שירותי ייעוץ / מיקור חוץ להכנת ארגונים לעמידה בדרישות SOC2

האם הלקוחות שלכם דורשים מיכם עדות להתאמת תהליכי מערכות המידע שלכם ל- SOC 2 ? האם אי הסמכה לSOC2 מהווה תנאי חוסם לקבלת עסקה חדשה מהלקוחות שלכם?

אם השבתם "כן" על אחת משאלות שהוזכרו להם, פנו אלינו ונסייע לכם להתאים את תהליכי מערכות המידע שלכם למבדק SOC2 .

מה זה (SOC2 (Service Organization Control?

SOC2 הוא סטנדרט בינלאומי שמטרתו להבטיח את איכות ניהול השירות ורמת האבטחה של ארגונים המשתמשים בשירותי ענן ליישומים שונים שלהם.

הסטנדרט דורש שהארגון יטמיע בקרות שוטפות וידווח במשך תקופה על התממשותם. הדו"ח שמכין הארגון מתאר את האמצעים, הטכנולוגיות והבקרות שמנהל הארגון, ומטרתו לתת מענה לחמשת עקרונות השמירה על מחשוב אמין ומאובטח – זמינות (Availability), שלמות ודיוק (Integrity), אבטחה (Security), פרטיות (Privacy) וחיסיון (Confidentiality). תכולת הדוח עצמה מותאמת לאופי השירות ודרישות הלקוח.

הסמכה ל- SOC2 שונה מתהליך הסמכה רגיל. בשונה מתהליך הסמכה רגיל שבו סוקר בודק במשך יום או יותר את תהליכי החברה וכותב דו"ח עם ממצאים לתיקון אחרי המבדק, במבדק SOC2 תהליך ההסמכה כולל בדיקות מעמיקות במשך תקופה, ומאפשר לארגון לתקן במהלך התקופה.

סוגי SOC2:

קיימים שני סוגי SOC2 כדלהלן:

SOC2 TYPE1 – בדרך כלל מתאים לחברות הזנק (Start-up) שרוצות להגיע ל SOC2 מהר. במצב זה הבדיקה הינה נקודתית ונעשית ביום אחד.
SOC2 TYPE2 – בדרך כלל מתאים לחברות גדולות או חברות שכבר עברו SOC2 TYPE1. במצב זה הדגימה מתייחסת לתקופה ממושכת של כמה חודשים וביצועי הארגון לאורך זמן

תהליך ייעוץ SOC2 

תהליך הייעוץ כולל את הצעדים הבאים:

  • סקירת פערים לעומת דרישות התקן
  • מתבצעת סקירה של הבקרות הנדרשות לפי התקן ומיפוי נושאים וראיות הנדרשות כחלק מבחינת עמידה בדרישות. המיפוי כולל גם סקירת פערים וגם המלצות ליישום והלימות טיפול.
  • כתיבת תיעוד הנדרש לפי התקן
  • במסגרת הפרויקט נכתבים הנהלים הנדרשים לפי התקן שחסרים בארגון בתחומי מערכות מידע ואבטחת מידע.  התיעוד כולל נהלים בהתאם לתהליכי הליבה של החברה ודרישות התקן, וזאת תוך התייחסות להיבטי אבטחת מידע במערכות מידע, בטחון פיזי, משאבי אנוש, תהליכי רכש והתקשרות עם נותני שירות / גורמי צד ג', תהליכי פיתוח וכו'.
  • הגדרת אחריות הנהלה
  • הנהלה מיישמת מדיניות אבטחת מידע ומקצה את המשאבים הנדרשים לניהול החברה בהתאם לדרישות התקן, וזאת תוך קיום ישיבות סקרי הנהלה תקופתיים. כמו כן, ההנהלה ממנה נציג הנהלה, שיהיה אחראי על יישום בקרות התקן בחברה. באחריות הנציג להבטיח שמדיניות ההנהלה מתקיימת בצורה סדורה.
  • הגדרת תהליכי אבטחת מידע בחברה
  • מוגדרים תהליכים ייחודיים לניהול אבטחת מידע בחברה, כולל הגדרה ויישום תהליך תחקור אירועים, בקרות אבטחת מידע  וכו'.
  • השתתפות בבקרות שמבוצעות ע"י החברה הסוקרת
  • ראיות לעמידה בבקרות מועברות לחברה הסוקרת. ביום הבדיקה מתבצעת בקרה ע"י החברה הסוקרת על עמידת החברה בבקרות ומוכן דוח מסכם.

מדוע לעבוד דווקא איתנו?

יש לכם מגוון סיבות טובות לעבוד עימנו:

  • ניסיון בייעוץ / מיקור חוץ בנושא
  • היועצים שלנו בעלי ניסיון הן בהכנת ארגונים בדרישות SOC2 ובליווי הארגונים בעת המבדק עד להצלחה מוכחת.
  • ידע וניסיון בתחומים משיקים
  • אנו בונים לכם פיתרון כולל לדרישות המגוונות שלכם: 27001 ISO, אבטחת הפרטיות, סקר סיכונים טכנולוגי ובדיקת חוסן, מיקור חוץ לניהול אבטחת מידע (CISO) ועוד.
  • זמישות (זריזות + גמישות)
  • הזמינות של היועצים שלנו גבוהה; אנו עובדים גם מרחוק, כך שאנו לתפור את השירות שלנו בהתאם לצרכים שלכם.

רוצים שנעשה זאת עבורכם?

התקשרו לאורנה: 053-7739018 או מלאו את הפרטים שלכם: