Une documentation adéquate est essentielle pour une audit SOC 2 réussie. Cela inclut des politiques claires et concises.
Mais si vous n'avez pas encore une bibliothèque de politiques en place, il peut être difficile de savoir par où commencer.
Vous pourriez vous demander :
Quelles sont les politiques générales dans une audit auxquelles je dois me conformer ?
Vos politiques décrivent ce que vous faites pour protéger les données des clients — des choses comme former les employés et gérer les fournisseurs. Vos procédures expliquent comment vous le faites — les étapes exactes que vous suivez et comment vous répondez à certains événements déclencheurs.
Politiques SOC 2
Tous les examens SOC 2 impliquent une révision par un auditeur des politiques de votre organisation.
Les politiques doivent être documentées, formellement révisées et acceptées par les employés.
Chaque politique soutient un élément de votre sécurité globale et de votre approche de la gestion des données des clients.
En général, ce sont les exigences des politiques SOC 2 que votre auditeur recherchera :
- Politique d'utilisation acceptable : Définit les manières dont le réseau, le site Web ou le système peuvent être utilisés. Peut également définir quels appareils et types de supports amovibles peuvent être utilisés, les exigences de mot de passe et comment les appareils seront délivrés et retournés.
- Politique de contrôle d'accès : Définit qui aura accès aux systèmes de l'entreprise et à quelle fréquence ces autorisations d'accès seront revues.
- Politique de continuité des activités : Définit comment les employés répondront à une perturbation pour maintenir le bon fonctionnement de l'entreprise.
- Politique de gestion des changements : Définit comment les changements de système seront documentés et communiqués au sein de votre organisation.
- Politique de confidentialité : Définit comment votre organisation traitera les informations confidentielles concernant les clients, les partenaires ou l'entreprise elle-même.
- Politique de code de conduite : Définit les politiques que doivent respecter tant les employés que les employeurs. Cela inclut la manière dont les personnes doivent interagir les unes avec les autres au travail.
- Politique de classification des données : Définit comment vous classerez les données sensibles en fonction du niveau de risque qu'elles représentent pour votre organisation.
- Politique de reprise après sinistre : Définit comment votre entreprise récupérera d'un événement désastreux. Elle inclut également les fonctions minimales nécessaires dont votre organisation a besoin pour continuer ses activités.
- Politique de cryptage : Définit le type de données que votre organisation chiffrera et comment elles seront chiffrées.
- Politique d'intervention en cas d'incident : Définit les rôles et responsabilités en réponse à une violation de données et lors de l'enquête qui s'ensuit.
- Politique de sécurité de l'information : Définit votre approche de la sécurité de l'information et pourquoi vous mettez en place des processus et des politiques.
- Politique de sauvegarde des informations, logiciels et systèmes : Définit comment les informations des applications business seront stockées pour assurer la récupération des données.
- Politique de journalisation et de surveillance : Définit les journaux que vous collecterez et surveillerez. Couvre également ce qui est capturé dans ces journaux, et quels systèmes seront configurés pour la journalisation.
- Politique de sécurité physique : Définit comment vous surveillerez et sécuriserez l'accès physique au site de votre entreprise. Que ferez-vous pour prévenir l'accès physique non autorisé aux centres de données et équipements ?
- Politique de mot de passe : Définit les exigences pour l'utilisation de mots de passe forts, de gestionnaires de mots de passe et les expirations de mots de passe.
- Politique d'accès à distance : Définit qui est autorisé à travailler à distance. Définit également quel type de connectivité ils utiliseront et comment cette connexion sera protégée et surveillée.
- Politique d'évaluation et d'atténuation des risques : Définit les menaces de sécurité qui pourraient survenir et le plan d'action pour prévenir ces incidents.
- Politique de cycle de vie du développement logiciel : Définit comment vous garantirez que votre logiciel est construit de manière sécurisée, testé régulièrement et conforme aux exigences réglementaires.
- Politique de gestion des fournisseurs : Définit les fournisseurs susceptibles d'introduire des risques, ainsi que les contrôles mis en place pour minimiser ces risques.
- Politique de sécurité des postes de travail : Définit comment vous sécuriserez les postes de travail de vos employés pour réduire le risque de perte de données et d'accès non autorisé.
Comment prouver que vous suivez vos politiques ?
Lors de votre audit SOC 2 Type II, vous devrez prouver à votre auditeur que vous suivez les politiques et processus que vous avez mis en place.
Cela signifie présenter à votre auditeur les preuves que vous avez collectées tout au long de votre période d'audit.
La collecte et l'organisation de ces preuves peuvent être une tâche extrêmement fastidieuse et chronophage. Elle implique souvent de prendre et d'organiser des captures d'écran dans des dossiers Dropbox ou Google Drive. Ensuite, de créer et de mettre à jour manuellement des feuilles de calcul pour cataloguer les preuves.
Secureframe automatise le processus de collecte des preuves, économisant à votre équipe des centaines d'heures (et probablement tout autant de maux de tête). Notre plateforme offre plus de 100 intégrations profondes pour se connecter à votre infrastructure cloud et votre SIRH. Nous collecterons automatiquement des preuves et surveillerons en continu votre pile technologique pour une conformité continue.