SOC มาจากคำว่า Service Organization
Control เป็นตัวแสดงถึง “ภาพรวมด้าน
ความปลอดภัยภายในองค์กร” และรายละเอียดของกรอบการทำงานด้านความปลอดภัย ซึ่งจะสอดคล้องกับระบบการทำงานจริงที่เกิดขึ้นภายในองค์กร รวมไปถึงการประสานงานร่วมกับพันธมิตร และความสัมพันธ์ด้านธุรกิจต่างๆอีกด้วย ซึ่งในปัจจุบันรายงาน SOC มีความสำคัญมากที่เลยทีเดียวสำหรับ “
ทีมขาย” ขององค์กรที่มักจะใช้อ้างอิงถึงความปลอดภัยและเสถียรภาพภายในองค์กรแก่ลูกค้า
- Soc.png (14.36 KiB) Viewed 4048 times
ใครบ้างที่ออก SOC ได้
บุคคลที่สามที่สามารถออก SOC report นี้ส่วนมากจะเป็นบริษัทที่ปรึกษาหรือบริษัทผู้ตรวจสอบบัญชีที่มีบริการในลักษณะนี้อยู่ และบริษัทจะต้องอยู่ใน AICPA (American Institute of CPAs, สถาบันผู้สอบบัญชีที่ได้รับอนุญาตแห่งอเมริกา) การออก SOC report จะต้องทำภายใต้ Compliance ชื่อ SSAE16 ของสหรัฐอเมริกา เพื่อแสดงถึงข้อผูกพันการรับรองว่าถูกต้องเป็นจริง จึงทำให้มั่นใจว่า SOC report ที่ได้รับนั้นมีความน่าเชื่อถือสูงสุดมากกว่าการให้ CSP ตอบคำถามก่อนซื้อของเราด้วยตนเอง
ประเภทของ SOC
SOC1 report แสดงการควบคุมภายในในรูปแบบรายงานทางการเงินและเอาไปใช้เชิงกฎหมาย การควบคุมที่มีผลกระทบทันที หรือต่อเนื่อง ตามมาตรฐานของ SSAE16”
SOC2 รายงานด้านความภัยปลอดภัย ที่แสดงถึง “การควบคุมที่เกี่ยวข้องความปลอดภัยในการเก็บรักษาข้อมูลส่วนตัว และการประมวลผล” ซึ่งจะเป็นไปตามมาตรฐานข้อมูลแบบ AT101
SOC3 จะเป็นรายงานแบบ SOC2 ในอีกเวอร์ชั่น ที่จะเปิดเผยต่อสาธาณะโดยไม่รวมข้อมูลส่วนตัวที่จะถูกเก็บไว้เป็นความลับ รายงานเกี่ยวกับ “สรุปข้อมูลระดับสูงสำหรับลูกค้าทั่วไป โดยจะต้องไม่กระทบและเปิดภายระบบการทำงานภายในจนองค์กรเสียหาย”
มักจะถูกใช้ในองค์กรขนาดใหญ่ ที่มีการเก็บข้อมูลไว้เป็นจำนวนมาก รวมไปถึงมีการควบคุมในระบบที่สูงกว่าองค์กรอื่นทั่วไป
รายงานการควบคุมหลักการปฏิบัติด้านความปลอดภัยในทุกฉบับที่เกิดขึ้น “จะต้องมีความเห็นของผู้ตรวจสอบ” ที่จะแสดงให้เห็นว่าข้อมูลทีเปิดเผยออกมามีความถูกต้อง และเป็นธรรม ซึ่งหากมีการตรวจพบภายหลังว่า “ข้อมูลที่ถูกเปิดเผยมาจากรายงานไม่มีความเป็นธรรม หรือผิดไปจากผลจริงที่เกิดขึ้น” ข้อมูลเหล่านี้ก็จะสูญเปล่าไปโดยทันที รายงานทั้งหมดนี้จะ “มีการยืนยันจากองค์กร” ว่ามีการใช้ตัวควบคุมทั้งหมดในระบบระหว่างช่วงของการทดสอบ ซึ่งข้อมูลที่ออกมาจากการทดสอบจะเป็นข้อมูลที่เกิดขึ้นจริงและเชื่อถือได้ ภายใต้ขอบเขตและวัตถุประสงค์ของการทดสอบด้านความปลอดภัยอีกด้วย
Reference :
https://www.monsterconnect.co.th/soc-reports/ ,
https://www.techtalkthai.com/cloud-secu ... n-control/
ช่องทางการศึกษาเพิ่มเติม
ความรู้ทั่วไป ข่าว IT
ความหมายของคำและวลี
ถาม - ตอบ คอมพิวเตอร์
เนื้อหาแชร์ผ่านเว็บบอร์ด
พูดคุยเรื่องทั่วไปSOC มาจากคำว่า Service Organization [url=https://www.mindphp.com/%E0%B8%9A%E0%B8%97%E0%B8%84%E0%B8%A7%E0%B8%B2%E0%B8%A1/244-security/5922-internal-program-control.html]Control[/url] เป็นตัวแสดงถึง “ภาพรวมด้าน[url=https://www.mindphp.com/%E0%B8%9A%E0%B8%97%E0%B8%84%E0%B8%A7%E0%B8%B2%E0%B8%A1/244-security.html]ความปลอดภัย[/url]ภายในองค์กร” และรายละเอียดของกรอบการทำงานด้านความปลอดภัย ซึ่งจะสอดคล้องกับระบบการทำงานจริงที่เกิดขึ้นภายในองค์กร รวมไปถึงการประสานงานร่วมกับพันธมิตร และความสัมพันธ์ด้านธุรกิจต่างๆอีกด้วย ซึ่งในปัจจุบันรายงาน SOC มีความสำคัญมากที่เลยทีเดียวสำหรับ “[url=https://www.mindphp.com/%E0%B8%9A%E0%B8%97%E0%B8%84%E0%B8%A7%E0%B8%B2%E0%B8%A1/159-crm-software/6020-crm-vtiger.html]ทีมขาย[/url]” ขององค์กรที่มักจะใช้อ้างอิงถึงความปลอดภัยและเสถียรภาพภายในองค์กรแก่ลูกค้า
[attachment=0]Soc.png[/attachment]
[u]ใครบ้างที่ออก SOC ได้[/u]
บุคคลที่สามที่สามารถออก SOC report นี้ส่วนมากจะเป็นบริษัทที่ปรึกษาหรือบริษัทผู้ตรวจสอบบัญชีที่มีบริการในลักษณะนี้อยู่ และบริษัทจะต้องอยู่ใน AICPA (American Institute of CPAs, สถาบันผู้สอบบัญชีที่ได้รับอนุญาตแห่งอเมริกา) การออก SOC report จะต้องทำภายใต้ Compliance ชื่อ SSAE16 ของสหรัฐอเมริกา เพื่อแสดงถึงข้อผูกพันการรับรองว่าถูกต้องเป็นจริง จึงทำให้มั่นใจว่า SOC report ที่ได้รับนั้นมีความน่าเชื่อถือสูงสุดมากกว่าการให้ CSP ตอบคำถามก่อนซื้อของเราด้วยตนเอง
[u]ประเภทของ SOC[/u]
SOC1 report แสดงการควบคุมภายในในรูปแบบรายงานทางการเงินและเอาไปใช้เชิงกฎหมาย การควบคุมที่มีผลกระทบทันที หรือต่อเนื่อง ตามมาตรฐานของ SSAE16”
SOC2 รายงานด้านความภัยปลอดภัย ที่แสดงถึง “การควบคุมที่เกี่ยวข้องความปลอดภัยในการเก็บรักษาข้อมูลส่วนตัว และการประมวลผล” ซึ่งจะเป็นไปตามมาตรฐานข้อมูลแบบ AT101
SOC3 จะเป็นรายงานแบบ SOC2 ในอีกเวอร์ชั่น ที่จะเปิดเผยต่อสาธาณะโดยไม่รวมข้อมูลส่วนตัวที่จะถูกเก็บไว้เป็นความลับ รายงานเกี่ยวกับ “สรุปข้อมูลระดับสูงสำหรับลูกค้าทั่วไป โดยจะต้องไม่กระทบและเปิดภายระบบการทำงานภายในจนองค์กรเสียหาย”
มักจะถูกใช้ในองค์กรขนาดใหญ่ ที่มีการเก็บข้อมูลไว้เป็นจำนวนมาก รวมไปถึงมีการควบคุมในระบบที่สูงกว่าองค์กรอื่นทั่วไป
รายงานการควบคุมหลักการปฏิบัติด้านความปลอดภัยในทุกฉบับที่เกิดขึ้น “จะต้องมีความเห็นของผู้ตรวจสอบ” ที่จะแสดงให้เห็นว่าข้อมูลทีเปิดเผยออกมามีความถูกต้อง และเป็นธรรม ซึ่งหากมีการตรวจพบภายหลังว่า “ข้อมูลที่ถูกเปิดเผยมาจากรายงานไม่มีความเป็นธรรม หรือผิดไปจากผลจริงที่เกิดขึ้น” ข้อมูลเหล่านี้ก็จะสูญเปล่าไปโดยทันที รายงานทั้งหมดนี้จะ “มีการยืนยันจากองค์กร” ว่ามีการใช้ตัวควบคุมทั้งหมดในระบบระหว่างช่วงของการทดสอบ ซึ่งข้อมูลที่ออกมาจากการทดสอบจะเป็นข้อมูลที่เกิดขึ้นจริงและเชื่อถือได้ ภายใต้ขอบเขตและวัตถุประสงค์ของการทดสอบด้านความปลอดภัยอีกด้วย
Reference : https://www.monsterconnect.co.th/soc-reports/ , https://www.techtalkthai.com/cloud-security-assessment-using-service-organization-control/
[color=#0000BF]
ช่องทางการศึกษาเพิ่มเติม[/color]
[url=https://www.mindphp.com/%E0%B8%9A%E0%B8%97%E0%B8%84%E0%B8%A7%E0%B8%B2%E0%B8%A1/31-%E0%B8%84%E0%B8%A7%E0%B8%B2%E0%B8%A1%E0%B8%A3%E0%B8%B9%E0%B9%89%E0%B8%97%E0%B8%B1%E0%B9%88%E0%B8%A7%E0%B9%84%E0%B8%9B.html]ความรู้ทั่วไป ข่าว IT[/url]
[url=https://www.mindphp.com/%E0%B8%84%E0%B8%B9%E0%B9%88%E0%B8%A1%E0%B8%B7%E0%B8%AD/73-%E0%B8%84%E0%B8%B7%E0%B8%AD%E0%B8%AD%E0%B8%B0%E0%B9%84%E0%B8%A3.html]ความหมายของคำและวลี[/url]
[url=https://www.mindphp.com/forums/viewforum.php?f=3]ถาม - ตอบ คอมพิวเตอร์[/url]
[url=https://www.mindphp.com/forums/viewforum.php?f=23]เนื้อหาแชร์ผ่านเว็บบอร์ด[/url]
[url=https://www.mindphp.com/forums/viewforum.php?f=28]พูดคุยเรื่องทั่วไป[/url]