2.8 SOC
2.8.1 什么是SOC
SOC(Service Organization Control),即服务性组织控制体系标准框架,是美国注册会计师协会(American Institute of Certified Public Accountants,AICPA)在2011年制定的服务性组织控制框架合规性标准,有SOC 1,SOC 2和SOC 3三种认证类型。SOC 1报告主要是通过对财务方面的审计来评估服务性机构内部控制的有效性,验证组织向客户提供高质量、安全的服务承诺的能力。而SOC 2报告和SOC 3报告则侧重于系统处理客户数据的完整性问题,并基于“信任服务标准”来评估数据的保密性、可用性、完整性,以及隐私的相关控制和预定义的标准化基准。需要注意的是,SOC 2会详述服务商具体的控制措施和它们如何被审计师测试,这个报告仅被服务对象了解,而不对公众公开。SOC 3是可公开的材料,提供了审计师对服务商在安全性、隐私性方面提供的服务保障承诺的意见。
由于云服务商会使用这种标准来验证技术控制和流程,因此其适用于将技术数据存储在云中的基于技术的服务组织。这就意味着它几乎适用于每一个SaaS公司,以及使用云存储客户信息的任何公司或组织。SOC 2是注重技术的公司必须满足的、最常见的合规性要求之一。作为一个严格的审计标准,SOC已被许多企业和机构认可。由于SOC 2会对云场景下的内控、安全性和保密性进行详细的测试和技术审查,另外要求企业遵循全面的信息安全策略和程序的标准要求,因此我们会在这一节重点讨论。表2-8-1列出了SOC 1,SOC 2和SOC 3的区别。
表2-8-1
2.8.2 SOC 2的重要意义
SOC 2并不是一个强制性的要求,但作为云服务商,通过SOC 2认证会带来以下好处。
1)更好地保护数据隐私:随着各国和各行业对数据保护重视程度的提高,保护客户数据免遭窃取和泄露已经成为客户的第一优先级事项,而企业合规可以让客户更放心地在云上处理信息和数据。
2)更好地遵从隐私保护等法律合规:由于SOC 2标准要求企业的框架需要遵从其他标准,如ISO 27001,HIPPS等,因此获得SOC 2认证可以加快组织整体性的合规工作。
3)更强的风控能力:SOC 2报告提供有关组织全面的安全风险状态、供应商管理、内控治理及监管监督的信息,这对于企业的隐私数据保护和风控具有非常大的参考价值。
4)更低的成本投入:相比由安全事件导致的成本损失,提前进行一定的合规审计投入是非常有必要的。通过主动构建企业内部的安全措施,可以帮助企业减少由安全问题产生的损失,而且这种可能性非常高。
5)竞争优势和市场宣传:无论是海外的企业还是中国的企业,往往都会把拥有 SOC 2和SOC 3报告作为差异化的优势进行宣传,通过在隐私方面的合规性来展示自己提供更安全合规的云基础设施的能力。
2.8.3 SOC 2的核心内容
AICPA将SOC 2作为替代注册会计师执行的第70号审计标准声明(SAS 70),旨在报告各种内部功能控件的有效性。客户在获得SOC 报告后,可以全面地了解第三方审计的情况,这可以帮助云客户了解自己选购的云服务产品在数据安全性上的保障能力,可以帮助客户进行内控管理,否则客户就需要通过雇佣第三方对云服务商进行单独的审计。SOC 2报告旨在满足拥有大量用户的云服务商的合规需求,这些云上用户需要有关服务组织控制的详细信息和保证。另外,SOC 2报告对组织监督、供应商管理计划、公司治理、风险管理流程、监管合规性监督等都至关重要。
这里总结了几点来帮助大家更好地了解SOC 2认证:
1)SOC 2可以给将数据的收集、处理、传输、存储、运营等外包给第三方的机构提供关于内部治理和评估的机制。与SOC 1不同,它的重点是与安全性相关的内容,而不是与客户财务报告相关的控制。需要注意的是,虽然SOC 2在形式上与SOC 1非常类似,但两者的目的却截然不同,不能相互替代,服务商完全可以对服务同时进行SOC 1和SOC 2的审计。
2)SOC 2报告允许云服务商以与SOC 1报告非常类似的格式向现有和潜在的客户分享有关其服务设计适当性和操作有效性的信息。
3)SOC 2审查报告提供全面的安全性要求:如在安全性方面,要求系统提供免受未经授权的物理和逻辑访问的措施;在完整性上,要求数据处理过程是准确、及时、经过授权的,并且要求系统可按承诺或约定的方式进行操作和使用,以保证可用性;在隐私保护方面,要求企业按照公认会计准则GAAP的要求,对个人隐私数据进行收集、使用、保留、披露和销毁的合规处理。
4)虽然审计师在审计时会考虑五个可信服务准则(安全、可用性、完整性、保密性和隐私),但在应用SOC 2进行审计时,并不是所有的准则维度都需要被考虑,而是取决于提供云服务的类型和客户的要求。
5)SOC 2 包括Ⅰ类(type1)和Ⅱ类(type2)两种审核报告类型。在格式上它们都包含审计师的意见、管理层的主张及服务的控制措施,但Ⅰ类审核意见是基于一个时间点来评价服务商是否客观描述了系统和控制措施已经经过适当设计并符合标准。而Ⅱ类审核虽然也是针对安全性控制措施来审核的,但审计师需要对控制措施进行测试和评估,并在指定的审核期内(通常为6到12个月)对控制操作的有效性提出意见,因此后者是被普遍采用的一种。
6)SOC 2中并没有明确规定必须执行哪些控制措施才能满足选定原则的标准。例如,标准3.4指出:“存在防止未经授权访问系统资源的程序”,该标准提供了一些说明性控制措施,包括使用虚拟专用网、防火墙、入侵检测系统等,但这些都不是强制性的,服务组织完全可以自主决定控制措施,只要这些控制措施符合选定的可信服务原则即可。
7)SOC 2的审核范围可以根据所提供的服务进行调整,以适应与其他标准审核的兼容性,服务商可以要求审计师在SOC 2报告里说明此报告还符合哪些其他标准和规范等。
8)SOC 2不是以证书的形式颁发给服务商,但认证后的服务商可以在报告日期后的12个月内,在其宣传材料和网站上显示AICPA的服务组织徽标。与SOC 3不同的是,使用SOC 2徽标不收费,但是徽标的使用取决于是否符合AICPA规定的条款和准则。
SOC 2 的Ⅱ类作为企业最常选择的报告类型,有许多特点。在服务主张部分,审计师针对服务商是否遵从可信服务原则进行了系统的、客观的描述,独立服务审核报告总结了安全控制措施在对应可信服务准则时的有效性情况。另外,报告还系统地概述了服务目的、服务商地理位置和行业等背景信息。在基础架构部分,报告提供了组织使用的流程、策略、应用、数据的详细说明,有关第三方服务提供商已完成或当前正在进行的SOC 审核的信息,云中使用的网络硬件、备份配置、数据库类型等技术信息。在控制环境部分,报告包括风险评估过程、通信系统、监控等信息。
需要指出的是,如果SOC 2审核没有通过,而当审计师的意见与服务商的主张相符或有少量意见时,后者将会收到无须修改的审核意见,实际上这表明该企业是可以信任的。但若企业存在重大例外,如未能提供足够的控制证据,则审计师可能会给出不利意见。
简而言之,云服务商应努力实现SOC 2的合规性,因为它不仅可以提高客户的信任度、提升企业的声誉,更重要的是,还可以增强数据保护能力并提高服务商的安全意识。
2.8.4 SOC 2对云服务商的要求
在与客户的服务协议方面,云服务商对客户承诺的有关服务的安全性、可用性、保密性等内容,需要在与客户的服务水平协议(Service Level Agreement,SLA)或其他协议中体现。而这些承诺应该包括服务系统基本设计、内生的安全性及保密性原则等,其中保密性原则应该以限制未经授权的内外部人员对数据访问为基础,保护服务边界内数据的安全性和可用性。
在信息安全策略方面,云服务商需要清楚地阐明系统和数据是如何被保护的,包括云中的各类服务是如何被设计和开发的,系统是如何运行,内部业务系统和网络是如何被管理的,以及如何招聘和培训员工等事项。除此以外,云服务商还需要提供标准化操作流程,包括所有人工参与和自动化的标准化操作流程。
在人员组织方面,SOC 2建议由上至下,有最高管理层牵头提高企业对安全性的重视并植入公司文化。在组织层面建立以规划、执行和控制商业运营为主的基础框架。在清晰定义角色和职责后,组织需要确保有足够的人员配备、安全性、运营效率和权责分离。当员工入职时,需要遵循标准化的入职流程,使新员工熟悉企业的各类要求、流程、系统、安全措施、政策和程序,并要为员工提供商业行为与道德守则等材料,要求进行安全与意识培训,以提高员工对信息安全的意识和责任,同时配合合规审核,为员工理解并遵循既定政策提供监督。
在数据处理方面,平台需要支撑客户对自己的数据的控制权和所有权,其中客户负责开发、操作、维护和使用其数据,服务商确保客户无法访问未经授权的物理主机、实例等。当存储设备达到使用寿命时,为了防止将客户数据暴露给未经授权的第三方,也需要依据所在垂直行业的各类规范销毁“退役”的数据和硬件。
在服务可用性方面,服务商需要有预定义的流程来维护其服务的可用性,主要包括及时发现和响应环境中的重大安全事件,并快速恢复。这个流程需要考虑业务的连续性、灾难恢复及主动性风险控制策略等,云服务商可以通过设计物理分隔的可用区、持续的扩容规划等方式来实现。应急计划和事件响应手册需要根据过往的经验不断更新,以应对新的问题。服务商还需要持续监控服务的使用情况,以保护服务的持续可用。
在保密性方面,服务商需要通过使用各类控制措施,使合法客户能够访问和管理其服务的资源和数据、制定数据存储位置,以及对数据进行删除等操作,以全面管理对资源的访问,同时需要定期对第三方合作方的服务进行审查,保证不会出现供应链的安全风险。