Compliance & Ramverk

SOC 2-rapportering

Förstå SOC 2 och arbeta mot attestering.


SOC 2

SOC 2 är en amerikansk standard för tjänsteleverantörer som hanterar kunddata, särskilt relevant för SaaS-bolag.

Trust Services Criteria

SOC 2 bygger på fem kriterier:
  • Security (obligatoriskt) – Skydd mot obehörig åtkomst
    - Availability – Tillgänglighet enligt avtal
    - Processing Integrity – Korrekt och fullständig behandling
    - Confidentiality – Skydd av konfidentiell information
    - Privacy – Hantering av personuppgifter

    ### Typ I vs Typ II

    - Typ I – Design av kontroller vid en tidpunkt
    - Typ II – Effektivitet av kontroller över en period (vanligtvis 6-12 månader)

    • Steg för steg

    1

    Välj kriterier

    Security är obligatoriskt, välj övriga baserat på behov

    2

    Genomför GAP-analys

    Analysera mot valda Trust Services Criteria

    3

    Implementera kontroller

    Stäng identifierade brister

    4

    Samla bevis

    Dokumentera och bevisa kontrollernas effektivitet

    5

    Engagera revisor

    Välj en CPA-firma för SOC 2-attestering

    Tips

    Bra att veta
    • Börja med Typ I för att validera kontrolldesignen
    • SOC 2 och ISO 27001 överlappar – arbeta med båda parallellt
    • Automatisera bevisinsamling där möjligt för att spara tid
    Föregående NIS2-direktivet

    Var denna artikel till hjälp?