データのセキュリティはこれまで以上に重要になっています。 2021 年の注目を集めたサイバー攻撃は、Colonial Pipeline Breach のように、主要なサービスを停止させました。 ランサムウェアは依然として増加しており、サイバー犯罪者が突破する能力を持っているという恐れがあります 企業ネットワークの 93%.
ただし、ビジネスを保護するためにオフラインにするという選択肢はありません。 デジタルファーストの世界では、ほぼすべてのビジネスがオンライン接続に依存して正常に運営されています。 仮想会議、会議、コンベンションの数は常に 高いです、特にパンデミック後。 さらに、企業がすべてのサービスを社内で行うことはめったにありません。 データ統合から顧客管理まで、ビジネスの多くの側面が提供されます。 サードパーティのクラウドベース サービス. では、企業は自社の情報と、パートナー、顧客、クライアント、およびその他の利害関係者の情報をどのように安全に保つのでしょうか? また、非常に多くの異なるプロバイダーに接続し、オンライン プレゼンスを拡大しながら、どのようにそれを行っているのでしょうか?
自分らしさを保ちながら データのセキュリティは重要です、企業は、協力するベンダーやパートナーがデータのプライバシーと安全な情報プロトコルを遵守してデータを安全に保つようにする必要もあります. サービス プロバイダーが安全な慣行に従っているかどうかを評価するには、セキュリティ認定のリストを提供できることを確認してください。 このブログでは、IT セキュリティ認定が非常に重要である理由と、SOC 1、SOC 2、および ISO 規格について考察します。
IT セキュリティ認定はなぜそれほど重要なのですか?
すべての企業はある程度データを保護しますが、その程度は企業によって大きく異なる場合があります。 カスタマー サービス トレーニング アカデミーは、多くの企業にとって不可欠ですが、専用の給与管理会社と同じ量の安全なデータを保護することはできません。 これらの企業がサービスのために提携または相互に雇用する場合、データが異なるコンプライアンス要件を満たす方法で処理されることをどうやって知るのでしょうか?
IT セキュリティ認証は、すべての業界の企業にとって、IT サービス プロバイダーが認定された規制機関によって設定された基準に従ってデータを保護することを保証するための簡単な方法です。 企業は、どのプロバイダーを利用するかを選択する前に、複数の企業の IT 認定を評価する必要があります。 選択の可能性を高めるには、IT 企業が最も広く認知され受け入れられている認定資格を取得することが重要です。
上位の IT セキュリティ認定は何ですか?
IT セキュリティ認定は、安全なサービス プロバイダーを必要とする企業にリスク管理フレームワークを提供します。 サービス プロバイダーを探す場合、企業は標準化され、多くの業界で広く認知されている IT セキュリティ認定を検討する必要があります。 上位の IT セキュリティ認定には次のものがあります。
- SOC 1
- SOC 2
- ISO 27001
- ISO 27002
SOC
SOC は System and Organization Control の略です。 or サービスの組織管理。 これらの名前は両方とも同じものを指しています。 外部委託サービスに伴うリスク. 企業がSaaS、PaaS、およびその他のクラウドベースのサービスを使用する場合、サービスプロバイダーが企業とその顧客の両方の財務情報を保護するために厳格な手段を講じていることを知る必要があります. SOC レポートにより、プロバイダーは、サービス プロバイダーがリスク軽減のために最低限必要な基準を満たしていることを示す証明書を提示できます。
SOCの監査や試験は、公認会計士(CPA)によって実施されます。 CPA は、サービス プロバイダーがユーザーを適切なレベルで保護できるようにするための知識と専門知識を備えています。 SOC 認定のすべての基準は、American Institute of CPAs の略である AICPA によって設定されています。
また、同じ頭字語 SOC が使用されている場合もあります。 セキュリティオペレーションセンターは、企業がサイバー攻撃に対処するのに役立つデータ セキュリティ ハブに使用される用語です。 高レベルのセキュリティを維持することにはある程度関連していますが、このタイプの SOC についてはこれ以上検討しません。
ほとんどの企業は、SOC 1 および SOC 2 の監査を受ける可能性があります。 まず、SOC 1 を見てみましょう。
SOC1とは?
SOC 1 は、サービス プロバイダーのクライアントの財務情報に対するさまざまな内部統制をカバーする標準です。 つまり、SOC 1 監査人は、IT サービス プロバイダーが顧客やクライアントの財務情報をどのように管理しているか、つまり、どのように保護しているか、自社のシステムと使用するサードパーティが目的に適合していることをどのように確認しているかを注意深く調べます。 ?
AICPA は、厳密に定義された管理目標を提示して、サービス プロバイダーが財務情報を安全かつ確実に処理できることを明確に示すのに役立ちます。 これらの制御目標は、プロバイダーが提供するすべてのサービスを対象とし、これらのサービスのすべてがある時点で財務情報と接触することを前提としています。 あ SOC1監査 現在の管理目標を慎重にテストし、組織が必要なすべての基準を満たしている場合、SOC 1 証明書が発行されます。
SOC2とは?
SOC 2 は、SOC 1 と並んで存在するもう 1 つの一般的な IT セキュリティ認定であり、代替または更新ではありません。 ほとんどの組織は、SOC 2 と SOC XNUMX の両方の認証を取得しているか、代わりに ISO の認証を取得している可能性があります。
SOC 2 が SOC 1 と異なるのは、財務情報だけを見るのではなく、サービス組織の全体的な運用とコンプライアンスをカバーするという点です。 SOC 2 認定は、サービス プロバイダーが AICPA によって設定された特定の基準 (Trust Service Criteria) を満たしていることを意味します。 これらの XNUMX つの基準または原則は次のとおりです。
- セキュリティ
- 商品在庫
- 処理の整合性
- 機密性
- 個人情報保護
興味深いことに、サービス プロバイダーは、どの基準で評価するかをある程度選択できます。 唯一の必須基準はセキュリティです。 その他は、ビジネスの性質と、組織が保護する必要があるデータに依存します。 セキュリティの原則には、他のすべての原則と共通の基準があります。そのため、業界に関係なく、SOC 2 認証を取得するために常に必須です。
SOC 2 対 SOC 1
これら 1 つの IT セキュリティ認定は共存できます。 主な違いは、SOC 2 が財務情報を対象としているのに対し、SOC XNUMX は運用とコンプライアンスを対象としていることです。
SOC 1 監査は、AICPA によって設定された目標に対して常に測定されます。 SOC 2 は、必須のセキュリティ原則を含む 2 つの重要な原則のフレームワークを提供します。これには、他の XNUMX つの原則にも存在する基準が含まれています。 組織は、単にセキュリティ原則の基準を満たすだけで SOC XNUMX 認定を取得できる場合がありますが、組織が大規模で複雑になればなるほど、他の XNUMX つの原則から追加の基準を満たすことを望む可能性が高くなります。
ISO
もう XNUMX つの一般的な IT セキュリティ認定の種類は ISO です。 企業は、ISO 文書に定められた基準を使用して、ビジネス トランザクションにおいて世界的に認められた慣習を満たしていることを確認できます。 ISO 証明書ドキュメントは、そのような規格に準拠している企業が購入できます。
ISOとは何ですか?
ISO は国際標準化機構です。 その他の 167 の標準化団体が ISO のメンバーであり、世界的に認められた標準化された認証の作成を支援しています。 ISO は政府機関とは一切関係ありません。 この独立性により、ISO は、製品やサービスがコンプライアンスやデータ セキュリティなどのさまざまな必要な基準をどの程度満たしているかを確認するために、信頼され広く使用されている手段となっています。
ISO番号の説明
さまざまな ISO 番号があり、それぞれが異なる規格に関連しています。 標準はファミリーで実行される傾向があります。 たとえば、ISO 27000 ファミリには 27001、27002 などが含まれており、それらはすべて、何らかの形で情報セキュリティ管理および隣接するトピックに関連しています。
ISO 27001
この規格は、IT セキュリティ認定の中で最も認知されているものの XNUMX つです。 ISO 27001 は、データ セキュリティの核心である情報セキュリティ管理に直接関係しています。 ISO 27000 は、他の ISO 規格 (27001 ファミリ内の多くも含まれる) とともに使用すると、企業が知的財産と財務情報に加えて、従業員情報とサード パーティが管理する必要がある情報を正しく管理するための一連の規格を提供します。 .
ISO 27002
ISO 27002 は、プライバシー保護とサイバーセキュリティに関連する情報セキュリティ管理をカバーする、より具体的な別の IT 認定です。 ISO は、企業が ISO 27001 の規格の内容にコンテキストを与えるために、ISO 27002 によって提供されるフレームワークを既に持っている必要があることを指摘しています。これにより、企業は世界中で認められているベストプラクティスに基づいて、情報セキュリティ管理システム (ISMS) を実装できます。 ISO 27002 は、企業が情報セキュリティ管理のための独自の組織固有のガイドラインを作成するのにも役立ちます。
ISO 9001
ISO 9000 家族は品質管理がすべてです。 これらの規格は、企業が顧客またはクライアントの期待に応える、またはそれを超えるために、サービスまたは製品の全体的な品質を向上させるのを支援することを目的としています。 ISO 9001 は、効果的な品質管理システムの一般的な基準を定める重要な規格です。 また、認定を受けている 9000 ファミリ内の唯一の規格でもあります。 ISO 9001 は、情報技術を含むあらゆる業界で使用でき、クライアントと顧客が可能な限り最高の品質を得ていることを保証します。 これは、企業が連携する IT サービス プロバイダーについて十分な情報に基づいた選択を行うのにも役立ちます。
ISO 27001 対 SOC 2
IT セキュリティ認定に関しては、どれを選択する必要がありますか? SOC 2 は ISO 27001 よりも優れていますか?それとも、標準認証で世界的に認められているリーダーが提供する標準を使用する必要がありますか?
どちらのリスク軽減フレームワークも、同様のトピックとセキュリティ制御をカバーしています。 それぞれが、企業がネットワークやその他の資産を保護するために使用するポリシー、プロセス、およびテクノロジを検討するのに役立ちます。 範囲は似ていますが、各標準は、組織がそのコントロールを異なる方法で適用することを示唆しています。 ISO 27001 は前述の ISMS に焦点を当てていますが、SOC 2 は XNUMX つのトラスト サービス原則を適用しています。
ISO 27001 認証を取得することは、特に SOC 2 によって組織が評価したい基準を大部分選択できるため、より複雑になる可能性があります。 ただし、ISO 27001 は世界的に認められており、事業の範囲を拡大したい企業を引き付ける可能性があります。 SOC 2 は北米での適用性が高いため、米国とカナダでのみ事業を展開している企業によって追求されることがよくあります。
その他の IT セキュリティ認定
SOC 1、SOC 2、および ISO 27001 に加えて、サービス プロバイダーを検索したり、自分のビジネスに適したレベルの認定を取得しようとしたりするときに、他の IT 認定とレポートに遭遇する可能性があります。
SOC 3
SOC 3 レポートは、基本的に SOC 2 監査の簡略版です。 潜在的なクライアントや利害関係者に提示するのに理想的な、重要な要点に分解されています。 独立監査人の全体的な意見、テスト内容、結果、および SOC 3 レポートを閲覧しているユーザーがさらに情報を必要とする場合の連絡先の詳細が表示されます。
NIST
NIST は、国立標準技術研究所です。 この連邦機関は商務省の一部であり、主に連邦情報システムの標準を設定しています。 連邦情報セキュリティ近代化法によると (フィズマ)、NIST の最小要件を満たさない製品、アプリ、またはサービスは、連邦政府の目的には使用できません。
フェドランプ
FedRAMP は、Federal Risk and Authorization Management Program の略です。 政府が作成した別の一連のセキュリティ原則であり、これらは特にクラウドベースの製品とサービスに関連しています。 オンライン アプリまたは SaaS 製品およびサービスを連邦政府の使用に適したものにしたい場合は、法的に適合していることを確認する必要があります。 FedRAMP 要件。
についてさらに質問がある場合は、 適切な IT セキュリティ認定 あなたのビジネスのために、 私たちとチャット. LogicMonitor は SOC のプロセスを経て、 ISO27000規格認証、およびデータ セキュリティの最高水準を維持することの重要性を認識しています。 これにより、お客様とエンド ユーザーに安全なオブザーバビリティとモニタリング エクスペリエンスを提供できます。