我們真的需要第三方安全審計嗎

盧靜

我們都希望通過增加額外的安全保護措施來讓自己的機密信息得到更好的安全保障。現在很多企業在面對“信息安全”這個問題時，都會努力讓自己符合行業標準或按照最佳安全實踐方案去運行，“滿足特定的安全標準”也成為了某些公司業務合同中的一項必須滿足的要求。

引入第三方安全審計，說明這家公司非常重視自己的資產以及客戶的數據。閱讀了本文之后，你將會更好地了解公共安全標準以及安全審計的要求。比如說，如果你不知道你需要的是SOC 2還是ISO/IEC 27001：2013審計的話，本文將可以幫助你做出選擇。

SOC報告是什么

滿足SOC2合規性，是很多企業在獲取用戶信任方面必須要做到的一件最重要的事情，這將要求企業在維護和處理客戶數據時，滿足固定的安全標準。系統和組織控制（SOC）審計具有各種不同的風格和規模，根據美國注冊會計師協會（AICPA）的定義，SOC報告主要有三種形式，即：SOC 1、SOC 2、和SOC 3（每種報告有Type I和Type II兩種版本）。

SOC 1涵蓋的是金融安全控制，SOC 2針對的是非金融類的控制，SOC 3報告跟SOC 2比較類似，但是SOC3不會公開安全審計的具體細節。一般來說，SOC 2報告只提供給組織內部進行分析，而SOC 3報告不會提供給任何人。其中，Type I審計跟系統的安全設計有關，而Type II涉及的是安全控制操作。

一個組織首先需要進行的是SOC 2 Type I審計，以確保當時的安全狀態足以滿足要求。接下來，SOC 2 TypeII審計會對指定日期內的樣本進行審查，以判斷安全控制是否符合原本的設計。日期范圍不一定要超過一年，很多組織認為六個月的審計周期已經足以滿足他們的要求了。在某些情況下，獲取SOC 3報告也是非常有用的，因為SOC 3報告中包含了審計人員對組織當前安全態勢的判斷和未來狀態的預測，而不像SOC 2報告那樣只給出詳細的審計結果。

SOC報告跟ISO 27001認證哪個更有用

ISO是全球網絡的標準化機構，幾乎每一個國家都是該組織的成員。ISO/IEC 27001：2013審計（俗稱ISO 27001）衡量的是一個信息安全管理系統（ISMS）在特定的時間點是否符合ISO所定義的最佳實踐。一個組織在滿足條件之后，可以獲得ISO認證，但現在沒有SOC認證，組織得到的只有SOC報告而已。

但是，現在越來越多的組織會以SOC 2合規性來作為一種標準并衡量自己的安全態勢。在我看來，任何一個想要提升用戶信任度并且希望節約成本的組織都應該把SOC 2審計作為自己的首選。實際上，SOC 2報告已經足以證明一個組織是否滿足其他安全標準（例如ISO/IEC 27001：2013、NIST SP 800-53、PCI-DSS和HIPAA安全標準）和要求了。

AICPA的審計標準委員會（ASB）給審計人員以SSAE的形式提供了很多指導建議。SOC 1審計對標的是SAS 70準則（也稱SAS 70審計），而SSAE 16在2010年4月份替代了SAS 70，但新的標準仍然對標的是SOC 1審計。SOC 2審計衡量的是信用服務標準（TSC）所規定的五大因素：即安全性、可用性、完整性、機密性和隱私性。不過現在，SOC 1和SOC 2審計對標的是SSAE18，因為SSAE 18在2017年5月1日正式取代了SSAE 16的位子。

NIST SP 800-Series

國家標準與技術研究所（NIST）成立于1901年，而NIST SP800-Series提供的是安全及隱私控制指導，并在2017年4月份發布了NIST SP 800-53的第五個版本。現在，NIST安全標準代表的是全球最佳安全實踐。

根據AICPA的介紹，SOC 2和SOC 3適用于包括TSC（NIST SP 800-53）在內的很多其他安全標準。美國國家標準協會（ANSI）提供了很多領域的標準化指南，其中也包括安全性在內。簡單來說，SOC和很多流行的安全標準以及框架都可以緊密結合在一起，因此首先進行SOC 2審計才是最有價值的。

風險管控

今天的企業環境要求每一家公司都要具備安全風險管控能力，而第三方安全審計就是一種很好的工具。因為這樣不僅能夠提升用戶的信任度，而且還可以幫助組織構建周邊的安全防護結構，并更好地保護組織業務及其產品的安全。所以說，優先考慮SOC 2審計可能會是你的最佳選擇，如果你有足夠的經費或者你面臨的安全風險非常嚴重，你也可以考慮增添其他的安全評估。