Service Organization Control (SOC) คืออะไร

Microsoft Office Knowledge Word, Excel, powerpoint, line , โปรแกรมเสริมต่างๆ

Moderator: mindphp, ผู้ดูแลกระดาน

Chidchanok
PHP Super Member
PHP Super Member
โพสต์: 308
ลงทะเบียนเมื่อ: 14/01/2019 9:58 am

Service Organization Control (SOC) คืออะไร

โพสต์โดย Chidchanok » 24/01/2019 12:36 pm

SOC มาจากคำว่า Service Organization Control เป็นตัวแสดงถึง “ภาพรวมด้านความปลอดภัยภายในองค์กร” และรายละเอียดของกรอบการทำงานด้านความปลอดภัย ซึ่งจะสอดคล้องกับระบบการทำงานจริงที่เกิดขึ้นภายในองค์กร รวมไปถึงการประสานงานร่วมกับพันธมิตร และความสัมพันธ์ด้านธุรกิจต่างๆอีกด้วย ซึ่งในปัจจุบันรายงาน SOC มีความสำคัญมากที่เลยทีเดียวสำหรับ “ทีมขาย” ขององค์กรที่มักจะใช้อ้างอิงถึงความปลอดภัยและเสถียรภาพภายในองค์กรแก่ลูกค้า

Soc.png
Soc.png (14.36 KiB) เปิดดู 1513 ครั้ง


ใครบ้างที่ออก SOC ได้
บุคคลที่สามที่สามารถออก SOC report นี้ส่วนมากจะเป็นบริษัทที่ปรึกษาหรือบริษัทผู้ตรวจสอบบัญชีที่มีบริการในลักษณะนี้อยู่ และบริษัทจะต้องอยู่ใน AICPA (American Institute of CPAs, สถาบันผู้สอบบัญชีที่ได้รับอนุญาตแห่งอเมริกา) การออก SOC report จะต้องทำภายใต้ Compliance ชื่อ SSAE16 ของสหรัฐอเมริกา เพื่อแสดงถึงข้อผูกพันการรับรองว่าถูกต้องเป็นจริง จึงทำให้มั่นใจว่า SOC report ที่ได้รับนั้นมีความน่าเชื่อถือสูงสุดมากกว่าการให้ CSP ตอบคำถามก่อนซื้อของเราด้วยตนเอง

ประเภทของ SOC
SOC1 report แสดงการควบคุมภายในในรูปแบบรายงานทางการเงินและเอาไปใช้เชิงกฎหมาย การควบคุมที่มีผลกระทบทันที หรือต่อเนื่อง ตามมาตรฐานของ SSAE16”

SOC2 รายงานด้านความภัยปลอดภัย ที่แสดงถึง “การควบคุมที่เกี่ยวข้องความปลอดภัยในการเก็บรักษาข้อมูลส่วนตัว และการประมวลผล” ซึ่งจะเป็นไปตามมาตรฐานข้อมูลแบบ AT101

SOC3 จะเป็นรายงานแบบ SOC2 ในอีกเวอร์ชั่น ที่จะเปิดเผยต่อสาธาณะโดยไม่รวมข้อมูลส่วนตัวที่จะถูกเก็บไว้เป็นความลับ รายงานเกี่ยวกับ “สรุปข้อมูลระดับสูงสำหรับลูกค้าทั่วไป โดยจะต้องไม่กระทบและเปิดภายระบบการทำงานภายในจนองค์กรเสียหาย”
มักจะถูกใช้ในองค์กรขนาดใหญ่ ที่มีการเก็บข้อมูลไว้เป็นจำนวนมาก รวมไปถึงมีการควบคุมในระบบที่สูงกว่าองค์กรอื่นทั่วไป

รายงานการควบคุมหลักการปฏิบัติด้านความปลอดภัยในทุกฉบับที่เกิดขึ้น “จะต้องมีความเห็นของผู้ตรวจสอบ” ที่จะแสดงให้เห็นว่าข้อมูลทีเปิดเผยออกมามีความถูกต้อง และเป็นธรรม ซึ่งหากมีการตรวจพบภายหลังว่า “ข้อมูลที่ถูกเปิดเผยมาจากรายงานไม่มีความเป็นธรรม หรือผิดไปจากผลจริงที่เกิดขึ้น” ข้อมูลเหล่านี้ก็จะสูญเปล่าไปโดยทันที รายงานทั้งหมดนี้จะ “มีการยืนยันจากองค์กร” ว่ามีการใช้ตัวควบคุมทั้งหมดในระบบระหว่างช่วงของการทดสอบ ซึ่งข้อมูลที่ออกมาจากการทดสอบจะเป็นข้อมูลที่เกิดขึ้นจริงและเชื่อถือได้ ภายใต้ขอบเขตและวัตถุประสงค์ของการทดสอบด้านความปลอดภัยอีกด้วย

Reference : https://www.monsterconnect.co.th/soc-reports/ , https://www.techtalkthai.com/cloud-secu ... n-control/

ช่องทางการศึกษาเพิ่มเติม

ความรู้ทั่วไป ข่าว IT
ความหมายของคำและวลี
ถาม - ตอบ คอมพิวเตอร์
เนื้อหาแชร์ผ่านเว็บบอร์ด
พูดคุยเรื่องทั่วไป

  • Similar Topics
    ตอบกลับ
    แสดง
    โพสต์ล่าสุด

ย้อนกลับไปยัง

ผู้ใช้งานขณะนี้

กำลังดูบอร์ดนี้: 53 และ บุคคลทั่วไป 0 ท่าน