Компании всё чаще передают такие базовые функции, как хранение данных и доступ к приложениям, на аутсорсинг поставщикам облачных услуг (CSP) и другим обслуживающим организациям. В ответ на это Американский институт дипломированных бухгалтеров-ревизоров (AICPA) разработал стандарт "Контроль системы и организации" (SOC) для средств контроля, обеспечивающих конфиденциальность информации, которая хранится и обрабатывается в облаке. Он соответствует Международному стандарту заданий по подтверждению достоверности информации (ISAE), стандарту отчётности для международных обслуживающих организаций.

Проверка SOC 2 оценивает эффективность системы CSP на основе принципов и критериев доверительных услуг AICPA. Основа отчётов SOC 2 и SOC 3 — задание на аттестацию согласно разделу 101 Стандартов соответствия (AT).

В заключение аудита SOC 2 эксперт по оценке службы выносит мнение в отчёте SOC 2 Type 2, в котором описывает систему CSP и оценивает справедливость приведённого CSP описания имеющихся средств контроля. Он также оценивает, надлежащим ли образом спроектированы средства контроля CSP, действовали ли они в указанный день и эффективно ли функционировали в указанный период времени.

Эксперты по оценке могут также создать отчёт SOC 3 — сокращённую версию отчёта о результатах аудита SOC 2 Type 2 — для пользователей, которым требуется гарантия в отношении средств контроля CSP, но не нужен полный отчёт SOC 2. Отчёт SOC 3 предоставляется только в том случае, если у CSP имеется безусловно положительное аудиторское заключение в рамках SOC 2.

Если у вас есть дополнительные вопросы, ответы на которые выше отсутствуют, или вы хотите запросить копию последнего отчёта SOC2, заполните эту форму, и с вами свяжется инженер Smartsheet по безопасности.