Rapport SOC 2
Le rapport SOC 2 met l'accent sur les contrôles d'information non financiers d'une entreprise en ce qui a trait à la sécurité, à la disponibilité, à l'intégrité du traitement, à la confidentialité et à la vie privée d'un système, par opposition à SOC 1/SSAE 18 qui est axé sur les contrôles de l'information financière.
Les critères du « Trust Services Criteria », sur lesquels SOC 2 est fondé, sont calqués sur quatre grands domaines : les politiques, les communications, les procédures et la
surveillance. Chacun des critères comporte des points d'intérêt
correspondants, qui doivent être remplis pour démontrer le respect des
critères globaux et produire un avis de conformité (aucune exception
significative n'a été trouvée au cours de l’audit). L'un des avantages des
« Trust Services Criteria » est que les exigences sont prédéfinies, ce qui
rend plus facile pour les propriétaires d'entreprise de savoir quels sont les
besoins de conformité qui leur sont demandés et pour les utilisateurs du
rapport de lire et d'évaluer l'adéquation.
Plusieurs critères sont définis pour chaque principe disponible pour un
rapport SOC 2. Le principe de sécurité est le principe de base (critères
communs). Le nombre de critères (61*) est différent pour chaque
principe :
-
Sécurité : 33 critères
-
Confidentialité : 2 critères supplémentaires
-
Disponibilité : 3 critères supplémentaires
-
Intégrité du traitement : 5 critères supplémentaires
-
Vie privée : 18 critères supplémentaires
*Plusieurs critères sont en relation avec le référentiel COSO.
Deux nouveaux rapports du SOC ont été publiés récemment. SOC pour la cybersécurité et SOC pour les chaînes d'approvisionnement des fournisseurs. Ces deux nouveaux rapports ne sont pas liés aux principes et aux critères de la norme SOC 2.
En quoi SOC 2 Type 2 est-il différent de celui de type 1?
Les rapports SOC 2 sont livrés en deux déclinaisons : Type 1 et Type 2. Voici la description des différences entre les deux:
-
Le rapport SOC 2 de type 1 est un rapport sur le système d'une organisation de services et sur la pertinence de la conception des contrôles. Le rapport de type 1 examine un point dans le temps sur la façon dont l'organisation décrit le système et les contrôles en place. De plus, cet examen permet de s'assurer que les contrôles décrits permettent de respecter les critères.
-
Le rapport SOC 2 de type 2 est semblable au rapport de type 1, mais les contrôles sont décrits et évalués pendant au moins six mois pour voir s'ils fonctionnent comme définis par la direction.
Les différentes sections d'un rapport SOC 2:
Section 1 : Opinion de l’auditeur
Section 2 : Affirmation de la direction
Section 3 : Description de la direction
Section 4 : Pages limitées à l'auditeur (type 2 seulement)
Section 5 : Critères, contrôles et conclusions de l’auditeur
Section 6 : Pages limitées à l'organisation. L’auditeur n'exprime aucune opinion sur ces pages.
Unifier plusieurs normes avec un rapport SOC 2
La réalité d'aujourd'hui fait en sorte qu'une panoplie de normes de conformité TI existent, et, quelquefois, une organisation doit respecter plusieurs normes différentes. Cette obligation peut devenir, pour les petites entreprises, un fardeau financier majeur. L'avantage d'un rapport SOC 2 et ses 5 principes, c'est qu'il est possible d'unifier plusieurs normes. Par exemple, les normes HITRUST et CSA peuvent être intégrées à un rapport SOC 2 à la suite des ententes avec les Associations en question. Pour les autres normes, rien qui n'empêche une organisation de mettre en place des contrôles qui répondent à plusieurs normes différentes. Il nous fera plaisir d'en discuter avec votre organisation.
Yucca Conseils TI peut vous assister
Nous pouvons vous assister dans l'ensemble de votre démarche de préparation au programme de conformité SOC 2, de l'analyse des écarts à un rapport SOC 2 final, personnalisé et prêt à être audité. Avec l'aide de votre pilote interne, un échéancier réaliste sera élaboré et accepté par votre management.