäkerhet, incidenthantering och uppföljning av säkerhetskontroller.
Svensk Certifiering hjälper er att komma vidare med SOC 2 genom rådgivande dialog, förberedelse och samordning med extern granskningspart. Kontakta oss om ni vill veta mer om processen, vilken typ av SOC 2-rapport som passar er verksamhet eller hur SOC 2 kan kombineras med ert befintliga arbete inom informationssäkerhet.
Svensk Certifiering Norden AB är ackrediterat av SWEDAC för att utföra revisioner och certifieringar av ledningssystem enligt ISO 9001, ISO 14001, ISO 45001, ISO 27001 och ISO 13485
Svensk Certifiering Norden AB är ackrediterat av SWEDAC för personcertifiering med kravspecifikationen Behörig Ingenjör Brandlarm SBF 1007:5.