V dohledné době vznikne mnoha společnostem povinnost řídit své dodavatele v oblasti IT bezpečnosti a realizovat audit i celého svého dodavatelského řetězce. Tato povinnost může výrazně zatížit interní zdroje každé z dotčených společností.
Větší společnosti si často uvědomují, že pokud budou muset zajistit audit pro desítky svých obchodních partnerů, nebo samy projít auditem, může to znamenat značnou časovou zátěž i pro jejich interní týmy.
V souvislosti s aktuálními regulatorními požadavky, jako je legislativa týkající se NIS2 či nařízení DORA, je vhodné uvážit, zda neexistuje nástroj, kdy by bylo jednou auditní zprávou možné prokázat zavedení všech požadovaných postupů. Pro tento účel se již po dlouhé roky využívá, zejména a na amerických trzích, tzv. SOC2 audit.
SOC2 reporting je robustním auditem, který ověří komplexně informační bezpečnost dodavatele a poskytuje tak nezávislé posouzení auditorskou společností. Tím také zajistí, že systémy a procesy společnosti jsou navrženy tak, aby garantovaly bezpečnost, důvěrnost, dostupnost a integritu dat.
Tím, že v mnoha oblastech kryje rozsah auditu také regulatorní požadavky, je velká část požadavků již splněna. Rozšíření je pak možné udělat ve formě SOC2+ reportu a doplnit jej o jakékoliv další požadavky, například HIPAA, Dora, NIS2, NIST, apod.
Existují dva typy SOC2 auditu. SOC2 Type I hodnotí návrh bezpečnostních kontrol v konkrétním časovém okamžiku, což umožňuje rychlé ověření, zda jsou nastavené procesy v pořádku. SOC2 Type II jde o krok dále a zkoumá, zda tyto kontroly fungují správně po delší dobu, obvykle 3 až 12 měsíců zpětně. Zpráva typu II poskytuje podrobnější přehled o dlouhodobém výkonu bezpečnostních mechanismů a procesů.
Volba mezi SOC2 Type I a Type II závisí na tom, zda je reálné provést audit za celé kontrolní období. Pokud jsou bezpečnostní opatření čerstvě zavedená, je vhodnější začít s Type I, přičemž později je možné přejít na SOC2 Type II.
Cloud computing je dnes nedílnou součástí informačních systémů, zejména v oblasti veřejné správy. Pro zapsání služeb do eGC katalogu, jak to vyžaduje Vyhláška č. 316/2021 Sb., musí poskytovatelé cloudu splnit přísná bezpečnostní kritéria, což často zahrnuje i získání SOC2 Type II. SOC2 tak hraje důležitou roli při zajištění souladu s požadavky na kybernetickou bezpečnost v oblasti cloudových služeb.
SOC2 report pomáhá organizacím nejen prokázat, že mají zavedené procesy pro ochranu dat, ale také že efektivně spravují rizika spojená s jejich dodavateli. Tento audit ověřuje, zda firma provádí pravidelnou analýzu rizik, monitoruje výkonnost a kvalitu dodavatelů a má připravenou strategii pro ukončení spolupráce tak, aby byla zajištěna důvěrnost a integrita dat.
Absolvováním SOC2 auditu získáte jasný přehled o tom, jak dobře jsou vaše procesy, systémy a zabezpečení nastaveny. SOC2 vás připraví na požadavky týkající se bezpečnosti dat a provozních rizik, což bude zásadní i pro nadcházející regulace, jako jsou NIS2 a DORA. Tyto nové regulace kladou důraz na kybernetickou bezpečnost a řízení rizik, a pokud již máte zavedené postupy podle SOC2, budete mít velký náskok při zajišťování souladu s těmito legislativami.
autor: Martin Hořický
Větší společnosti si často uvědomují, že pokud budou muset zajistit audit pro desítky svých obchodních partnerů, nebo samy projít auditem, může to znamenat značnou časovou zátěž i pro jejich interní týmy.
V souvislosti s aktuálními regulatorními požadavky, jako je legislativa týkající se NIS2 či nařízení DORA, je vhodné uvážit, zda neexistuje nástroj, kdy by bylo jednou auditní zprávou možné prokázat zavedení všech požadovaných postupů. Pro tento účel se již po dlouhé roky využívá, zejména a na amerických trzích, tzv. SOC2 audit.
SOC2 reporting je robustním auditem, který ověří komplexně informační bezpečnost dodavatele a poskytuje tak nezávislé posouzení auditorskou společností. Tím také zajistí, že systémy a procesy společnosti jsou navrženy tak, aby garantovaly bezpečnost, důvěrnost, dostupnost a integritu dat.
Celý audit ověřuje povinné posouzení domény „Security“, kde jsou předmětem následující oblasti:
- CC1 - Kontrolní prostředí
- CC2 - Komunikace a informace
- CC3 - Posouzení rizik
- CC4 - Monitorování kontrol
- CC5 - Kontrolní činnosti
- CC6 - Kontroly logického a fyzického přístupu
- CC7 - Provoz systému
- CC8 - Řízení změn
- CC9 - Snižování rizik
Pak dle povahy dodávaných služeb lze volitelně rozšířit o následující:
- Dostupnost
- Důvěrnost
- Soukromí
- Procesní integrita
Tím, že v mnoha oblastech kryje rozsah auditu také regulatorní požadavky, je velká část požadavků již splněna. Rozšíření je pak možné udělat ve formě SOC2+ reportu a doplnit jej o jakékoliv další požadavky, například HIPAA, Dora, NIS2, NIST, apod.
Co je SOC2?
SOC2 (Service Organizations Control) je standard definovaný Americkým institutem certifikovaných účetních znalců (AICPA), který hodnotí informační bezpečnost firem. Tento audit ověřuje, zda má společnost zavedena opatření v pěti klíčových oblastech: bezpečnost, dostupnost, důvěrnost, integrita procesů a ochrana soukromí. Firmy, které úspěšně projdou auditem, obdrží report s výrokem, který slouží jako důkaz jejich schopnosti ochránit data svých zákazníků.
SOC2 Type I vs. SOC2 Type II
Existují dva typy SOC2 auditu. SOC2 Type I hodnotí návrh bezpečnostních kontrol v konkrétním časovém okamžiku, což umožňuje rychlé ověření, zda jsou nastavené procesy v pořádku. SOC2 Type II jde o krok dále a zkoumá, zda tyto kontroly fungují správně po delší dobu, obvykle 3 až 12 měsíců zpětně. Zpráva typu II poskytuje podrobnější přehled o dlouhodobém výkonu bezpečnostních mechanismů a procesů.Volba mezi SOC2 Type I a Type II závisí na tom, zda je reálné provést audit za celé kontrolní období. Pokud jsou bezpečnostní opatření čerstvě zavedená, je vhodnější začít s Type I, přičemž později je možné přejít na SOC2 Type II.
SOC2 a cloud computing v e-governmentu
Cloud computing je dnes nedílnou součástí informačních systémů, zejména v oblasti veřejné správy. Pro zapsání služeb do eGC katalogu, jak to vyžaduje Vyhláška č. 316/2021 Sb., musí poskytovatelé cloudu splnit přísná bezpečnostní kritéria, což často zahrnuje i získání SOC2 Type II. SOC2 tak hraje důležitou roli při zajištění souladu s požadavky na kybernetickou bezpečnost v oblasti cloudových služeb.
Řízení rizik a dodavatelů s pomocí SOC2
SOC2 report pomáhá organizacím nejen prokázat, že mají zavedené procesy pro ochranu dat, ale také že efektivně spravují rizika spojená s jejich dodavateli. Tento audit ověřuje, zda firma provádí pravidelnou analýzu rizik, monitoruje výkonnost a kvalitu dodavatelů a má připravenou strategii pro ukončení spolupráce tak, aby byla zajištěna důvěrnost a integrita dat.
Chcete se připravit na budoucí regulace?
Absolvováním SOC2 auditu získáte jasný přehled o tom, jak dobře jsou vaše procesy, systémy a zabezpečení nastaveny. SOC2 vás připraví na požadavky týkající se bezpečnosti dat a provozních rizik, což bude zásadní i pro nadcházející regulace, jako jsou NIS2 a DORA. Tyto nové regulace kladou důraz na kybernetickou bezpečnost a řízení rizik, a pokud již máte zavedené postupy podle SOC2, budete mít velký náskok při zajišťování souladu s těmito legislativami.autor: Martin Hořický