我們真的需要第三方安全審計嗎

盧靜

我們都希望通過增加額外的安全保護措施來讓自己的機密信息得到更好的安全保障?，F(xiàn)在很多企業(yè)在面對“信息安全”這個問題時，都會努力讓自己符合行業(yè)標(biāo)準(zhǔn)或按照最佳安全實踐方案去運行，“滿足特定的安全標(biāo)準(zhǔn)”也成為了某些公司業(yè)務(wù)合同中的一項必須滿足的要求。

引入第三方安全審計，說明這家公司非常重視自己的資產(chǎn)以及客戶的數(shù)據(jù)。閱讀了本文之后，你將會更好地了解公共安全標(biāo)準(zhǔn)以及安全審計的要求。比如說，如果你不知道你需要的是SOC 2還是ISO/IEC 27001：2013審計的話，本文將可以幫助你做出選擇。

SOC報告是什么

滿足SOC2合規(guī)性，是很多企業(yè)在獲取用戶信任方面必須要做到的一件最重要的事情，這將要求企業(yè)在維護和處理客戶數(shù)據(jù)時，滿足固定的安全標(biāo)準(zhǔn)。系統(tǒng)和組織控制（SOC）審計具有各種不同的風(fēng)格和規(guī)模，根據(jù)美國注冊會計師協(xié)會（AICPA）的定義，SOC報告主要有三種形式，即：SOC 1、SOC 2、和SOC 3（每種報告有Type I和Type II兩種版本）。

SOC 1涵蓋的是金融安全控制，SOC 2針對的是非金融類的控制，SOC 3報告跟SOC 2比較類似，但是SOC3不會公開安全審計的具體細(xì)節(jié)。一般來說，SOC 2報告只提供給組織內(nèi)部進行分析，而SOC 3報告不會提供給任何人。其中，Type I審計跟系統(tǒng)的安全設(shè)計有關(guān)，而Type II涉及的是安全控制操作。

一個組織首先需要進行的是SOC 2 Type I審計，以確保當(dāng)時的安全狀態(tài)足以滿足要求。接下來，SOC 2 TypeII審計會對指定日期內(nèi)的樣本進行審查，以判斷安全控制是否符合原本的設(shè)計。日期范圍不一定要超過一年，很多組織認(rèn)為六個月的審計周期已經(jīng)足以滿足他們的要求了。在某些情況下，獲取SOC 3報告也是非常有用的，因為SOC 3報告中包含了審計人員對組織當(dāng)前安全態(tài)勢的判斷和未來狀態(tài)的預(yù)測，而不像SOC 2報告那樣只給出詳細(xì)的審計結(jié)果。

SOC報告跟ISO 27001認(rèn)證哪個更有用

ISO是全球網(wǎng)絡(luò)的標(biāo)準(zhǔn)化機構(gòu)，幾乎每一個國家都是該組織的成員。ISO/IEC 27001：2013審計（俗稱ISO 27001）衡量的是一個信息安全管理系統(tǒng)（ISMS）在特定的時間點是否符合ISO所定義的最佳實踐。一個組織在滿足條件之后，可以獲得ISO認(rèn)證，但現(xiàn)在沒有SOC認(rèn)證，組織得到的只有SOC報告而已。

但是，現(xiàn)在越來越多的組織會以SOC 2合規(guī)性來作為一種標(biāo)準(zhǔn)并衡量自己的安全態(tài)勢。在我看來，任何一個想要提升用戶信任度并且希望節(jié)約成本的組織都應(yīng)該把SOC 2審計作為自己的首選。實際上，SOC 2報告已經(jīng)足以證明一個組織是否滿足其他安全標(biāo)準(zhǔn)（例如ISO/IEC 27001：2013、NIST SP 800-53、PCI-DSS和HIPAA安全標(biāo)準(zhǔn)）和要求了。

AICPA的審計標(biāo)準(zhǔn)委員會（ASB）給審計人員以SSAE的形式提供了很多指導(dǎo)建議。SOC 1審計對標(biāo)的是SAS 70準(zhǔn)則（也稱SAS 70審計），而SSAE 16在2010年4月份替代了SAS 70，但新的標(biāo)準(zhǔn)仍然對標(biāo)的是SOC 1審計。SOC 2審計衡量的是信用服務(wù)標(biāo)準(zhǔn)（TSC）所規(guī)定的五大因素：即安全性、可用性、完整性、機密性和隱私性。不過現(xiàn)在，SOC 1和SOC 2審計對標(biāo)的是SSAE18，因為SSAE 18在2017年5月1日正式取代了SSAE 16的位子。

NIST SP 800-Series

國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）成立于1901年，而NIST SP800-Series提供的是安全及隱私控制指導(dǎo)，并在2017年4月份發(fā)布了NIST SP 800-53的第五個版本。現(xiàn)在，NIST安全標(biāo)準(zhǔn)代表的是全球最佳安全實踐。

根據(jù)AICPA的介紹，SOC 2和SOC 3適用于包括TSC（NIST SP 800-53）在內(nèi)的很多其他安全標(biāo)準(zhǔn)。美國國家標(biāo)準(zhǔn)協(xié)會（ANSI）提供了很多領(lǐng)域的標(biāo)準(zhǔn)化指南，其中也包括安全性在內(nèi)。簡單來說，SOC和很多流行的安全標(biāo)準(zhǔn)以及框架都可以緊密結(jié)合在一起，因此首先進行SOC 2審計才是最有價值的。

風(fēng)險管控

今天的企業(yè)環(huán)境要求每一家公司都要具備安全風(fēng)險管控能力，而第三方安全審計就是一種很好的工具。因為這樣不僅能夠提升用戶的信任度，而且還可以幫助組織構(gòu)建周邊的安全防護結(jié)構(gòu)，并更好地保護組織業(yè)務(wù)及其產(chǎn)品的安全。所以說，優(yōu)先考慮SOC 2審計可能會是你的最佳選擇，如果你有足夠的經(jīng)費或者你面臨的安全風(fēng)險非常嚴(yán)重，你也可以考慮增添其他的安全評估。