SOC 2 là gì và tôi có cần không?

SOC 2 là viết tắt của System and Organization Controls 2. Đây là một khung báo cáo mà nhiều công ty phần mềm, dịch vụ đám mây và dịch vụ doanh nghiệp sử dụng để chứng minh rằng các biện pháp kiểm soát của họ liên quan đến bảo mật và các lĩnh vực liên quan được thiết kế tốt và, trong một số trường hợp, hoạt động một cách nhất quán theo thời gian.

SOC 2 thường không phải là thứ mà một tiệm bánh địa phương, cửa hàng bán lẻ, nhà hàng, hoặc văn phòng nhỏ cần chỉ để có thể vận hành. Nó quan trọng hơn nếu doanh nghiệp của bạn lưu trữ dữ liệu khách hàng, lưu trữ/khởi chạy phần mềm, hỗ trợ hệ thống của các công ty khác, hoặc được yêu cầu cung cấp báo cáo SOC 2 trong quá trình bán hàng hoặc thẩm định nhà cung cấp.

Bạn có cần IT cho SOC 2 không. Thường là có, ít nhất là một phần. Dù bạn thuê kiểm toán viên bên ngoài và một đơn vị tư vấn, đa số doanh nghiệp vẫn cần thiết lập kỹ thuật hằng ngày và hỗ trợ, như bảo mật tài khoản, quản lý thiết bị, kiểm tra sao lưu, và các quy trình được lập thành tài liệu. Nếu bạn đang tìm hiểu loại hỗ trợ nào phù hợp với doanh nghiệp của mình, hãy bắt đầu từ các trang answers hoặc services.

SOC 2 không phải là giấy phép kinh doanh và cũng không phải là chứng nhận của chính phủ. Đây là một báo cáo kiểm toán độc lập dựa trên các biện pháp kiểm soát liên quan đến Trust Services Criteria (Tiêu chí dịch vụ tin cậy), thường là về bảo mật và đôi khi là về khả dụng, tính toàn vẹn khi xử lý dữ liệu, tính bảo mật và quyền riêng tư.

Nói đơn giản, SOC 2 là một cách thức có cấu trúc để chứng minh rằng doanh nghiệp của bạn có các quy tắc, công cụ và thói quen để bảo vệ hệ thống và xử lý dữ liệu một cách có trách nhiệm. Điều đó có thể bao gồm ai được cấp quyền truy cập, cách bảo vệ laptop, cách phê duyệt các thay đổi, cách kiểm tra sao lưu, và cách xử lý sự cố.

Bạn có thể nghe người ta nhắc đến Type I và Type II. Báo cáo Type I xem liệu các biện pháp kiểm soát có được thiết kế phù hợp tại một thời điểm hay không. Báo cáo Type II xem liệu những biện pháp kiểm soát đó có vận hành trong một khoảng thời gian hay không. Khách hàng thường ưu tiên Type II vì nó thể hiện tính nhất quán, không chỉ là một “ảnh chụp” tại thời điểm cụ thể.

Đối với nhiều doanh nghiệp nhỏ và vừa, SOC 2 trở nên quan trọng vì khách hàng yêu cầu điều đó. Điều này khá phổ biến trong các công ty phần mềm, dịch vụ dựa trên đám mây, dịch vụ doanh nghiệp thuê ngoài, hỗ trợ y tế, hỗ trợ dịch vụ tài chính và bất kỳ công ty nào xử lý thông tin nhạy cảm của khách hàng.

Nếu một khách hàng lớn tin tưởng doanh nghiệp của bạn xử lý dữ liệu, họ có thể muốn có bằng chứng rằng bạn có các biện pháp bảo vệ cơ bản. SOC 2 có thể giúp tạo niềm tin, hỗ trợ cuộc trao đổi bán hàng, phê duyệt nhà cung cấp và gia hạn hợp đồng. Trong một số trường hợp, không có SOC 2 có thể làm chậm tiến độ các thương vụ.

Tuy vậy, không phải doanh nghiệp nào cũng cần báo cáo SOC 2. Một số chỉ cần tăng cường các kiểm soát IT cơ bản hơn. Một số cần trả lời bảng câu hỏi về bảo mật. Một số cần đáp ứng một yêu cầu khác trước, tùy theo ngành và quy định của từng bang. HIPAA (Health Insurance Portability and Accountability Act - Đạo luật về Khả năng chuyển đổi và Trách nhiệm giải trình trong Bảo hiểm Y tế) áp dụng cho một số tình huống trong lĩnh vực y tế. PCI (thường là Payment Card Industry Data Security Standard - Chuẩn bảo mật dữ liệu ngành thẻ thanh toán) áp dụng cho các doanh nghiệp xử lý thanh toán bằng thẻ. SOC 2 là khác biệt so với những điều đó.

Một nhà cung cấp managed IT tốt, thường được gọi là MSP (managed services provider - nhà cung cấp dịch vụ quản trị), có thể giúp bạn hiểu khía cạnh thực tế của việc sẵn sàng. NodeBridge IT không tự thực hiện phần công việc đó. Chúng tôi cung cấp kiến thức giáo dục chung và, nếu thấy hữu ích, có thể giúp bạn tìm một nhà cung cấp managed IT độc lập thông qua quy trình miễn phí get matched.

Trong hầu hết các trường hợp, là có. SOC 2 chạm tới rất nhiều công việc IT hằng ngày. Đây không chỉ là một tài liệu chính sách. Thông thường, kiểm toán viên muốn thấy rằng doanh nghiệp của bạn có các biện pháp kiểm soát thực sự được triển khai và đang được tuân thủ.

Điều này thường bao gồm Multi-Factor Authentication (MFA - xác thực đa yếu tố), tức là người dùng cần thêm một bước thứ hai để đăng nhập, không chỉ dựa vào mật khẩu. Có thể bao gồm việc vá lỗi (patching), tức là cập nhật phần mềm và thiết bị thường xuyên. Có thể bao gồm bảo vệ endpoint (endpoint protection), trong đó endpoint là bất kỳ laptop, máy tính để bàn, điện thoại hoặc máy chủ nào được kết nối với doanh nghiệp của bạn, cùng các công cụ như EDR (Endpoint Detection and Response - Phát hiện và phản hồi sự cố trên endpoint) để giúp phát hiện các hoạt động đáng ngờ trên các thiết bị đó.

Bạn cũng có thể cần danh mục thiết bị (device inventory), rà soát quyền truy cập (access reviews), quy trình sao lưu (backup procedures), quy trình giới thiệu nhân viên vào hệ thống (onboarding) và rút khỏi hệ thống (offboarding), và tài liệu hóa cơ bản. Nếu bạn làm việc với một nhà cung cấp managed IT, họ cũng có thể sử dụng RMM (Remote Monitoring and Management - Giám sát và quản lý từ xa) để theo dõi sức khỏe thiết bị và các hoạt động bảo trì định kỳ. Một số doanh nghiệp cũng làm việc với vCIO (virtual Chief Information Officer - Giám đốc công nghệ thông tin ảo) để lập kế hoạch, dự toán ngân sách và định hướng chính sách.

Không phải công ty nào cũng cần tất cả những thứ này cùng lúc, và cấu hình đúng còn phụ thuộc vào quy mô của bạn, hệ thống, kỳ vọng của khách hàng và mức độ rủi ro. Không một nhà cung cấp trung thực nào nên hứa hẹn một mạng “không thể bị hack” hay “không downtime” (không gián đoạn). Mục tiêu là giảm rủi ro, tăng tính nhất quán và giúp bạn đáp ứng các kỳ vọng hợp lý của khách hàng và kiểm toán.

Chuẩn bị SOC 2 tốt thường nghe có vẻ “nhàm chán”, nhưng theo nghĩa tích cực. Mọi người biết cách tạo và xóa tài khoản. Thiết bị được theo dõi. Việc cập nhật diễn ra theo lịch. Các tệp quan trọng được sao lưu và đã được kiểm tra. Quyền truy cập được giới hạn cho những người cần dùng. Chính sách được viết bằng ngôn ngữ dễ hiểu và được thực sự sử dụng.

Chuẩn cũng nghĩa là doanh nghiệp của bạn có thể cung cấp bằng chứng. Ví dụ, bạn có thể chứng minh MFA đã được bật, đã có đào tạo bảo mật, quyền truy cập quản trị bị hạn chế, các bản sao lưu đã chạy, và nếu có sự cố thì đã được ghi nhận. Đối với sao lưu, bạn có thể nghe cụm từ 3-2-1 backup. Điều đó có nghĩa là giữ 3 bản dữ liệu, trên 2 loại hình lưu trữ khác nhau, và giữ 1 bản ở ngoài địa điểm (offsite).

Nếu bạn có khách hàng hỏi về SOC 2, một điểm khởi đầu tốt là làm sớm. Nhiều doanh nghiệp chờ đến khi có một hợp đồng lớn, rồi mới nhận ra rằng họ cần hàng tháng dọn dẹp, lập tài liệu và thay đổi quy trình. Cách tiếp cận ổn định thường dễ hơn và ít gây gián đoạn hơn.

Phần IT để sẵn sàng cho SOC 2 có thể rất khác nhau. Một doanh nghiệp nhỏ có thể chi vài trăm đến vài nghìn đô la mỗi tháng cho hỗ trợ managed IT liên tục, tùy thuộc vào số lượng nhân sự, số lượng thiết bị, nhu cầu bảo mật và phạm vi công việc. Các chi phí riêng cho kiểm toán, tư vấn, phần mềm tuân thủ và pháp lý có thể còn tăng thêm. Đây là các khoảng tham chiếu, không phải báo giá.

Nếu doanh nghiệp của bạn đang nghe khách hàng nói “Bạn có SOC 2 không”, bước tiếp theo thường không phải là hoảng sợ. Trước hết, hãy xác định bạn xử lý những dữ liệu nào, khách hàng đang yêu cầu gì và bạn đã có những biện pháp kiểm soát nào. Sau đó, quyết định liệu bạn cần dọn dẹp IT cơ bản, hướng dẫn về tuân thủ, lộ trình kiểm toán chính thức, hoặc một sự kết hợp của những hạng mục đó.

NodeBridge IT không phải là MSP, công ty kiểm toán, hay đơn vị an ninh/bảo mật. Chúng tôi không quản lý hệ thống hoặc truy cập vào tài khoản của bạn. Chúng tôi cung cấp hỗ trợ giáo dục chung và có thể kết nối bạn với một nhà cung cấp managed IT độc lập nếu bạn muốn có hỗ trợ để so sánh các lựa chọn. Bạn có thể tìm hiểu thêm trên trang services hoặc bắt đầu bằng get matched.