SOC2準拠支援サービス
SOC2準拠支援サービスは、SOC2報告書の取得を検討している受託会社に対し、米国公認会計士協会が定めたTrustサービス原則と規準に則り改善支援を行うサービスです。
SOC2とは、受託会社(データセンター、クラウドサービス等のアウトソーシング事業者)が提供しているサービスの情報セキュリティやプライバシー等の内部統制状況に対して、監査法人が評価し提出する報告書のことです。
受託会社はこのSOC2報告書を公表することで、顧客や取引先に対して情報セキュリティとプライバシー等が適切に管理されていることを証明することが可能となります。
監査法人に評価を依頼する前に本サービスを利用することで、セキュリティやプライバシー対応を強化し、より信頼性が高まる報告書とすることができます。
SOC2による評価内容
SOC2は、セキュリティ、可用性、処理の完全性、機密保持、プライバシーの5つの領域を対象としています。
また、特定の時点の評価(Type1)か、一定期間の評価(Type2)とするか選択可能であり、「Trustサービス原則」と呼ばれる原則が守られているかどうか、そしてそれぞれの原則に付随する「Trustサービス規準」に準拠しているかどうかが評価されることになります。
【図1:Trustサービス原則とTrustサービス規準の関係性】
5つの領域のうち、セキュリティが必須となり、それ以外の可用性、処理の完全性、機密保持、プライバシーは任意となります。
本支援では、どの領域を対象とするか、Type1とType2のどちらの時間軸を選択するかを相談の上、開始することとなります。
このようなお客様におすすめします
クラウドサービスやデータセンターなど、情報システムをビジネスの中心に置くお客様で以下のような企業が対象となります。
- 顧客や取引先に対し、提供サービスの信頼性を客観的に証明したいお客様
- ISMSやPマークより一歩進んだ客観的評価を取得したいお客様
- 提供サービスのグローバル展開(または展開予定)のお客様
- 公共性の高いサービスや顧客情報を大量に取り扱うお客様
サービスの特長
1. 評価の高いSOC2報告書取得のため、現状評価とギャップ分析をセットで行います
評価の高いSOC2報告書の取得に向けてまず取り組むべきは、現状分析/評価を行い、AsIs(現状)とToBe(あるべき姿)のギャップを明確にすることです。
具体的には、最初に文書査閲を通して規程類の整備状況を評価した後、インタビューや実査を通して運用状況を評価し、その両面から現状の総合評価を行います。
それにより評価結果のボトルネックとなっている部分がどこにあるのかを洗い出し、改善対応を明確にします。
2. あるべき姿を実現するための「ロードマップ」を作成します
上記評価で洗い出した改善対応を重要度、優先度、リソース、コストといった観点でスコアリングし、優先度設定を行います。
その優先度を基に中長期的な改善対応計画を立案し、お客様の自立的な改善対応の実行を支援します。
もちろんご要望に応じた改善対応の実行支援も可能です。ロードマップの中の不安がある部分のみ、といった柔軟な支援も行います。
3. 様々なガイドラインへの知見を持ったプロが支援します
当社は米国のセキュリティ基準であるFedRAMPやCMMC、NIST、日本のFISCやサイバーセキュリティ経営ガイドラインといった様々なガイドラインへの準拠に向けた、豊富な支援経験があります。
その中で得た知見を基に、評価の高いSOC2報告書の取得はもちろん、その後のお客様のビジネスも見据え、実効力のある情報セキュリティやプライバシー等の内部統制環境の強化に向けた支援を行います。
主な成果物(例)
以下は主な成果物の一例です。
- SOC2評価計画書
- SOC2評価シート(整備状況評価・運用状況評価)
- SOC2評価に必要なドキュメント一式
- SOC2評価結果報告書
- 改善計画書