SOC 2
SOC 2 とは何ですか?
SOC 2AICPA が定める保証業務の基準で、独立した監査人がサービス組織の統制を Trust Services Criteria に照らして評価するもの。
SOC 2(System and Organization Controls 2)は、AICPA が SSAE 18 に基づき定義する保証業務です。Trust Services Criteria、すなわちセキュリティ(必須)、可用性、処理のインテグリティ、機密保持、プライバシーに対するサービス組織の統制を評価します。報告書は、特定時点における統制設計を評価する Type 1 と、通常 3〜12 か月の期間にわたる運用有効性を評価する Type 2 の 2 種類があります。SaaS、クラウド、マネージドサービス事業者が、NDA のもとで顧客に統制の成熟度を示すために広く利用しています。SOC 2 は認証ではなく、SOC 2 報告書に記載される監査人の意見が成果物となります。
● 例
- 01
SaaS スタートアップが初年度の監査でセキュリティと機密保持に焦点を当てた SOC 2 Type 1 報告書を取得する。
- 02
エンタープライズ向けベンダーが、セキュリティと可用性をカバーする SOC 2 Type 2 報告書を年次で顧客へ提供する。
● よくある質問
SOC 2 とは何ですか?
AICPA が定める保証業務の基準で、独立した監査人がサービス組織の統制を Trust Services Criteria に照らして評価するもの。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
SOC 2 とはどういう意味ですか?
AICPA が定める保証業務の基準で、独立した監査人がサービス組織の統制を Trust Services Criteria に照らして評価するもの。
SOC 2 からどのように防御しますか?
SOC 2 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
SOC 2 の別名は何ですか?
一般的な別名: Service Organization Controls 2。