SOC2とは
SOC2報告書とは、受託会社(サービス提供者)のシステムのセキュリティ等に関する内部統制の整備および運用状況を、第三者である監査人が評価した保証報告書です。
ISMSとの違いとして、以下の点が挙げられます:
- SOC2は「認証」ではなく、「レポート」形式で発行される。そのため、情報セキュリティに係る内部統制の内容や、監査人によるテスト結果が詳細に開示される。
- ISMSは、組織全体の情報セキュリティマネジメント体制(PDCAやリスク管理体制)を対象とするのに対し、SOC2は、特定のサービスやシステムにおける、より具体的・技術的な内部統制が「整備され、かつ有効に運用されているか」を第三者が保証する制度である。
Next »