SOC 2 (Sistem ve Organizasyon Kontrolleri 2), bir hizmet kuruluşu tarafından sağlanan hizmetlerin güvenilirliğini doğrulayan bir tür denetim raporudur. Müşteri verilerini çevrimiçi olarak depolayan dış kaynaklı yazılım çözümleriyle ilişkili riskleri değerlendirmek için yaygın olarak kullanılır.
İçindekiler
SOC 2 Nedir?
SOC 2 raporları, resmi bir SOC 2 denetiminin sonucudur. Bu raporlar, bir hizmet kuruluşunun verdiği hizmet veya çözümlerin (bir yazılım şirketinden alınan hizmet gibi), aşağıda belirtilen nitelikler ile ilgili olarak AICPA (American Institute of Certified Public Accountants – Amerika Sertifikalı Kamu Muhasebecileri Enstitüsü) tarafından belirlenen standartlar kullanılarak bir Yeminli Mali Müşavir (CPA – Certified Public Accountant) tarafından denetlendiğini doğrular. AICPA tarafından belirlenen kriterler şu şekildedir:
- Güvenlik,
- Kullanılabilirlik ,
- İşlem Bütünlüğü,
- Gizlilik
- Mahremiyet
AICPA hakkında daha fazla bilgiye aşağıdaki bağlantıdan ulaşabilirsiniz: https://www.aicpa.org/
SOC 2 mi ISO 27001 mi? Hangi yöntem?
Veri koruma uygulamalarınızı geliştirmek istiyorsunuz ancak ISO 27001 veya SOC 2 (Sistem ve Organizasyon Kontrolleri 2) hangisini takip etmeniz gerektiğine karar veremiyor musunuz?
Eğer öyleyse, bu yazımız tam size göre. ISO 27001 veya SOC 2 dünyadaki en popüler bilgi güvenliği ve risk yönetimi standartları arasındadır.
Beş temel unsuru gözden geçirerek hangisinin sizin için doğru olduğuna yardımcı olmaya çalışalım.
SOC 2 ve ISO 27001 Kapsamı
SOC 2 ve ISO 27001, hassas bilgileri korumak için tasarlanmış süreçler, politikalar ve teknolojiler dahil olmak üzere güvenlik kontrolleriyle aynı konuların çoğunu kapsar.
ABD merkezli bilimsel bir çalışma, iki çerçevenin aynı güvenlik kontrollerinin %96’sını paylaştığını göstermektedir. Aradaki temel fark, hangi güvenlik kontrollerini uyguladığınız ile ilgilidir. Hem ISO 27001 standardı hem de SOC 2, kuruluşların yalnızca kendileri için geçerliyse bir kontrolü benimsemeleri gerektiğini belirtir, ancak buna yaklaşım biçimleri biraz farklıdır.
ISO 27001, veri koruma uygulamalarını yönetmek için kapsamlı bir yöntem olan bir Bilgi Güvenliği Yönetim Sistemi – BGYS’nin geliştirilmesine ve işletilmesine odaklanır. ISO 27001’i uygularken uyumluluğu sağlamak için bir risk değerlendirmesi yapmalı, güvenlik kontrollerini belirlemeli ve uygulamalı ve bunların etkinliğini düzenli olarak gözden geçirmelisiniz.
SOC 2, ISO 27001’in aksine, çok daha esnektir. Yukarıda ifade ettiğimiz Beş Güven Hizmetleri İlkesinden oluşur: Güvenlik, Kullanılabilirlik, İşlem Bütünlüğü, Gizlilik ve Mahremiyet, ancak bunlardan yalnızca ilki yani güvenlik zorunlu bir kriterdir. Kuruluşlar isterlerse diğer ilkelerle ilgili iç kontrolleri de uygulayabilirler, ancak sertifika almaları şart değildir.
Pazar uygulanabilirliği
Her iki çerçeve de küresel olarak tanınır, ancak SOC 2, Kuzey Amerika (ABD, Kanada) ile daha yakından ilişkilidir.
Bu bölgeler ile iş yapan firmalardan SOC 2 ile ilgili gerekliliklerin talep edilme ihtimali daha yüksektir. Kuzey Amerika dışında ise ISO 27001 çok daha popüler olduğunu gözlemlemekteyiz.
Sertifikasyon süreci
Her iki çerçeveyi de belgelendirme süreci için bir dış denetimi tamamlamanız gerekmektedir.
ISO 27001 için bu standarttan akreditasyonuna sahip belgelendirme kuruluşu, icra edilecek bir denetimle belgeyi verirken, bir SOC 2 tasdik raporu yalnızca lisanslı bir Yeminli Mali Müşavir yani CPA (Certified Public Accountant) tarafından verilebilir.
Görsel anlamda da ISO 27001 denetimini geçen kuruluşlar bir uygunluk sertifikası alırken, SOC 2 uyumluluğu daha resmi bir onayla belgelenir.
Zaman planlaması çizelgesi
Sertifikasyon süreci, tamamlamanız gereken üç aşama ile ISO 27001 ve SOC 2 için benzerdir.
- Halihazırda çerçevenin hangi alanlarıyla uyumlu olduğunuzu ve nerede iyileştirmeler yapmanız gerektiğini belirlemek için bir GAP (boşluk) analizi yapmalısınız. Bu sürecin bir parçası olarak, güvenlik hedeflerinizi ve kuruluşunuzun hangi alanlarının kapsama dahil edileceğini de tanımlamanız gerekir.
- Ardından, kuruluşunuz için hangi güvenlik kontrollerinin uygun olduğunu belirlemeli ve bunları uygulamak için gerekli adımları atmalısınız. Bu, uygulamalarınızı yazılı doküman haline getirmeye ve süreçlerinizi gözden geçirmek ve iyileştirmek için bir yöntem oluşturmayı içerir.
- Son adım denetimdir. Birçok kuruluş, belirledikleri nihai hataları ele almalarına olanak tanıdığı için bir akreditasyon kuruluşuyla iletişime geçmeden önce bir iç denetim gerçekleştirir.
Uygulamalarınızdan emin olduğunuzda, bizimle iletişime geçebilir ve bir dış denetim organize edebilirsiniz. Bir belgelendirme sürecinin ne kadar süreceği, uygunsuzluklarınıza, firma yapınıza ve proje için ayırdığınız kaynaklara göre değişkenlik göstermektedir. Dış denetim öncesi her iki çerçevenin de organizasyonunda uygulanabilmesi için danışmanlık hizmeti verebilmekteyiz.
Hangi çerçeveyi kullanmalısınız?
Umarım bu yazı, kuruluşunuzun SOC 2’ye mi yoksa ISO 27001’e mi daha uygun olduğuna karar vermenize yardımcı olmuştur. İlkini uygulamak ve sürdürmek daha kolay ve daha ucuzdur.
ISO 27001 daha fazla iş gerektirir, ancak kuruluşları bilgi güvenliği tehditlerinden korumak için geniş bir kapsama sahiptir.
Kuruluşunuz için hangi seçeneğin doğru olduğu konusunda sizinle görüşmekten mutluluk duyarız. Siber dayanıklılık, veri koruma, siber güvenlik ve iş sürekliliği, Bilgi Teknolojileri yönetimi ve risk yönetimi ile uyumluluk hizmetlerindeki uzmanlığımız ile desteğe hazırız.
Sistem belgelendirme anlamında hizmet verdiğimiz diğer standartlar hakkında detaylı bilgiye aşağıdaki bağlantıdan ulaşabilirsiniz: http://mabelgelendirme.com/sistem-belgelendirme/