Ana Sayfa /

SOC 2 hakkında en çok merak edilen 10 soru

SOC 2 hakkında en çok merak edilen 10 soru

Bir uzmanla konuşun

+90 (212) 951 0703
İLETİŞİM
İLETİŞİM

SOC 2 hakkında en çok merak edilen 10 soru

SOC 2 ile ilgili en sık aldığımız soruların cevaplarını sizler için topladık

Hizmet kuruluşlarının, diğer şirketlerle ortaklık kurmak veya diğer şirketlere hizmet sağlamak için genellikle SOC 2 uyumluluğu kazanmaları gerekir.  

Bu blogda sizlerin en çok sorduğu SOC 2 ile ilgili sorularınızı yanıtlamak istedik. Yanıtladığımız sorular: 

  1. SOC 2 Uyumluluğunun Faydaları Nelerdir? 
  2. SOC 1 ve SOC 2 Farklımıdır? 
  3. SOC 2 Sertifikası Neleri Kapsıyor? 
  4. SOC 2 Denetimi Öncesinde Neler Yapmalısınız? 
  5. SOC 2 Denetimini Kim Gerçekleştirir? 
  6. Hangi Departmanlarınız SOC 2 denetimini dahil olur? 
  7. SOC 2 Denetim Raporu Neler İçermektedir? 
  8. SOC 2 Denetim Raporu Ne Kadar Süreyle Geçerlidir? 
  9. SOC 2 Sertifikası Almak Ne Kadar Sürer? 
  10. SOC 2 Uygunluk Denetimine Hazır Olduğunuzu Nasıl Anlarsınız? 

SOC 2 Uyumluluğunun Faydaları Nelerdir? 

SOC 2 uyumluluğunun en büyük faydası kuruluşunuzun yüksek düzeyde bilgi güvenliği sağladığını ispatlamasıdır. Bu kurumunuza itibar kazandırır ve bilgi güvenliği konusunda sürekli iyileştirme prensibiniz olduğunu kanıtlar ve elbette bunlarda size yeni iş fırsatları yaratacaktır.   

SOC 1 ve SOC 2 Farklımıdır? 

Sağladığınız hizmete veya sisteme bağlı olarak, üçüncü taraflar SOC 1- veya SOC 2- uyumlu olup olmadığınızı sorabilir. SOC 2’nin SOC 1’in güncellenmiş bir versiyonu olduğunu düşünebilirsiniz, ancak aslında bunlar iki farklı çerçevedir. Bir SOC denetimini veya her ikisini birden tamamlamanız gerekebilir. 

SOC 1, daha az yaygındır ve üçüncü tarafların finansal raporlamasını etkileyebilecek finansal bilgileri barındırdığınızda geçerlidir. 

SOC 2, üçüncü tarafla ilgili diğer tüm hassas bilgi türleri için geçerlidir. Mali verileri barındırmıyorsanız, tamamlamanız gereken tek uyumluluk denetimi budur. 

Buna karşılık, yalnızca finansal bilgileri barındırıyorsanız, SOC 2’yi tamamlamanız gerekmez.  

Her iki veri türünü de barındıran kuruluşların her iki uyumluluk denetimini de tamamlaması gerekir. 

SOC 2 Sertifikası Neleri Kapsıyor? 

SOC 2 sertifikasını elde etmek için kuruluşlar aşağıdakiler üzerinde kontroller uygulamalıdır: 

Sistem İzleme  

Kuruluşlar, hassas bilgilere kimlerin eriştiğini, erişim yetkilerini kimin verdiği ve nerelere erişim verildiğinin yanı sıra bu bilgilerde ne gibi değişiklikler yaptıklarınıda takip ederek bilgi sistemlerini her zaman izlemelidir. 

Gelişmiş bir erişim kontrolü yönetim sistemi, çalışanların yalnızca işleriyle ilgili bilgileri görebilmelerini sağlayan kontrol katmanları içerecektir ve bu iş yapışlarında da performanslarını arttıracaktır. Aynı zamanda erişim kontrolleri, çalışanların zayıf parolalar seçmesi veya kimlik avı dolandırıcılığında kimlik bilgilerini ifşa etmesi durumunda ekstra bir güvenlik düzeyide sağlayacaktır. 

Sisteminizi sürekli izlemeniz yalnızca kötü niyetli kişilerin oluşturduğu riski azaltmakla kalmaz, aynı zamanda bir siber suçlunun bir hesaba yetkisiz erişim kazanması durumunda zararınızı da azaltır. 

Veri ihlali uyarıları 

Siber güvenlik savunmanız ne kadar karmaşık olursa olsun, er ya da geç bir veri ihlaline maruz kalacaksınız çünkü çok fazla saldırgan ve çok fazla güvenlik açığı vardır. 

Bir güvenlik olayı meydana geldiğinde, sizi tehdit konusunda uyaracak bir sisteme ihtiyacınız vardır. Bu, yalnızca yetkisiz erişime değil, aynı zamanda şüpheli dosya aktarımlarına veya hassas verilerdeki değişikliklere de atıfta bulunur. 

Bunlara, bir saldırganın kıdemli bir çalışan veya üçüncü taraf gibi davrandığı ve daha düşük seviyeli bir çalışanın kendilerine belirli bir dosya göndermesini istediği, hedef odaklı kimlik avı gibi tehditler söz konusu olduğunda dikkat edilmesi özellikle önemlidir. 

Söz konusu kuruluş teknik olarak ihlal edilmedi – saldırı, yasal olmayan bir adresten gelen bir e-postadan başka bir şey değil – ancak çalışan talebi yerine getirdiğinde ciddi bir olay meydana geldi.  

Denetim prosedürleri 

Kuruluşlar, kişisel bilgilerin ve diğer hassas verilerin nasıl kullanıldığına dair ayrıntılı kayıtlar tuttuklarından emin olmak için sıkı bir denetim prosedürü benimsemelidir. 

Yalnızca bunu yaparak bir veri ihlalinin kaynağını izleyebilir ve hasarın tam boyutunu belirleyebilirsiniz. 

SOC 2 Denetimi Öncesinde Neler Yapmalısınız?  

SOC 2 denetim süreci iki aşamaya ayrılabilir:  

  1. Hazırlık  
  1. Yürütme 

Denetim öncesi şunları tamamlamanız gerekmektedir;   

Denetiminizin Kapsamını ve Hedeflerini Tanımlayın 

Tıpkı diğer ISO yönetim sistemlerinde olduğu gibi kapsam ve hedeflerinizi açıkça belirtmelisiniz. Bu kapsam doğrultusunda, politika ve prosedürlerinizi hazırlamalısınız. 

‍Belge Politikaları ve Prosedürleri 

SOC 2 Tip 2 denetimleri, Güven Hizmetleri İlkelerine (Trust Services Principles) dayalı bilgi güvenliği politikalarının kapsamlı bir şekilde belgelenmesini gerektirir. Denetçi, kontrollerinizi bunlara karşı değerlendirecektir, bu nedenle açık ve kapsamlı olmaları önemlidir. Sizin için kaç ilke ve kontrolün geçerli olduğuna bağlı olarak, bu adım biraz zaman alabilir.  

Hazırlık Değerlendirmesi Gerçekleştirin 

Denetçi için ana hatlarıyla belirtilen ve belgelenen politikalarınız ile, SOC 2 denetimine hazırlığınızı belirlemek için bir GAP Analizi veya hazırlık değerlendirmesi gerçekleştirebilirsiniz. Bu alıştırma, esasen resmi denetimden önceki alıştırma turunuzdur. Politikalarınızı ve uygulamalarınızı değerlendirme ve çerçevenizdeki zayıflıkları veya riskleri belirleme şansınız olacaktır.  

SOC 2 Denetimini Kim Gerçekleştirir? 

SOC 2 denetimleri AICPA tarafından belgelendirilmiş bir CPA (Certified Public Accountant) tarafından gerçekleştirilmektedir.  

CPA, nesnelliği sağlamak için bilgi güvenliği konusunda uzmanlaşmalı ve denetlediği kuruluştan tamamen bağımsız olmalıdır. CPA firmaları, denetim hazırlığına yardımcı olması için ilgili bilgi güvenliği deneyimine sahip CPA olmayan bir danışman çalıştırabilir. Ancak, nihai raporun bir CPA tarafından düzenlenmesi gerekir. 

Hangi Departmanlar SOC 2 denetimine dahil olur? 

SOC 2 denetimi, önemli bir girişimdir ve yalnızca BT veya güvenlik ekiplerinizle sınırlı olmayacaktır. SOC 2 denetiminize hazırlanırken, sürece kimlerin dahil olması gerektiğini ve aşağıdaki gibi hangi rollerin doldurulması gerektiğini düşünmelisiniz: 

  • Yönetici, 
  • Proje Müdürü, 
  • Hukuk Birimi, 
  • İnsan Kaynakları, 
  • Bilgi Teknolojileri Güvenliği, 
  • Dış danışmanlarınız 

SOC 2 Denetim Raporu Neler İçermektedir? 

Denetim raporu, yalnızca bir bulgular listesinden ve uygunluk gereksinimlerinin bir kontrol listesinden daha fazlasıdır. SOC 2, her organizasyonun çalışma şekline bağlı olarak kendi gereksinimlerine sahip olacağından, yorumlama için bolca alan sağlar. 

SOC 2 denetim raporu, denetçinin görüşünü belirten yazılı bir mektup içerir. Görüş dört kategoriden birine girebilir:  

  • Unqualified / Niteliksiz: Denetçi, bulguları hiçbir değişiklik yapmadan tamamen desteklemektedir.  
  • Qualified / Nitelikli: Denetçinin bulduğu sorunlar, olumsuz bir görüşü olamayacak kadar küçüktür (minor). 
  • Adverse / Olumsuz: Denetçi, sistemlerin güvenilir olmadığı sonucuna varmıştır. 
  • Disclaimer / Sorumluluk Reddi: Denetçi, görüş belirlemek için gerekli kanıtları almadığı için resmi görüş veremedi. 

Denetçi görüşüne ek olarak, rapor aşağıdakileri de içerebilir: 

  • Sistem veya hizmetin ayrıntılı bir açıklaması, 
  • Geçerli güven hizmetleri kategorilerinin ayrıntıları, 
  • Test sonuçları. 

SOC 2 Denetim Raporu Ne Kadar Süreyle Geçerlidir?

SOC 2 denetim raporu, raporun düzenlendiği tarihi takip eden 12 ay boyunca geçerlidir. Kuruluşlar, sürekli uyumluluğu ve sağlam güvenliği sağlamak için her yıl bir SOC 2 denetimini tamamlamalıdır. 

SOC 2 Sertifikası Almak Ne Kadar Sürer? 

SOC 2 sertifikasının ne kadara mal olacağını ve ne kadar süreceğini değerlendirirken göz önünde bulundurulması gereken üç şey vardır: 

  • Mevcut uyumluluk durumunuz, 
  • Kuruluşunuzun boyutu ve karmaşıklığı, 
  • SOC 2 denetçisinin maliyeti. 

Bununla birlikte, bu soruların cevabını bilseniz bile, her kuruluşun kendi gereksinimleri olduğundan ne zaman sertifika alacağınıza dair belirlenmiş bir fiyat yapısı veya zaman çizelgesi ne yazık ki yoktur. 

Bu bağlamda, SOC 2, sertifikasyon için tutarlı bir zaman çizelgesine sahip olma eğiliminde olan diğer bilgi güvenliği standartlarından daha değişkendir. 

En iyi hazırlanmış kuruluşlar, denetimlerini birkaç ay içinde tamamlayabilirken, diğerleri Güven Hizmetleri Kriterlerinde gerekli kontrolleri uygulamak için çok daha uzun zaman harcayabilirsiniz. 

SOC 2 hem zaman, hem para hem de kaynaklar açısından büyük bir yatırımdır. Denetimin kendisine ek olarak, toplam yatırıma dahil edilmesi gereken personel maliyetleri ile araçlar ve eğitim maliyetleri vardır. 

SOC 2 Uygunluk Denetimine Hazır Olduğunuzu Nasıl Anlarsınız? 

SOC 2 uygunluk denetimine hazır olduğunuzdan emin olmanın tek yolu sistemlerinizi gözden geçirmektir. SOC 2 Denetime Hazırlık Değerlendirmesi ve İyileştirme Hizmetimizle bunu yapmak için yardım alabilirsiniz. 

Uzman ekibimiz, kuruluşunuz için hangi denetimlerin uygun olduğu konusunda size tavsiyelerde bulunabilir. Bu konuda daha fazla bilgi için bize certification@cfecert.co.uk mail adresinden ulaşabilirsiniz. 

ISO 9001 KYS

ISO 9001, kuruluşların bir Kalite Yönetim Sistemi (QMS) uygulamasına yardımcı olmak için tasarlanmış uluslararası standarttır.

 Daha Fazla Bilgi Alın
Hakkımızda Belgelendirme Hizmetler Süreç Etkinlikler UKAS Accreditation IAS Accreditation CPD Accreditation Bize Ulaşın
cfe cert linkedin
iso 27001 certification iso 22301 certification iso 37001 certification iso 20000 certification bs 10012 certification gdpr certification
© 2021 - CFECERT | Tüm hakları saklıdır
Çerez Politikası Gizlilik Sözleşmesi Şartlar ve Koşullar
Hakkımızda Belgelendirme Hizmetler Süreç Etkinlikler UKAS Accreditation IAS Accreditation CPD Accreditation Bize Ulaşın Çerez Politikası Gizlilik Sözleşmesi Şartlar ve Koşullar
cfe cert linkedin
© 2021 - CFECERT | Tüm hakları saklıdır
iso 27001 certification iso 22301 certification iso 37001 certification
iso 20000 certification bs 10012 certification gdpr certification