关键外卖: 

  • SOC 2+报告是组织证明符合标准SOC 2之外的其他框架的好方法, 加强与客户及监管机构的信任. 
  • 将SOC 2与其他框架结合, 例如HIPAA或ISO 27001, 可以通过SOC 2+考试完成, 允许组织在单个报告中显示对多个遵从性标准的遵守. 
  • SOC 2+报告不仅支持法规遵从性, 同时也是一种战略性的营销工具, 在数据安全要求严格的行业中,为服务机构定位,使其在竞争中处于有利地位. 

为什么SOC 2+报告是服务组织的游戏规则改变者

随着客户信任日益依赖于稳健的数据安全性, 提供服务的机构, 比如医疗IT行业, 是否受到来自客户的各种遵从性需求的挑战. 服务机构已将其视为 系统和组织控制 (SOC)审计标准,作为展示其数据处理实践的安全性和隐私性的基准.  

随着监管要求的扩大和客户安全调查问卷的频率增加, 这些组织可能很难找到能够充分满足法规要求和客户询问的遵从性报告. 一个可以考虑的解决方案是SOC 2+报告.  

让我们讨论一下它的一些好处, 要求参与, 以及组织可能发布的SOC 2+报告的示例. 我们还将介绍一个组织在压力下证明其遵守法规的示例场景. 

为什么SOC 2合规性很重要

SOC 2评估是专门为处理敏感客户数据的服务组织设计的. 这些评估确保严格的安全措施到位,以保护数据, 哪一点不仅对客户信息的安全至关重要,而且对 维护 诚信和信誉的企业. 现在,越来越多的公司将SOC 2合规性作为其供应商的强制性要求,以加强其网络安全态势. 

SOC 2+报告的优点

SOC 2+报告扩展了传统的SOC 2框架,以涵盖额外的法规要求或合规框架. 这种类型的综合报告越来越有益,因为它展示了组织对跨多个框架的健壮遵从性标准的贡献, 从而加强与客户和监管机构的信任. 

案例研究:通过SOC 2符合HIPAA 

你在一家大型医疗科技公司工作, 董事会要求提供该组织遵守HIPAA安全规则的证据. 此外,他们还询问是否需要获得“HIPAA认证”.“在澄清HIPAA是一项法规而不是一项认证之后, 您的任务是确定组织是否遵守HIPAA安全规则的要求.  

该组织已建立SOC 2 Type 2计划, 已保存多年,其中包括隐私权 信托服务准则(TSC). 但是,您不确定这是否足够,或者是否可以将这些努力结合起来. 当你思考这个问题时, 一个想法出现了:如果你可以利用现有的SOC 2报告来证明符合HIPAA安全规则?  

在已建立的SOC 2报告程序中包含其他框架是组织向客户展示其遵守的一种极好的方式, 符合, 或者处理其他框架的部分或全部.  

在这个场景中, 在医疗保健领域运营的组织在处理患者数据时可能会遇到HIPAA遵从性要求. 类似的, 在特定政府管辖范围内工作的组织可能有其客户询问的特定数据隐私法规或框架.  

SOC 2+其他框架类型的报告可以满足部分或所有这些类型的需求.  

SOC 2+报告的另一个好处是用于营销目的. 例如, 如果你所在行业的竞争对手将遵守HIPAA作为卖点, 通过SOC报告解决HIPPA安全规则可能会解决其中一些营销需求.  

在您的同事将您的SOC和HIPAA相结合的想法付诸实践之后, 营销团队非常兴奋. 他们可以使用该报告有效地向接受SOC的传统客户和潜在的新医疗保健客户推销组织的安全状况.  

合规团队很高兴,因为这一努力可以用来向监管机构展示组织是如何遵守HIPAA的,并可能消除或减少罚款. 每个人似乎都很高兴,但现在就看你来执行了. 

在SOC报告中处理其他框架

在SOC报告中有三种主要方法来处理其他框架, 每个服务于不同的目的. 

1. 报告非审计部分的其他框架

在第五节, “服务机构提供的其他信息”,“组织有机会详细说明他们如何与审计报告中未涵盖的其他框架保持一致. 虽然这部分不受审计师的直接评价, 审计员仍将阅读它,以确保没有任何严重的不一致. 

实现示例

例如,这可以通过包含一个 组织SOC控制的映射 对其他框架的控制或法规的一部分. 应该注意的是,这不会导致SOC 2+报告. 

2. 在审计章节中集成其他框架

将组织现有的SOC 2控制映射到来自另一个框架的相关控制或需求. 这将在第三节中说明, 控制的描述,和第四节, “控制测试”.” 

  • 第三部分: 组织描述满足SOC和其他框架的控制.  
  • 第四部分: 当测试控件时, 同时引用SOC和其他框架的控制引用, 在适当的地方.  

实现示例

例如, 您可以将您的SOC控制映射到相关的ISO控制, 审计人员会像测试SOC控制一样测试这些控制. 这不会导致SOC 2+报告, 由于注册会计师没有对组织的控制设计和运行有效性发表意见,以满足其他框架. 

3. 参加SOC 2+考试

如果接受审计的组织希望审计报告的审计意见涵盖另一个框架, 过程, 或法规, 在SOC 2意见书中不会涉及的事项, 他们可以选择SOC 2+考试.  

报告的影响

在这种类型的报告中, 审核员将对组织实施的控制是否符合SOC和其他标准或框架形成意见. 是否有任何控件被遗漏在框架之外, 审计员的意见将反映这一遗漏, 除非审核员确定遗漏与组织或系统无关. 

实现示例

来测试附加框架, 组织将需要开发控制并实施来自其他框架的控制,以解决SOC和正在评估的其他框架的问题. 反过来,审计员需要为这些额外的控制开发测试.  

SOC 2+报告与其他框架的资格和含义

了解例外和资格 

此处的任何例外都可能导致资格限制,除非注册会计师确定该例外对框架的要求并不重要. 如果在特定于框架的控制上存在异常,并且该组织已经获得了框架来源组的认证, 它不会是物质的. 

SOC 2+报告的局限性和优势 

这里的一个重要注意事项是,通过做SOC 2+报告, 您没有获得其他框架的管理机构的认证. 它可以, 然而, 显示组织如何满足服务承诺以符合其他框架. 

Soc 2+ hipaa合规性的实际步骤 

你们联系了审核员,审核员确认获得Soc 2+ hipaa报告是可行的. 然而, 您需要将组织现有的控制措施映射到HIPAA安全规则的适用要求. 另外, 您必须定义新的控件来解决任何差距, 所有的控制措施都需要进行测试.  

启动Soc 2+ hipaa合规流程 

进一步, 第三节必须加以扩大,而且必须界定其范围以包括储存, 传输, 等. 在SOC工作范围之外的PHI. 尽管有很多挑战和工作要做, 你看到这是可能的努力结合起来,你开始在Soc 2+ hipaa之旅. 

集成SOC 2与其他框架

虽然理论上几乎任何框架都可以变成SOC 2+ 给予足够的控制以覆盖SOC的任何领域 TSCs 不覆盖,一些框架自然工作得更好,已经有可用的映射.

SOC 2+:集成SOC 2与其他框架

Soc 2+ hitrust 

通过与 HITRUST 以及美国注册会计师协会, 两个框架之间存在映射,将HITRUST CSF控制映射到SOC安全标准, 可用性、完整性和保密性. 

HITRUST评估的范围将是存储或处理所涵盖信息的任何系统. So, 如果您现有的SOC范围没有涵盖处理所涵盖信息的所有系统, 它可能会将其他系统纳入范围.  

例如, 如果使用分析工具来处理可能不向客户提供服务但保存患者数据的覆盖信息, 它可能会使该系统进入范围. 

作为HITRUST授权的外部评估机构超过10年, 明升体育app下载团队可以指导您了解与之相关的特征 SOC 2和HITRUST 评估和它们之间的区别. 

Soc 2+ iso 27001 

有许多ISO控制映射到一个或多个SOC标准. 然而, 并非所有组织都这样做,需要添加新的控制,以确保组织满足每个目标所需的所有ISO控制. 这5个tsc都可以被控制. 

的范围 ISO 27001 涵盖了组织的信息安全管理体系, 哪些是通过对组织所保护的信息进行风险评估来确定的. 像这样, SOC 2+ ISO报告需要涵盖组织信息安全管理体系的预期SOC范围和ISO范围. 

SOC 2+ CSA的明星 

大约三分之二的云控制完全或部分映射到SOC tsc. 像这样, 组织将不得不审查控制措施,并可能增加额外的控制措施,以覆盖全部和部分的差距.  

例如,这可能意味着更新控件以定义符合的频率 CSA的明星 或者添加一个新的控制来覆盖在CSA中解决的云环境中工作的特定风险. 映射的控件覆盖所有tsc. 

云计算安全联盟之星审计的范围将涵盖组织用于提供云服务的所有云资源. 

Soc 2+ nist CSF 

几乎所有的 NIST脑脊液 子类别可以映射到SOC tsc, 因此,任何没有直接映射的子类别都需要额外的控制来标识. 这些控件映射到安全性、可用性和机密性标准. 

NIST脑脊液的范围涵盖了整个组织, 所以如果你的SOC范围有限, 你的NIST脑脊液范围也会受到限制. 这些项目将在报告内加以说明. 

另外, NIST脑脊液符合某些监管要求, 比如HIPAA, 虽然不是1比1匹配, 这可以作为一个跳板,将组织现有的控制映射到一些数据隐私法. 

Soc 2+ hipaa 

没有直接映射SOC 2 tsc到 HIPAA 公开可用的安全或隐私规则, 因此,需要开发现有控件和新生成控件的映射. 这些规则涵盖所有5个tsc. 

HIPAA安全规则严格关注个人健康信息(PHI)的处理和管理,并且与处理这些信息的任何组织相关, 与, 或管理PHI. 像这样, 如果贵组织当前的范围没有涉及处理和管理PHI的所有系统, 评估的范围需要扩大,以包括这些系统和进程.  

有一个SOC tsc到NIST脑脊液 1的映射.1,然后可以与HIPAA安全规则保持一致,以更好地协助控制识别.  

Soc 2+ GDPR 

有一个SOC 2标准映射到 GDPR但是,大多数文章都没有映射,需要进行额外的控件开发. 在映射的控件中,它们映射到安全和隐私tsc 

根据GDPR材料范围, “本条例适用于全部或部分以自动化方式处理个人数据,以及以非自动化方式处理构成存档系统一部分或拟构成存档系统一部分的个人数据。.”  

这将适用于欧盟内部个人的任何个人数据, 不管数据处理器位于何处. GDPR的范围见第2条 & 3.  

通过SOC 2+报告增强信任

SOC 2+报告为需要满足特定法规要求以及标准SOC 2框架的组织提供了一个通用的战略解决方案. 通过将额外的合规框架纳入SOC 2报告流程, 公司可以以全面的方式展示他们对安全和法规遵守的承诺.  

无论是通过将现有控制详细映射到新框架,还是选择更严格的SOC 2+考试, 组织可以调整其遵从性报告,以满足其客户和监管机构的确切需求. 对于那些考虑将SOC 2与其他监管框架整合的人, 运营透明度和客户信心的好处使其成为一项值得的努力.  

如果您有兴趣在现有的SOC报告中添加其他标准/框架,或者您是SOC的新手, LBMC可以提供帮助. 明升体育app下载的团队 开始吧. 

提供的内容 安德鲁•史坦斯费尔德、LBMC网络安全.