לשיחה עם מומחה

שרותי דיווח

SOC 2 – תקן אמריקאי לבקרה על אבטחה מידע והגנת פרטיות

SOC 2 הוא תקן אמריקאי לבקרות אבטחה ופרטיות הבא לידי ביטוי בדו״ח ביקורת חיצוני שמספק ללקוחות ולשותפים ביטחון בכך שהבקרות בארגון שלכם סביב נתוני לקוחות מתוכננות ופועלות בהתאם לקריטריונים של AICPA.

אנחנו באינפוגארד מובילים תהליך מוכנות מלא ל-SOC 2, החל מהגדרת ה-Scope והקריטריונים הרלוונטיים, דרך תכנון והטמעת בקרות, ועד בניית תיק ראיות מסודר שמקצר זמן ומוריד חיכוך מול המבקר.

בסוף התהליך אתם מגיעים לביקורת עם תהליכים, תיעוד ו-Evidence שמייצרים תוצאה שניתן להציג בביטחון.

מה זה SOC 2?

SOC2 הוא דו״ח על בקרות בארגון שירות, בהתאם לקריטריונים של Trust Services Criteria.

SOC (System and Organization Controls) הוא בחינה שמסתיימת בדו״ח על בקרות בארגון שירות, ביחס לאחד או יותר מהנושאים הבאים:

  • Security
  • Availability
  • Processing Integrity
  • Confidentiality
  • Privacy

הדו״ח נועד לתת למשתמשים חיצוניים מידע מפורט ובטחון לגבי הבקרות שמגנות על המערכות והמידע שהארגון מעבד עבור לקוחותיו.

שירות SIEM/SOC

שירות SIEM/SOC מנוהל משלב:

  1. מערכת טכנולוגית SIEM לאיסוף לוגים, קורלציה והתראות
  2. צוות SOC שמנטר ומטפל באירועים בפועל

במסגרת השירות מחברים מקורות מידע מרכזיים בארגון למערכת, מגדירים חוקים ותסריטי זיהוי לפי סיכונים וצרכים עסקיים, ומבצעים ניטור רציף, תחקור, הסלמה והנחיות תגובה.
התוצאה היא יכולת אבטחה תפעולית שמקצרת זמני זיהוי ותגובה, משפרת שליטה, ומאפשרת להפיק דוחות ותובנות שמחזקים את המוכנות לאירועים ולביקורות.

שירות SOC וSIEM של המומחים של אינפוגארד יכול לסייע לכם במימוש SOC2 לארגון. למידע נוסף על שירות SOC או שירות משולב SIEM/SOC

מה זה SOC?

SOC הוא חמ״ל סייבר – Security operations center, מוקד תפעולי שמנטר ומגן על מערכות ורשתות באופן שוטף, ומבצע זיהוי, ניתוח ותגובה לאירועי סייבר בזמן אמת ע"י אנליסט סייבר
בניגוד ל SIEM שהוא כלי טכנולוגי –  Security Information and Event Management, ה- SOC הוא צוות אנליסטים מקצועי שמפעיל תהליכי עבודה, נהלי טיפול באירועים וכלים שונים, כולל תפעול של מערכות SIEM, כדי לזהות איומים, לתעדף התראות, לבצע תחקור ראשוני ולהוביל תגובה מתואמת מול גורמי IT ואבטחת מידע בארגון.

למי SOC2 מתאים?

כאשר לקוחות מבקשים “הוכחה” מסודרת לבקרות ואבטחת מידע בארגון

SOC 2 הופך לדרישת סף מסחרית ונפוץ במיוחד בקרב חברות SaaS, שירותי ענן, ספקים מנוהלים וארגונים שמחזיקים או מעבדים מידע רגיש עבור לקוחות.
במקרים רבים לקוחות Enterprise מבקשים SOC 2 כחלק מתהליך Vendor Risk, ותנאי סף לקבלה למכרזים. SOC2 מתאים במיוחד לארגונים העובדים מול גובים גדולים בדגש על רגולציות, סטנדרטים ודרישות בינלאומיות.

SOC 2 כדרישת סף מסחרית

לקוחות Enterprise משתמשים ב-SOC 2 כדי לקצר תהליכי Vendor Risk ולהחליט מהר יותר על ספקים.

בשווקים רבים, במיוחד אצל לקוחות Enterprise, הפך ה-SOC לדרישת סף מסחרית כחלק מתהליכי Vendor Risk והתקשרויות עם ספקי SaaS ושירותים מנוהלים. במקום לעבור שוב ושוב שאלוני אבטחה שונים לכל לקוח, דו״ח SOC 2 מספק מסגרת אחידה שמרכזת את הבקרות והראיות ומאפשרת ללקוח לבצע הערכת סיכון מהירה ומבוססת. כתוצאה מכך, ארגונים שמציגים SOC 2 מוכנים לרוב מתקדמים מהר יותר במו״מ, מצמצמים חיכוך באישור משפטי וביטחוני, ומשפרים משמעותית את יכולת הסגירה מול לקוחות גדולים.

למה SOC 2 רלוונטי לארגון ישראלי

  • דרישת לקוחות ו-Vendor Risk: לקוחות (בעיקר Enterprise) מבקשים דו״ח SOC 2 כחלק מתהליך הערכת ספקים, כי הוא נותן להם assurance מובנה על בקרות אבטחה/זמינות/סודיות/פרטיות במערכת שמטפלת בנתוני הלקוחות.

  • שוק אמריקאי ובינלאומי: SOC הוא סטנדרט שמקורו בארה״ב (AICPA), אבל הוא משמש בפועל לקוחות ושותפים גלובליים. ארגון ישראלי יכול בהחלט להיבחן ולקבל דו״ח SOC 2 גם אם אינו יושב בארה״ב.

  • מי מנפיק את הדו״ח: דו״ח SOC 2 מונפק על ידי פירמת CPA עצמאית (רו״ח מוסמך), לפי תקני ה-AICPA.
    זה חשוב כי ה”משקל” המסחרי של SOC נשען על עצמאות המבקר ועל מסגרת הקריטריונים (TSC).

מה זה אומר “בארץ” בפועל

בדרך כלל אין חובה רגולטורית ישראלית להחזיק SOC 2, אבל הוא הופך לדרישה חוזית/מסחרית כשאתם:

  • מוכרים SaaS/שירות ענן ללקוחות בחו״ל (ובעיקר בארה״ב)
  • מחזיקים או מעבדים נתוני לקוחות רגישים
  • רוצים לקצר תהליכי אבטחת מידע מול לקוחות (במקום שאלונים אינסופיים)
    והוא גם משתלב יפה לצד ISO 27001 או עמידה ברגולציות פרטיות, כי הוא “מוכיח” בפועל בקרות ותהליכים על בסיס קריטריונים מוגדרים.

Trust Services Criteria, מה באמת נבחן

הקריטריונים מגדירים מה נדרש להוכיח בבקרות, ואתם בוחרים את הדגשים לפי התחייבויות השירות.

ה-Trust Services Criteria (TSC) של AICPA כוללים חמישה תחומים:

  1. Security
  2. Availability
  3. Processing Integrity
  4. Confidentiality
  5. Privacy

בפועל, אנחנו בונים יחד איתכם סט דרישות שמותאם ל-Scope, לסיכונים, להסכמים מול לקוחות ולהתחייבויות השירות, כדי למנוע מצב שבו מבקרים על דברים שלא התחייבתם אליהם או מפספסים דברים שכן.

AICPA (American Institute of Certified Public Accountants) 

AICPA  הוא הארגון המקצועי המרכזי של רואי חשבון מוסמכים (CPAs) בארה"ב, והוא הגוף שעומד מאחורי מסגרת ה-SOC System and Organization Controls.
במסגרת זו, ה-AICPA מגדיר את Trust Services Criteria (TSC), כלומר קריטריונים לבקרות בתחומים כמו אבטחה, זמינות, שלמות עיבוד, סודיות ופרטיות, אשר משמשים בסיס לביקורות SOC 2. הקריטריונים נקבעים על ידי ועדת Assurance Services Executive Committee (ASEC) של ה-AICPA ומשמשים רואי חשבון מבקרים בביצוע הבחינה ובהפקת הדו״ח.

SOC 2 Type I מול SOC 2 Type II

ההבדל הוא האם בוחנים תכנון בנקודת זמן, או גם אפקטיביות לאורך תקופה.

  • Type I מתמקד בתכנון הבקרות בנקודת זמן מסוימת.

  • Type II בוחן גם את האפקטיביות של הבקרות לאורך תקופת בדיקה מוגדרת, לרוב מספר חודשים (לעיתים 3 עד 12 חודשים, בהתאם למבקר ולתכנון).

אנחנו באינפוגארד בונים מסלול שמאפשר להתחיל נכון (Design), ואז לעבור לתפעול עקבי שמייצר Evidence איכותי לתקופת ה-Type II.

איך נראה הליווי של Infoguard ב5 שלבים

תהליך מוכנות שמחבר Governance, תפעול, טכנולוגיה ותיעוד, עד לביקורת.

  1. אבחון תחילי והגדרת Scope: שירותים, מערכות, גבולות, צדדים שלישיים, וקריטריונים רלוונטיים (TSC).
  2. Gap Analysis ומפת דרכים: אנחנו ממפים פערים מול הקריטריונים שנבחרו ומגדירים תכנית עבודה מתועדפת.
  3. בניית בקרות ונהלים: IAM והרשאות, SDLC, ניהול שינויים, לוגים וניטור, ניהול אירועים, המשכיות עסקית, ניהול ספקים ועוד (לפי Scope).
  4. Evidence ותיק ביקורת: אנחנו בונים “Data Room” מסודר, מגדירים מי מספק מה, ומוודאים שהראיות עקביות ונסגרות בזמן.
  5. תיאום מול רו״ח מבקר: אנחנו מכינים אתכם לשאלות, Walkthroughs ובדיקות מדגמיות. חשוב לציין, דו״ח SOC 2 עצמו מונפק על ידי מבקר מוסמך (CPA), ואנחנו מובילים את המוכנות והיישום עד לביקורת.

תוצרים אופייניים בפרויקט

מה תקבלו “ביד” כדי להפעיל, להציג ולהצליח בביקורת.

  • מסמך Scope ו-TSC שנבחרו + מפת התחייבויות שירות
  • דו״ח Gap Analysis ותכנית Remediation עם תעדוף ולוחות זמנים
  • סט מדיניות ונהלים רלוונטיים ל-SOC 2 (מותאם לסביבה שלכם)
  • Control Matrix (בקרות, בעלי אחריות, ראיות, תדירות)
  • תיק Evidence מסודר לפי תחומים ותקופות
  • הכנה ל-Walkthroughs, בדיקות מדגמיות ומענה לממצאים

SOC 2 מול ISO 27001, ואיפה זה מתחבר

אנחנו משתמשים במה שכבר קיים, ומונעים כפילויות בין תקינה, רגולציה ודרישות לקוח.

SOC 2 ו-ISO 27001 לא “מתחרים”, הם משלימים. ISO 27001 בונה מערכת ניהול (ISMS) ואילו SOC 2 מוכיח בפועל כיצד הבקרות פועלות בהתאם לקריטריונים שנבחרו. אנחנו באינפוגארד מבצעים מיפוי בין הקיים (למשל נהלים, בקרות, תהליכים, ניטור ותיעוד) לבין דרישות SOC 2, כדי לקצר זמן, לחסוך מאמץ ולהוציא תוצר שניתן להציג ללקוחות בצורה ברורה.

רוצים לבדוק אם SOC 2 מתאים לכם ומה המסלול הנכון?

אנחנו באינפוגארד נבצע בדיקת צרכים קצרה, נגדיר יחד את ה-Scope ואת הקריטריונים הרלוונטיים, ונזהה את הפערים המרכזיים שמונעים מכם להתקדם לביקורת. לאחר השיחה תקבלו כיוון ברור למסלול Type I או Type II, כולל תעדוף משימות ותוצרים נדרשים.

השאירו פרטים ונחזור אליכם לתיאום שיחת אבחון.

Share
יצירת קשר

שלחו לנו הודעה ונדאג לחזור אליכם בהקדם.

  • כל המאמרים, סקרי סיכונים

5 דק׳ קריאה

סניטריזציה והלבנת קבצים (CDR): להפוך "קובץ נכנס" לקובץ בטוח

קבצים נכנסים מגיעים ממייל, הורדות, העברות ו-USB, ולכולם יש פוטנציאל לשאת קוד זדוני שמופעל ברגע פתיחה. הגישה “detection-less”, שבה מנגנון CDR מאמת את מבנה הקובץ ברמת הבינארי, מנטרל רכיבים זדוניים
קראו עוד
  • אבטחת מידע, כל המאמרים, סקרי סיכונים

5 דק׳ קריאה

סקרי ציות

ארגונים רבים כגון בתי השקעות, בנקים וגופים נוספים תלויים במתן רישיונות ובפיקוח שוטף של רגולציה כזו או אחרת מצד הרגולטור. הוראות החוק הינן נוקשות, כמו גם החוזרים והנחיות הרגולטור. בד

קראו עוד
computer with a lock
  • אבטחת מידע, כל המאמרים

5 דק׳ קריאה

אבטחת מידע ושירותי סייבר לעסקים

התקפות הסייבר – פריצות לרשת המחשוב הארגונית המגיעות מכיוון האינטרנט – הפכו נפוצות מאוד בשנים האחרונות ומכוונות היום לכל עסק המחובר לרשת האינטרנט ולא משנה מה גודלו. פריצה לרשת המחשוב

קראו עוד

כל השירותים

שירותים נוספים שיכולים לעניין אותך
GRC

GRC – Governance, Risk & Compliance

עם שירות ה-GRC של Infoguard תהפכו דרישות תקינה ורגולציה לשגרה מנוהלת: סיכונים מתועדפים, בקרות עובדות, ו-Evidence שמוכיח עמידה בכל ביקורת.
מידע נוסף
אייקון תעודת מבחן

סקר הקשחות אבטחת מידע

סקר הקשחות לתשתיות, ענן, שרתים ועמדות קצה, כולל Application Security Assessment. דוח ממצאים ותכנית תיקון ישימה.
מידע נוסף
אייקון תעודת מבחן

סקרים באבטחת מידע והגנת הפרטיות

מגוון סקרי סקירה והערכה של אינפוגארד: הקשחה, תשתיות, ענן, אפליקציות ופרטיות, לבניית תמונת מצב ותכנית פעולה.
מידע נוסף

שירותי הגנה ותקיפה

כל שירותי אבטחת המידע, שלנו באינפוגארד. מסקרי הקשחה והערכות סיכונים, תקינה ורגולציה, ועד תרגולים ומבדקי חדירה, אנחנו כאן לספק את הפתרון המדוייק לארגון שלכם.
מידע נוסף
אייקון תעודת מבחן

סקר פערים Security GAP Assessment באבטחת מידע וסייבר

סקר פערים (GAP) באבטחת מידע מציג איפה אתם עומדים מול דרישות יעד, ומה צריך לסגור – עם תעדוף ותוכנית עבודה ישימה.
מידע נוסף

SOC As A Service – מוקד מנוהל לאיומים סייבר

SOC as a Service של אינפוגארד מעניק מוקד SOC מנוהל שמנטר, מנתח ומתעדף אירועי סייבר, עם עבודה על גבי המערכות שלכם ותוצרים מדידים.
מידע נוסף

בדיקת חדירה תשתיתית Infrastructure Penetration Testing

בדיקת חדירה תשתיתית שמדמה תקיפה אמיתית כדי לגלות איך אפשר להיכנס לרשת, להתקדם פנימה ולהגיע לנכסים קריטיים ומה לתקן קודם.
מידע נוסף
WALL ICON

בדיקת חדירה אפליקטיבית Application Penetration Testing

Application Penetration Testing מבדק חדירה אפליקטיבי שמגלה חולשות ניתנות לניצול באפליקציות Web/API ומתרגם אותן לתכנית תיקון יעילה וישימה.
מידע נוסף
אייקון הדרכות

BCP – Business Continuity Plan

שירות BCP של Infoguard בונה תוכנית המשכיות עסקית ישימה, מתורגלת ומדידה שמחברת אנשים, תהליכים וטכנולוגיה לרציפות אמיתית בזמן שיבוש.
מידע נוסף
ISO 27002 ICON

ISO 27002 – תקן הנחיות אבטחת מידע

באינפוגארד אנו מלווים ארגונים ביישום ISO/IEC 27002:2022, בבניית בקרות, נהלים ותיק ראיות, ובחיבור התהליך למסלול הסמכה של ISO/IEC 27001 לפי הצורך
מידע נוסף
ISO ICON

ISO 27799 – תקן אבטחת מידע לארגוני בריאות

שירות ISO 27799 של Infoguard מספק ליווי מקצועי ליישום בקרות אבטחת מידע בעולם הבריאות, עם תשתית תפעולית ותיעוד שמאפשרים בקרה ושיפור מתמשך.
מידע נוסף

SIEM SOC מנוהל – ניטור ותגובה לאיומים סייבר

שירות SIEM/SOC מנוהל שמתרגם לוגים והתראות ליכולת תפעולית אמיתית של ניטור, תחקור ותגובה, עם אפשרות לניהול כל מערכת SIEM באמצעות צוות אנליסטים מקצועי.
מידע נוסף
ISO ICON

ISO Compliance – תקינה בעולמות אבטחת המידע

ייעוץ וליווי לתקני ISO/IEC באבטחת מידע במגוון סקטורים: בחירת התקן הנכון, יישום בקרות וניהול סיכונים, והיערכות לביקורות ולהסמכה.

מידע נוסף
ISO 27001

ISO 27001 – תקן לניהול אבטחת מידע

המטרה שלנו ב-Infoguard היא להוביל את הארגון להסמכה לתקן ISO 27001 בצורה מסודרת, יעילה ומוכחת, עם תהליך שמסתיים לא רק בתעודת הסמכה, אלא בנהלים, תרבות ומערכת ISMS שעובדת בפועל.
מידע נוסף
ccpa cpra - ICON

CCPA | CPRA – מדיניות הגנת הפרטיות בקליפורניה

CCPA/CPRA הם סטנדרט שוק בקליפורניה בנושאי תקנות וחוקי הגנה על הפרטיות ומהווים כוכב צפון גלובלי.
מידע נוסף
PIA ICON

PIA – תסקיר פרטיות למיפוי וניהול סיכונים

תסקיר פרטיות (PIA) של Infoguard הוא הדרך הפרקטית לזהות ולצמצם סיכוני פרטיות בעיבוד מידע אישי – עם דו״ח ותכנית פעולה ישימה שמוכנים גם לביקורת וגם להטמעה.
מידע נוסף

DPO as a Service – הגנת פרטיות במיקור חוץ

שירות DPO במיקור חוץ של אינפוגארד לניהול פרטיות מקצה לקצה: ממשל ותיעוד, ספקים והעברות מידע, הדרכות ובקרה רציפה, בהתאמה לתיקון 13 ו GDPR.
מידע נוסף
הגנת הפרטיות תיקון 13 אייקון

חוק הגנת הפרטיות ותיקון 13

Infoguard עוזרת לארגונים לעמוד בתיקון 13 בצורה יישומית ומוכנה לאכיפה – עם מיפוי, מדיניות פרטיות, DPO, נהלים והטמעה תפעולית.
מידע נוסף

Cyber Security Services for organizations

שירותי אבטחת מידע וסייבר לעסקים: הגנה היקפית, ניטור והתראה, הצפנה, מבדקי חדירה (Pen Testing), פישינג ומודעות עובדים, וייעוץ טכנולוגי להטמעת מערכות הגנה.

מידע נוסף
WALL ICON

Penetration Testing – מבדקי חדירה

מבדקי חדירה Pen Testing / Penetration Testing לתשתיות, אפליקציות וענן. סימולציית תקיפה אמיתית, דוח מנהלים, ממצאים לפי חומרה והמלצות ישימות. אינפוגארד.
מידע נוסף
אייקון הדרכות

Phishing – הדרכות ותרגילי פישינג

פישינג הוא עדיין הדרך המהירה ביותר לחדור לארגון דרך העובדים. אנחנו באינפוגארד מפעילים הדרכות ותרגולי פישינג מתקדמים שמדמים תרחישי אמת אצלכם, מודדים תוצאות ומשפרים התנהגות לאורך זמן.
מידע נוסף
אייקון הדרכות

מודעות עובדים לאבטחת מידע

אנחנו באינפוגארד בונים ומעבירים הדרכות מודעות עובדים שמחזקות את קו ההגנה הראשון בארגון. אנחנו משלבים הדרכה פרונטלית ותכני E-Learning עם סימולציות פישינג ותרגול מצבי אמת, כדי לצמצם טעויות אנוש ולשפר דיווח מהיר. לאורך הדרך אנחנו מודדים מגמות, מזהים נקודות חולשה חוזרות ומבצעים התאמות שמייצרות שיפור עקבי. בסוף אתם מקבלים תכנית מודעות מסודרת, תוצאות מדידות ותרבות אבטחה חזקה יותר.
מידע נוסף
אייקון תעודת מבחן

סקר סיכוני אבטחת מידע

אנחנו באינפוגארד מבצעים סקר סיכונים וסקר פערים לאבטחת מידע, מקצה לקצה.
אנחנו ממפים חולשות, מדרגים סיכון, ומתרגמים הכול לתכנית עבודה ישימה.
אתם מקבלים דוח ברור, סדר עדיפויות, וליווי עד סגירת פערים.
מידע נוסף

ייעוץ אבטחת מידע לפי דרישה

ייעוץ אבטחת מידע ופרטיות לפי דרישה עם תוצרים וליווי עד יישום בפועל.
מידע נוסף

CISO as a Service – ניהול אבטחת מידע במיקור חוץ

מנהל אבטחת מידע במיקור חוץ עם אחריות כוללת, תוכנית עבודה, ניהול סיכונים וליווי תקנים. התחילו בשיחת מיפוי ראשונית.

מידע נוסף
medal- 1 ICON

NIST CSF ו-NIST 800-171

ליווי לעמידה ב-NIST CSF ו-NIST 800-171 לשוק הפדרלי בארה״ב: מיפוי CUI, סקר פערים, הטמעת בקרות ואיסוף Evidence לביקורת.
מידע נוסף
HIPPA ICON

HIPPA – הגנת פרטיות ואבטחת מידע לארגוני בריאות בארה"ב

שירות HIPAA של Infoguard מספק ליווי מקיף לבניית תהליכים, בקרות ותיעוד להגנה על PHI/ePHI ולהיערכות לתגובה ודיווח לאירועים, בהתאם לדרישות השוק האמריקאי.
מידע נוסף
אייקון pci dss

PCI DSS – דרישות אבטחה וסליקה של חברות אשראי

ליווי מקצועי לעמידה בתקן PCI DSS – ממילוי SAQ שנתי ועד הכנה לאימות/הסמכה, עם מיפוי פערים, תכנית סגירה ותמיכה מלאה לאורך התהליך.
מידע נוסף
GDRP ICON

GDPR – תקנות הגנת הפרטיות של האיחוד האירופי

שירות GDPR של Infoguard מספק ליווי מקצה לקצה להפיכת דרישות ה-GDPR לתהליכים, מסמכים ובקרות מעשיות שמייצרות מנגנון הגנה על פרטיות לאורך זמן.
מידע נוסף
לשיחה עם מומחה