Vos politiques et procédures sont le quoi et le comment de votre posture de sécurité.
Votre documentation est la preuve que vous utiliserez pour le prouver à votre auditeur.
Quel type de documentation de conformité SOC est requis pour votre audit ?
Cela dépend du type et de la portée de votre audit.
Un audit de type II qui ne couvre que la sécurité nécessite moins de documentation qu'un audit qui inclut plusieurs critères des services de confiance.
Indépendamment du type et de la portée de votre audit, il y a quelques documents que vous devrez fournir à votre auditeur : l'attestation de gestion, la description du système, et la matrice de contrôle.
Attestation de gestion
Votre attestation de gestion est extrêmement importante car elle pose les bases de votre audit entier.
C'est une déclaration écrite décrivant vos systèmes.
L'attestation de gestion explique comment votre système vous aide à remplir les engagements de service que vous avez pris envers vos clients. Et elle explique comment votre système répond aux critères des services de confiance que vous avez sélectionnés pour votre audit.
L'attestation de gestion explique à l'auditeur comment votre système est conçu pour fonctionner. De cette manière, l'auditeur peut tester vos contrôles pour voir comment il fonctionne réellement.
Tout cela aboutit à ce que votre auditeur émette son avis formel (le rapport final SOC 2) sur l'exactitude de la présentation du système auditée par votre attestation de gestion.
Vous fournirez votre attestation de gestion à votre auditeur dès le début de votre audit. Si quelque chose concernant votre système change au cours de l'audit, vous devrez fournir une version mise à jour.
Une copie de votre attestation de gestion sera également incluse dans votre rapport final SOC 2.
Description du système
Votre description du système détaille les aspects de votre infrastructure inclus dans votre audit SOC 2.
Il est important de réfléchir à votre description de système. Si elle est incomplète, votre auditeur devra demander plus de détails pour compléter son évaluation.
L'AICPA partage quelques conseils utiles pour créer votre description du système.
Voici ce qu'elle devrait inclure :
- Une vue d'ensemble de l'entreprise résume vos produits et services.
- Une vue d'ensemble du système décrit les services clés que vous fournissez aux clients
- Les engagements de service principaux et les exigences du système définissent les engagements que vous avez pris envers vos clients, ainsi que les systèmes nécessaires pour remplir ces engagements
- Les composants du système incluent l'infrastructure, les logiciels, les données, les processus et les personnes
- Divulgation des incidents indique si des incidents ont affecté les contrôles ou les engagements de service
- Divulgation des critères détaille quels critères des services de confiance sont applicables à l'audit
- Aspects pertinents de l'environnement de contrôle décrit les contrôles que vous avez mis en place pour répondre à chaque critère des services de confiance
- Contrôles Complémentaires des Entités Utilisatrices et des Sous-services décrivent les contrôles dont vos clients et fournisseurs sont responsables, le cas échéant. (Par exemple, les clients d'une entreprise SaaS sont généralement responsables de l'octroi et de la révocation de l'accès de leurs propres employés.)
- Exceptions aux Critères expliquent quels critères des services de confiance ne sont pas applicables à l'audit.
- Changements au Système Pendant la Période indique tous les changements apportés au système de contrôles internes pendant la période d'audit. (Applicable aux Rapports SOC 2 Type II)
Vous pouvez utiliser des visuels comme des organigrammes, des tableaux, des graphiques et des diagrammes pour illustrer la description de votre système.
La description de votre système n'a pas besoin d'inclure chaque aspect de votre infrastructure. Vous devez simplement inclure ce qui est pertinent pour votre audit SOC 2 et les critères des services de confiance que vous avez sélectionnés.
À quel point la description de votre système doit-elle être détaillée ?
Elle doit être suffisamment détaillée pour qu'un lecteur puisse comprendre les risques auxquels votre organisation est confrontée et ce que vous faites pour les contrer.
Il n'est pas nécessaire que ce soit si détaillé que cela expose votre entreprise à des risques ou révèle des vulnérabilités de sécurité qui pourraient être exploitées.
Matrice de Contrôle
Une Matrice de Contrôle est un tableau qui détaille les contrôles spécifiques qui se rapportent aux critères SOC 2.
Elle inclut généralement :
- Référence de Critère : le critère spécifique des services de confiance que le contrôle satisfait
- Numéro de Contrôle : ces numéros de référence correspondent aux contrôles individuels que vous avez mis en place
- Activité de Contrôle : une description de ce que fait ce contrôle spécifique
- Propriétaire du Contrôle : la personne responsable de réaliser ou de superviser le contrôle. C'est la personne que l'auditeur rencontrera pour tester ce contrôle
- Niveau de Risque : une évaluation de l'impact commercial et de la probabilité d'échec d'un contrôle (faible, modéré, élevé). Bien que cela soit facultatif, cela aide les organisations à comprendre la santé des contrôles et la responsabilité en matière de sécurité. C'est également une demande de preuve typique des auditeurs.
Exemples de Documentation de Conformité SOC 2
Un audit SOC 2 typique nécessitera une documentation pour :
Documentation des Opérations Commerciales
- Schéma de vos bureaux physiques
- Manuel de gouvernance d'entreprise
- Code de conduite de l'entreprise
- Plan de gestion des risques
- Budget du programme de conformité
- Accords avec les fournisseurs
- Plans de continuité des activités et de réponse aux incidents
Documentation RH
- Organigramme, plus le récapitulatif des rôles et responsabilités
- Manuel de l'employé
- Documentation d'intégration
- Documentation du processus de résiliation
- Journaux de formation à la sécurité
Documentation Informatique et Technique
- Inventaire de tous les dispositifs sur votre réseau
- Registres de maintenance de l'équipement
- Politiques de rétention et de destruction des données
- Politique de chiffrement
- Politique de gestion des journaux
- Politique de mots de passe
- Politique et journaux d'accès
- Journaux de sauvegarde et de mise à jour du système
Documentation relative à la Confidentialité
- Avis de pratiques de confidentialité
- Accord d'utilisation des données
- Politiques de désabonnement et d'option de retrait
- Politique et accords de confidentialité
Documentation de Conformité
- Rapports de conformité complétés précédemment, le cas échéant
- Évaluations des risques
- Questionnaires d'auto-évaluation, le cas échéant
- Résultats des tests de pénétration, le cas échéant
Préparer la Documentation pour Votre Auditeur
Organiser votre documentation vous épargnera des maux de tête et vous aidera à compléter votre audit à temps. Cela permet également à votre auditeur de revoir la documentation avant de commencer à tester vos contrôles.
Une meilleure compréhension de vos systèmes les aide à concevoir des mécanismes de test plus efficaces.
Lors de la collecte de la documentation pour votre audit, envisagez un format de rapport standard comprenant :
- La raison de la création de cette politique
- Le département responsable de l'approbation et de la mise en œuvre de la politique
- Les dates d'approbation et de mise en œuvre
- Les systèmes, processus ou applications affectés par la politique
- Le suivi de l'acceptation de la politique par les utilisateurs