需要云计算吗? 即刻开始体验

什么是 SOC 2?

在网络攻击激增的时代,稳健的主动安全态势必不可少。勒索软件和网络钓鱼等网络威胁持续不断地考验着各行各业、各种规模的公司。此外,供应链攻击也成为了一项严重问题, 世界经济论坛的调查发现,90% 的受访者都担忧第三方的网络弹性。为此,一些框架应运而生,它们旨在指导各个公司实现稳健的安全态势。其中一个此类框架便是 SOC 2 (System and Organization Controls 2),它用于确立风险和改善经营效率。

什么是 SOC 2 合规性?

SOC 2 由 美国注册会计师协会 (AICPA) 制定,归属于 AICPA 的信任服务标准,这些标准有助于对服务企业用于保护信息的控制措施进行审计并生成报告。SOC 2 报告会采集数据安全性、可用性、处理完整性、机密性和隐私方面的信息。此外,SOC 2 报告还用于确保服务企业所使用的控制措施符合部分或全部五项 SOC 2 标准。

风险管理必须扩展到第三方。SOC 2 提供了一个框架,用于检查服务企业是否已实现并能够保持稳健的信息安全,以及是否能够防范安全事件。SOC 2 用于审计第三方供应商的安全态势,以确保他们能达到贵企业预期的保护级别。

Akamai 如何帮助企业满足 SOC 2 合规性要求

Akamai 安全解决方案提供了用于防止数据泄露和意外暴露的情报及端到端保护,并且通过实施稳健的访问控制策略,阻止未经授权的访问。Akamai 突破了传统端点检测的安防方式,针对数据的保护和隐私提供强大的 Zero Trust 解决方案,帮助您的安全团队极大程度地提高安全投资的有效性和投资回报率。

Akamai 提供:

  • 全球安全平台,可以实施全面覆盖您 IT 环境的 Zero Trust 安全
  • 对资产、访问权限和网络流的深度监测能力
  • 安全策略的精细实施和对个人身份信息 (PII) 的保护

SOC 2 的五项信任服务标准是什么?

示意图显示了几个环绕在一起的词语,这些词语描述了 SOC 2 认证的五项信任服务标准:安全性、可用性、处理完整性、机密性和隐私。

SOC 2 审计涵盖了数据处理的五个方面,在正确实施的情况下这五个方面会形成一致、稳健的网络安全态势。信息安全执行委员会 (ASEC) 信任信息完整性工作组负责确保信任服务标准 (TSC) 的技术准确性。 AICPA 的 信息安全执行委员会负责管理 TSC,它对 SOC 2 的五项信任服务标准的描述如下:

  1. 安全性:数据保护和系统安全,防止未经授权的访问和数据暴露。安全性也包括防止发生可能会导致丧失数据可用性、完整性和机密性的系统损坏。
  2. 可用性:实体维持运营所需要的系统可靠性。
  3. 处理完整性:系统处理必须完整、有效、准确、及时并且已获得授权。
  4. 机密性:必须对归类为“机密”的数据实施保护,以符合实体的目标。
  5. 隐私:信息的收集、使用、保留、披露和处置必须符合实体的相关数据隐私目标。

已证实遵守部分或全部五项信任服务准则(如果适用)的服务提供商展示了对信息安全的承诺。

SOC 2 对贵企业有多重要?

SOC 2 适用于需要存储、处理或处置客户数据的技术服务提供商或 SaaS 公司。SOC 2 可以扩展到处理/提供数据的其他第三方供应商,并且它用于证明已采取适当的系统和保障措施来确保数据完整性。SOC 2 合规性可帮助制定采购决策,并且它是与供应商管理相关联的风险中的一部分。

云和 IT 服务提供商

根据 Thales 和 451 Research报告,66% 的企业会在云端存储多达 60% 的敏感数据。此外,一些公司遭遇了涉及云应用程序的数据泄露,其数量占比从 2021 年的 35% 上升到 2022 年的 45%。如果某个技术供应商已证实遵守 SOC 2,那么它可以证明自己实施了双重身份验证等安全控制措施。在云和 IT 安全成为潜在的高风险服务领域的时代,这是一项必不可少的差异化竞争优势。影响整个供应链的云安全漏洞变得越来越常见;已证实符合 SOC 2 合规性要求的云和 IT 服务提供商会证明信息安全是一项核心价值。

云和 IT 服务提供商的客户

通过选择已证实符合 SOC 2 要求的供应商,贵企业会收到公开审计报告和 SOC 报告,这些报告阐明了风险以及第三方供应商所采用的控制措施。这些标准和信息安全措施将覆盖贵企业的方方面面,为内部标准和监管要求所需的数据安全提供保证。

其他关联的供应链供应商

供应链攻击 在 2021 年到 2022 年期间的增幅超过 600%。零日 MOVEit Transfer 等攻击业已证明此类攻击影响之深,影响之广。 Akamai 围绕 MOVEit 攻击的安全研究发现,容易收到攻击的面向互联网的服务器数量多得令人担忧。对于使用供应链供应商来访问供应链上游利润丰厚的网络的犯罪分子来说,这些类型的漏洞都是攻击目标。已证实遵守 SOC 2 合规性要求的供应链供应商可以证明他们对数据安全的承诺。

面向 SOC 2 合规性的 Akamai 解决方案

Akamai 提供了一系列全面的解决方案,这些解决方案通过提供多种实现 SOC 2 信任服务标准的方法来实施 Zero Trust 安全,助力 SOC 2 合规性。我们的客户利用 Akamai 产品保护经过扩展的现代 IT 环境中的敏感数据,他们认为我们优秀的安全解决方案在同类产品中首屈一指。Akamai 的安全产品组合已从一系列单点解决方案发展成为强大的综合性 Zero Trust 平台。我们公司出色的解决方案提供各种所需的安全控制措施,可满足 SOC 2 对数据安全性、可用性、完整性、机密性和隐私的要求。Akamai 可以帮助您深度监测经过扩展的基础架构(包括供应商)中的 IT 环境、关键资产、访问要求和网络流量。

Zero Trust 安全和 SOC 2 合规性

依据 SOC 2,对数据访问和数据使用授权的控制措施是信息安全的关键方面。开发一种用于实现数据安全性的 Zero Trust 方法是将所有五项信任服务标准映射到稳健安全措施的途径。

创建 Zero Trust 安全方法时使用的 SOC 2 安全措施包括:

  • 对人员与设备的身份和访问管理
  • 在数据流和生态系统中实施 API 保护
  • 多重身份验证 (MFA)
  • 入侵检测
  • 用于应用比例授权的监测和监控
  • 用于尽可能减少数据访问的最小权限原则
  • 数据加密

常见问题

SOC 2 是一项审计报告,用于证明服务组织中与安全性、可用性、处理完整性、机密性和隐私相关的控制措施的有效性。

SOC1 和 SOC 2 在用途和范围方面的基本原则有所不同。SOC 1 专注于客户财务控制措施的完整性以及财务数据的准确性。而 SOC 2 专注于使用五项信任服务标准来保护数据的内部控制措施,SOC 2 的作用范围更广,涵盖包括云服务在内的所有服务提供商。

在云端存储客户数据的服务提供商需要 SOC 2 报告。对于科技公司和云计算公司来说,该报告至关重要。SOC 2 认证由注册 SOC 2 审计师执行,该审计师是一位 隶属于 AICPA 的独立 CPA (注册会计师)。会对部分或全部信任服务标准 (TSC) 进行审计。对哪项 TSC 进行审计取决于公司类型。例如,SaaS 供应商会对安全性、可用性和机密性标准进行审计。

审计范围也取决于企业类型。大型公司可能会选择对公司的特定部门或产品进行审计。审计师会要求提供能够证明您的安全模式的文档和政策。准备好备有文件证明的 Zero Trust 模式将有助于完成此过程。

SOC 2 合规性要求每年进行一次审计,以遵循五项信任服务标准。

客户为什么选择 Akamai

Akamai 是一家专注于网络安全和云计算的公司,致力于支持并保护在线商业活动。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在全球分布广泛的平台上提供高性能和经济实惠的服务。全球多家企业坚信,Akamai 能够提供卓越的可靠性、规模和专业知识,帮助企业满怀信心地实现业务增长。

探索 Akamai 的所有安全解决方案