Главная Стандарты Отрасли Почему BALTUM ✦ AI-оценка — baltum.ai Получить расчёт →
ГлавнаяСтандарты → SOC 2

SOC 2 Type I и II — Контроль сервисных организаций

Де-факто стандарт гарантий безопасности для SaaS-, облачных и технологических сервис-провайдеров, работающих с корпоративными клиентами в США. BALTUM реализует программы подготовки к SOC 2 и координирует проведение аудитов Type I и Type II через аккредитованные AICPA CPA-фирмы по всему миру.

SOC 2 Type ISOC 2 Type IIAICPA TSCКритерии доверительных услуг

Что такое SOC 2?

SOC 2 (System and Organisation Controls 2) — стандарт аудита, разработанный Американским институтом дипломированных бухгалтеров (AICPA). Он оценивает меры контроля сервисной организации по критериям доверительных услуг (Trust Services Criteria, TSC): Безопасность, Доступность, Целостность обработки, Конфиденциальность и Приватность. Безопасность (Common Criteria) является обязательной; остальные четыре критерия выбираются в зависимости от бизнес-контекста.

SOC 2 Type I и Type II

  • Type I — оценка на определённую дату, подтверждающая надлежащее проектирование мер контроля. Типичный срок: 2–3 месяца. Используется как промежуточный отчёт при подготовке к Type II.
  • Type II — оценка за период наблюдения (как правило, 6–12 месяцев), подтверждающая эффективность работы мер контроля на протяжении всего периода. Требуется большинством корпоративных закупщиков и компаниями из списка Fortune 500.

Кому необходим SOC 2?

  • SaaS- и облачным компаниям с корпоративными клиентами в США
  • Провайдерам облачной инфраструктуры, хостинга и дата-центров
  • Провайдерам управляемых услуг безопасности и ИТ-сервисов
  • Платформам HR, расчёта заработной платы и льгот
  • Любому технологическому поставщику, отвечающему на корпоративные анкеты безопасности

Критерии доверительных услуг — обзор Common Criteria

  • CC1 — Контрольная среда (управление, подотчётность)
  • CC2 — Коммуникация и информация
  • CC3 — Оценка рисков
  • CC4 — Мониторинг мер контроля
  • CC5 — Контрольные действия (политики и процедуры)
  • CC6 — Логический и физический контроль доступа
  • CC7 — Системные операции (обнаружение аномалий, реагирование на инциденты)
  • CC8 — Управление изменениями
  • CC9 — Снижение рисков

Сопровождение SOC 2 от BALTUM

  • Оценка готовности по всем применимым критериям доверительных услуг
  • Реестр несоответствий и дорожная карта устранения
  • Разработка политик и процедур в соответствии с требованиями TSC
  • Внедрение GRC-платформы (Vanta, Drata, Sprinto или аналогичной)
  • Координация с CPA-фирмой для проведения аудитов Type I и Type II
  • Постоянное сопровождение соответствия и поддержка ежегодного аудита

Интеграция SOC 2 + ISO 27001

Единая система доказательной базы BALTUM сопоставляет критерии доверительных услуг SOC 2 с мерами контроля Приложения A ISO 27001:2022 — что позволяет одновременно получить SOC 2 и сертификацию ISO 27001 с единой библиотекой политик, единым процессом оценки рисков и значительным сокращением дублирования аудиторских мероприятий.