我們真的需要第三方安全審計(jì)嗎

盧靜

我們都希望通過(guò)增加額外的安全保護(hù)措施來(lái)讓自己的機(jī)密信息得到更好的安全保障。現(xiàn)在很多企業(yè)在面對(duì)“信息安全”這個(gè)問(wèn)題時(shí)，都會(huì)努力讓自己符合行業(yè)標(biāo)準(zhǔn)或按照最佳安全實(shí)踐方案去運(yùn)行，“滿足特定的安全標(biāo)準(zhǔn)”也成為了某些公司業(yè)務(wù)合同中的一項(xiàng)必須滿足的要求。

引入第三方安全審計(jì)，說(shuō)明這家公司非常重視自己的資產(chǎn)以及客戶的數(shù)據(jù)。閱讀了本文之后，你將會(huì)更好地了解公共安全標(biāo)準(zhǔn)以及安全審計(jì)的要求。比如說(shuō)，如果你不知道你需要的是SOC 2還是ISO/IEC 27001：2013審計(jì)的話，本文將可以幫助你做出選擇。

SOC報(bào)告是什么

滿足SOC2合規(guī)性，是很多企業(yè)在獲取用戶信任方面必須要做到的一件最重要的事情，這將要求企業(yè)在維護(hù)和處理客戶數(shù)據(jù)時(shí)，滿足固定的安全標(biāo)準(zhǔn)。系統(tǒng)和組織控制（SOC）審計(jì)具有各種不同的風(fēng)格和規(guī)模，根據(jù)美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)（AICPA）的定義，SOC報(bào)告主要有三種形式，即：SOC 1、SOC 2、和SOC 3（每種報(bào)告有Type I和Type II兩種版本）。

SOC 1涵蓋的是金融安全控制，SOC 2針對(duì)的是非金融類的控制，SOC 3報(bào)告跟SOC 2比較類似，但是SOC3不會(huì)公開(kāi)安全審計(jì)的具體細(xì)節(jié)。一般來(lái)說(shuō)，SOC 2報(bào)告只提供給組織內(nèi)部進(jìn)行分析，而SOC 3報(bào)告不會(huì)提供給任何人。其中，Type I審計(jì)跟系統(tǒng)的安全設(shè)計(jì)有關(guān)，而Type II涉及的是安全控制操作。

一個(gè)組織首先需要進(jìn)行的是SOC 2 Type I審計(jì)，以確保當(dāng)時(shí)的安全狀態(tài)足以滿足要求。接下來(lái)，SOC 2 TypeII審計(jì)會(huì)對(duì)指定日期內(nèi)的樣本進(jìn)行審查，以判斷安全控制是否符合原本的設(shè)計(jì)。日期范圍不一定要超過(guò)一年，很多組織認(rèn)為六個(gè)月的審計(jì)周期已經(jīng)足以滿足他們的要求了。在某些情況下，獲取SOC 3報(bào)告也是非常有用的，因?yàn)镾OC 3報(bào)告中包含了審計(jì)人員對(duì)組織當(dāng)前安全態(tài)勢(shì)的判斷和未來(lái)狀態(tài)的預(yù)測(cè)，而不像SOC 2報(bào)告那樣只給出詳細(xì)的審計(jì)結(jié)果。

SOC報(bào)告跟ISO 27001認(rèn)證哪個(gè)更有用

ISO是全球網(wǎng)絡(luò)的標(biāo)準(zhǔn)化機(jī)構(gòu)，幾乎每一個(gè)國(guó)家都是該組織的成員。ISO/IEC 27001：2013審計(jì)（俗稱ISO 27001）衡量的是一個(gè)信息安全管理系統(tǒng)（ISMS）在特定的時(shí)間點(diǎn)是否符合ISO所定義的最佳實(shí)踐。一個(gè)組織在滿足條件之后，可以獲得ISO認(rèn)證，但現(xiàn)在沒(méi)有SOC認(rèn)證，組織得到的只有SOC報(bào)告而已。

但是，現(xiàn)在越來(lái)越多的組織會(huì)以SOC 2合規(guī)性來(lái)作為一種標(biāo)準(zhǔn)并衡量自己的安全態(tài)勢(shì)。在我看來(lái)，任何一個(gè)想要提升用戶信任度并且希望節(jié)約成本的組織都應(yīng)該把SOC 2審計(jì)作為自己的首選。實(shí)際上，SOC 2報(bào)告已經(jīng)足以證明一個(gè)組織是否滿足其他安全標(biāo)準(zhǔn)（例如ISO/IEC 27001：2013、NIST SP 800-53、PCI-DSS和HIPAA安全標(biāo)準(zhǔn)）和要求了。

AICPA的審計(jì)標(biāo)準(zhǔn)委員會(huì)（ASB）給審計(jì)人員以SSAE的形式提供了很多指導(dǎo)建議。SOC 1審計(jì)對(duì)標(biāo)的是SAS 70準(zhǔn)則（也稱SAS 70審計(jì)），而SSAE 16在2010年4月份替代了SAS 70，但新的標(biāo)準(zhǔn)仍然對(duì)標(biāo)的是SOC 1審計(jì)。SOC 2審計(jì)衡量的是信用服務(wù)標(biāo)準(zhǔn)（TSC）所規(guī)定的五大因素：即安全性、可用性、完整性、機(jī)密性和隱私性。不過(guò)現(xiàn)在，SOC 1和SOC 2審計(jì)對(duì)標(biāo)的是SSAE18，因?yàn)镾SAE 18在2017年5月1日正式取代了SSAE 16的位子。

NIST SP 800-Series

國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）成立于1901年，而NIST SP800-Series提供的是安全及隱私控制指導(dǎo)，并在2017年4月份發(fā)布了NIST SP 800-53的第五個(gè)版本。現(xiàn)在，NIST安全標(biāo)準(zhǔn)代表的是全球最佳安全實(shí)踐。

根據(jù)AICPA的介紹，SOC 2和SOC 3適用于包括TSC（NIST SP 800-53）在內(nèi)的很多其他安全標(biāo)準(zhǔn)。美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)（ANSI）提供了很多領(lǐng)域的標(biāo)準(zhǔn)化指南，其中也包括安全性在內(nèi)。簡(jiǎn)單來(lái)說(shuō)，SOC和很多流行的安全標(biāo)準(zhǔn)以及框架都可以緊密結(jié)合在一起，因此首先進(jìn)行SOC 2審計(jì)才是最有價(jià)值的。

風(fēng)險(xiǎn)管控

今天的企業(yè)環(huán)境要求每一家公司都要具備安全風(fēng)險(xiǎn)管控能力，而第三方安全審計(jì)就是一種很好的工具。因?yàn)檫@樣不僅能夠提升用戶的信任度，而且還可以幫助組織構(gòu)建周邊的安全防護(hù)結(jié)構(gòu)，并更好地保護(hù)組織業(yè)務(wù)及其產(chǎn)品的安全。所以說(shuō)，優(yōu)先考慮SOC 2審計(jì)可能會(huì)是你的最佳選擇，如果你有足夠的經(jīng)費(fèi)或者你面臨的安全風(fēng)險(xiǎn)非常嚴(yán)重，你也可以考慮增添其他的安全評(píng)估。