写在前面的话

随着安全威胁以及数据泄露事件数量的不断增加，很多客户都希望通过增加额外的安全保护措施来让自己的机密信息得到更好的安全保障。现在很多企业在面对“信息安全”这个问题时，都会努力让自己符合行业标准或按照最佳安全实践方案去运行，而且“满足特定的安全标准”也成为了某些公司业务合同中的一项必须满足的要求。

引入第三方安全审计，说明这家公司非常重视自己的资产以及客户的数据。阅读了本文之后，你将会更好地了解公共安全标准以及安全审计的要求。比如说，如果你不知道你需要的是SOC 2还是ISO/IEC 27001:2013审计的话，本文将可以帮助你做出选择。

SOC报告是什么？

满足SOC2合规性，是很多企业在获取用户信任方面必须要做到的一件最重要的事情，这将要求企业在维护和处理客户数据时，满足固定的安全标准。系统和组织控制（SOC）审计具有各种不同的风格和规模，根据美国注册会计师协会（AICPA）的定义，SOC报告主要有三种形式，即：SOC 1、SOC 2、和SOC 3（每种报告有Type I和Type II两种版本）。

SOC 1涵盖的是金融安全控制，SOC 2针对的是非金融类的控制，SOC 3报告跟SOC 2比较类似，但是SOC3不会公开安全审计的具体细节。一般来说，SOC 2报告只提供给组织内部进行分析，而SOC 3报告不会提供给任何人。其中，Type I审计跟系统的安全设计有关，而Type II涉及的是安全控制操作。

一个组织首先需要进行的是SOC 2 Type I审计，以确保当时的安全状态足以满足要求。接下来，SOC 2 TypeII审计会对指定日期内的样本进行审查，以判断安全控制是否符合原本的设计。日期范围不一定要超过一年，很多组织认为六个月的审计周期已经足以满足他们的要求了。在某些情况下，获取SOC 3报告也是非常有用的，因为SOC 3报告中包含了审计人员对组织当前安全态势的判断和未来状态的预测，而不像SOC 2报告那样只给出详细的审计结果。

SOC报告跟ISO 27001认证哪个更有用？

ISO是全球网络的标准化机构，几乎每一个国家都是该组织的成员。ISO/IEC 27001:2013审计（俗称ISO 27001）衡量的是一个信息安全管理系统（ISMS）在特定的时间点是否符合ISO所定义的最佳实践。一个组织在满足条件之后，可以获得ISO认证，但现在没有SOC认证，组织得到的只有SOC报告而已。

但是，现在越来越多的组织会以SOC 2合规性来作为一种标准并衡量自己的安全态势。在我看来，任何一个想要提升用户信任度并且希望节约成本的组织都应该把SOC 2审计作为自己的首选。实际上，SOC 2报告已经足以证明一个组织是否满足其他安全标准（例如ISO/IEC 27001:2013、NIST SP 800-53、PCI-DSS和HIPAA安全标准）和要求了。

AICPA的审计标准委员会（ASB）给审计人员以SSAE的形式提供了很多指导建议。SOC 1审计对标的是SAS 70准则（也称SAS 70审计），而SSAE 16在2010年4月份替代了SAS 70，但新的标准仍然对标的是SOC 1审计。SOC 2审计衡量的是信用服务标准（TSC）所规定的五大因素：即安全性、可用性、完整性、机密性和隐私性。不过现在，SOC 1和SOC 2审计对标的是SSAE18，因为SSAE 18在2017年5月1日正式取代了SSAE 16的位子。

NIST SP 800-Series

国家标准与技术研究所（NIST）成立于1901年，而NIST SP800-Series提供的是安全及隐私控制指导，并在2017年4月份发布了NIST SP 800-53的第五个版本。今天，NIST安全标准代表的是全球最佳安全实践。

根据AICPA的介绍，SOC 2和SOC 3适用于包括TSC（NIST SP 800-53）在内的很多其他安全标准。美国国家标准协会（ANSI）提供了很多领域的标准化指南，其中也包括安全性在内。简单来说，SOC和很多流行的安全标准以及框架都可以紧密结合在一起，因此首先进行SOC 2审计才是最有价值的。

风险管控

今天的企业环境要求每一家公司都要具备安全风险管控能力，而第三方安全审计就是一种很好的工具。因为这样不仅能够提升用户的信任度，而且还可以帮助组织构建周边的安全防护结构，并更好地保护组织业务及其产品的安全。所以说，优先考虑SOC 2审计可能会是你的最佳选择，如果你有足够的经费或者你面临的安全风险非常严重，你也可以考虑增添其他的安全评估。

* 参考来源：bleepingcomputer，FB小编Alpha_h4ck编译，转载请注明来自FreeBuf.COM