作为一家SaaS公司，实现SOC 2合规性

如果你还没听说过这个词，你很快就会知道的。SOC 2，意思是 System and Organization Controls 2是美国注册会计师协会（AICPA）开发的一种审计程序。具备SOC 2合规性意味着您已经实施了组织控制和实践，为客户数据的保护和安全提供了保证。换句话说，你必须证明（例如，记录和证明）你对他人的信息是真诚的。在最简单的定义中，它是审计员的报告卡。

在SOC 2之前的Rewind上，我们有一些流程，比如当紧急修复需要快速发布到生产中时的变更管理程序。但在开始我们的SOC 2之旅后，我们意识到我们没有很好的方法来跟踪所需紧急变更背后的原因，这是我们进行SOC 2审计所必需的。因此，我们与我们的审计师合作，为这些请求建立了一个持续的审计系统，提供了一个长期的解决方案和一个巨大的程序改进，为其他处于我们地位的公司提供了这个解决方案。实现SOC 2合规性向市场表明，您愿意以第三方审计报告的形式提供保证，以保护客户信息。您的业务所依赖的信息。

为什么有SOC 2？

简而言之，今天有更多的组织收集了比历史上任何时候都多的数据。总体而言，私营和公共部门的团体越来越意识到他们的专有数据是如何被其他方处理的。对于金融、医疗或上市公司等受到高度监管的行业而言，SOC 2基本上已成为一种经营成本。对于任何想要“成长”并向大品牌销售的SaaS公司来说，问题是“你有你的SOC2吗？”这将是你的销售团队最先被问到的问题之一。

SOC 2报告还为公司在当今网络安全环境中为客户提供保障提供了支持。网络攻击的数量每年都在增加。违规行为可能会引发罚款、损害公司声誉、导致客户流失等等。SOC 2合规性通过确保关键流程到位，大大减轻了这些场景带来的损失。合规企业更有可能对违规行为做出快速反应，从而限制其影响。

以快速、智能的方式获取SOC2

在我加入Rewind之前，对于大多数成长中的SaaS公司来说，SOC 2似乎是一项艰巨的任务。我们已经制定了流程，但我们还需要将其正式化，使其符合SOC 2标准，并为审计做好准备。销售团队也一直被问及倒带和我们的SOC 2合规计划，因为我们的客户希望得到这种保证，而获得SOC 2成为一个优先事项。下一步是了解公司的SOC2目标、优先事项，并确定需要采取哪些步骤来实现合规。

我的整个职业生涯都是信息安全专业人士，专注于治理、风险和法规遵从性。这在很大程度上是我的第二天性。对于新手来说，这可能是一个令人望而生畏的过程。因此，这里有一个快速的框架，帮助你为未来的道路做好准备。

1 — 选择你的范围

第一步是决定审计的范围，重点是什么服务或产品，

以及你希望被审计的信任服务原则。例如，安全性是一项强制性原则，但也可以包括保密性、可用性、处理完整性或隐私原则。

Rewind提供SaaS备份，因此范围是我们自己的软件平台。在这个范围内，我们的第一次SOC 2竞技表演的重点是安全和保密控制。保密性是一项重要原则，因为客户信任我们的备份数据，我们希望展示我们如何确保委托给我们的信息的保密性。

同样重要的是要记住，如果你想在未来追求其他信任服务原则，你可以培养和发展你的SOC2合规计划和内部流程，以实现这一目标。

2 — 评估你的控制水平

销售团队的请求肯定可以帮助您确定需要关注哪些信任服务原则，但这并不意味着您可以明天开始审核流程。我总是建议公司完成准备状态评估。这有助于确定你可能已经有多少控制措施的基准，对于那些你可能没有的控制措施，你可以确定应该关注哪些方面。一旦你达到100%，你就可以准备审计了。

您可以在网上找到来自不同第三方的各种准备就绪评估文件，或访问AICPA网站。审计员还可以帮助您进行准备就绪评估，作为您参与的一部分。

作为额外的好处，准备就绪评估可以帮助您了解如何更好地为未来的SOC2项目预算。。例如，您可以确定需要定期对应用程序执行第三方渗透测试，或者投资于员工背景检查流程，所有这些都需要持续的成本预算。

3 — 组织控制和证据收集

没有错误的方式来组织您的SOC2合规计划和控制。然而，从长远来看，有一些方法让它变得更加困难，也有一些方法让它变得更容易。电子表格可以列出你的所有控制，分配所有者，记录笔记，并添加证据存储位置的链接以供审计。但随着时间的推移，这会变得混乱，难以监控。

在Rewind会议上，我们希望关注SOC2合规计划的持续时间。控制所有权和证据收集需要集中化，并可供所有利益相关者使用。为此，我们投资了一个安全保障平台，以帮助我们管理合规计划。我建议您作为SOC2预算的一部分来考虑一种工具，它可以帮助您组织控件并监视它们前进。

这里的困难在于找到适合你需求的正确解决方案。你通常会看到公司在宣传他们的解决方案时承诺“两个月内获得SOC2！”。你的合规计划应该是一台持续运转的机器。在创纪录的时间里赢得这枚奖牌并不光彩。我们也想要一个共享该任务的工具。

4 — 选择和列车控制所有者

他们是您企业中负责实施和持续遵守控制措施的个人。这里的主要挑战是，表面上你基本上是在要求人们做更多的工作。然而，不应该这样看待它。这是一项合作努力，旨在设计符合SOC2的控制和流程，并将其融入每个团队的日常流程中。

添加的任何新流程都应该是对贵公司安全性（或其他与信托服务原则相关的流程/控制）的改进。Rewind的方法是采用由我们的“信任团队”领导的协作方法，但同时授权控制所有者对自己的合规领域负责。SOC2应该是整个公司的共同目标，而不仅仅是安全团队。

5 — 选择你的审计员

有许多著名的注册会计师为你进行审计，但不同的审计公司提供各种各样的服务。在回放时，我们推荐并培训了审计员（Moss Adams）使用我们的安全保障平台（拖船逻辑），我们使用该平台来管理我们的SOC2项目。这意味着我们可以管理整个计划的合规性，包括使用同一工具向我们的审计师提供证据。这减少了我们控制审计员的工作量，意味着我们可以有一个集中的地方来管理我们的控制、证据收集和审计。

这里的一个障碍可能是真正知道从哪里开始。如果某个特定的安全保证工具或CPA从长远来看对你不起作用，你就不想把自己束缚在它上面。选择一位声誉良好的注册会计师，愿意与你和你的工作流程合作。你想要一种合作关系，在这种关系中，你也可以寻求建议，并且知道他们也想成为你成功的一部分。

6 — 在类型2之前考虑类型1的报告

在SOC2审计过程中，SOC2类型1审计可以让你大快朵颐。1类审计让你有机会获得SOC2审计流程的经验，与你的审计师建立融洽的关系并发展工作关系。你还会收到一份报告，向客户提供你对合规计划的承诺。这就是我们在回放时采取的方法，我很高兴我们做到了。

这个过程显然比我提供的要多得多。然而，根据我的经验，我认为这可以帮助你为下一步做好准备。思考一下SOC 2控制如何适合你今天的业务，将在未来为你省去很多麻烦。