SOC 2 是基于美国注册会计师协会 (AICPA) 现有信托服务标准 (TSC) 审计标准委员会的报告。目的是评估与安全性、可用性、处理完整性、机密性和隐私相关的组织信息系统。

还记得2022年8月刚来到这家公司，CTO跟我讲：你来了之后优先级最高的事就是帮咱们公司做好合规！而合规中最优先的就是尽快拿下 SOC2 Type II 审计报告！

其实我当时是一脸懵的， SOC 不是 Security Operation Center 吗？什么是 TM 的 SOC2 Type II ？

而且我在腾讯做的是反黑产、终端安全之类的，和合规性一点关系也没有啊！但没办法，来都来了，硬着头皮边快速学边做吧！

什么是SOC2审计 & 一点科普

SOC(System and Organization Controls) 2 Type II 审计是一种由第三方（普华永道安永之类的所，或者专注于安全的小审计公司）执行的审计，旨在确保第三方服务提供商可以安全、有效地管理和保护客户数据。与SOC 1报告相比，SOC 2更关注公司的信息安全，而不是财务报告控制。这种审计经常用于云服务提供商、数据中心和IT服务提供商等。

SOC 2审计基于以下五个信托服务原则：

安全性：组织的系统是否受到保护，以防止未经授权的访问？

可用性：组织的系统是否可靠和可用？

处理完整性：系统处理的信息是否完整、有效和准确？

机密性：信息是否受到保护，以防止未经授权的访问和披露？

隐私：个人信息是否被收集、使用、存储和处理得当？

SOC 2审计有两种类型：

Type I：报告描述了在特定日期组织的系统和控制的设计是否满足相关的信托服务原则（你可以理解为Type I的报告表示你们公司在某个时间点满足了以上信托服务原则）

Type II：这是更为严格和持久的审计，报告不仅描述了组织的系统和控制的设计是否满足相关的信托服务原则，还验证了这些控制在过去至少3个月的时间里是否一直有效地操作。

为什么我司需要做SOC 2 Type II：

客户信任：能够通过SOC 2 Type II审计意味至少从流程上看，我们的信息安全控制措施是有效的，这可以提高客户的信任度

合同要求：几乎所有客户和我司签署合同时，都要求我们出示 SOC 2 审计报告，有报告皆大欢喜，没报告合作甚至可能直接终止...知道我司能获取到SOC2 Type II报告；

满足行业潜规则和法律法规要求

最佳实践：进行 SOC 2 审计可以帮助我们从流程上确定我们还有哪些潜在的安全隐私问题

怎么做？

实际上随着这几年远程办公的逐渐成熟，审计行业也在变化。

SOC2 Type II审计有两种形式：

第一类是传统形式的审计，就是审计公司派一小组 Auditor 到公司内观察，监督并收集各种资料和证据，经过至少三个月的观察期之后，完善撰写审计报告，并发布最终的审计报告

第二类算是比较新潮的审计方式，这类审计公司会借助自动化审计平台完成观察、监督和收集证据，同时 Auditor 也不需要到公司现场来亲自检查，只需要检查我提供的资料、文档和自动化合规平台收集到的证据；但是自动化的审计平台只能辅助收集证据，尽量简化和加速审计流程，它并不能取代 Auditor

从我的角度考虑，由于我司现在的状态（美国公司全远程办公；中国集中式+远程办公；整个安全部门只有我一个人，负责中国和每个两个大团队的全部安全需求），选择自动化平台 + 无需审计公司驻点的方案是最优的。

调研之后后，自动化的审计平台我选择了 Vanta Platform，自动化合规平台相较传统的SOC2审计流程大概有以下优势：

流程自动化:

传统审计: 传统的 SOC 2 审计通常是手动的，需要大量时间来准备所需的文件和证据，也需要投入大量的人力资源来管理和执行审计过程

Vanta: Vanta 提供了一个自动化的安全和合规性平台，可以简化准备 SOC 2 审计的过程，节省了搜索和准备证据的时间

寻找审计公司和Auditor:

传统审计: 在传统的审计中，各个公司通常需要自己寻找并选择合适的Auditor，这可能是一个耗时且复杂的过程

Vanta: Vanta 提供了一个名为“Vanta Seamless Audit”的服务，帮助用户找 Auditor ，节省了寻找 Auditor 的时间

审计时间线:

传统审计: 由于传统审计的手动性质，需要很长的启动期、窗口期和结束期时间来完成审计准备和审计过程

Vanta: 以我司为例吧，从准备阶段到最终的报告发布只用了四个月时间不到，这四个月包含SOC2的观察窗口期、四次touchpoint meeting、大概三五轮草案的修改和发布最终报告，所有的东西都搞定也就四个月而已。我咨询过EY和国内的立信，做SOC2 Type II没有半年肯定是搞不定的

用户体验:

传统审计: 传统审计由于有驻点的存在，会让整个组织感到压力山大，还需要处理大量的文件和证据，随时保持紧绷状态以应对 Auditor 的拷打

Vanta: Vanta 通过自动化的流程、资料收集、证据收集和对 Auditor 的支持，为用户提供了更流畅的审计体验。我只需要给 Auditor 在 Vanta 系统中开启一个账户，并给他们相应的权限，他们就可以审阅我提供的资料、Policy和evidence等

审计结果:

传统审计和 Vanta: 无论是传统审计还是通过 Vanta 进行的审计，最终目标都是获得 SOC 2 报告，证明组织符合相关的信任服务原则，这点 Vanta 实际上没啥优势，大家都一样

所以总的来说，Vanta 这类自动化平台提供了一种更简单、更快速、更有效率的方法来完成 SOC 2 审计，而传统的审计方法通常需要更多的时间和资源投入。

找审计公司

前文提到， Vanta 这类自动化合规平台是有帮客户寻找审计公司的服务的，我就是通过 Vanta 的服务，在一天内就找到了物美价廉的审计公司，这家公司叫 Prescient Assurance LLC. ，他们拥有 AICPA 的一切资格，同时还有做 Pentest 的资格（CREST），同时价格也很合理（几千美金）。

写到这里，做审计这条路上的全部问题都被我解决了，自动化合规平台解决了审计过程太复杂太烦人的问题；也找到了收费合理、背景合适的审计公司；接下来需要做的事儿很简单，在自动化合规平台上的证据栏内上传我们实施了有效控制措施的截图或者一些 Policy 或者日志，按照 Auditor 的要求给出他需要的任何文档、截图、照片、会议记录等等，定期和 Auditor 开会即可。

终于，在2023年1月1日，我成功带公司通过了 SOC 2 Type II 的审计，并拿到了 AICPA 的小蓝标：

也获得了 SOC2 Type II 的审计报告：

具体的实操细节就不说了，各家有各家的做法，而且各家遇到的问题也不一样，权当在这里给大家个思路，抛砖引玉！！！

PS：明明是去年做的我为什么现在才写呢？

因为去年做的时候我没写，做的太恶心了，今年又到了九月份，又要开始下一轮 SOC 2 Type II （保质期一年）的审计了...🥹

总结

不做不知道，一做吓一跳，经历过这一波，也算是摸清楚了安全合规了。

在我看来合规类工作确实是 "技术含量" 不算高，考验的更多是对组织的管理能力、协调能力与和人打交道的软实力，我个人觉得比写代码难太多了...

跑个题，之前的工作经历有逆向工程、安全研发、反黑产、蓝军、终端安全blabla之类的，基本上安全这行都做过一遍，央企（MYBK）、互联网大场（鹅）、小外企（现在的公司）也都呆过，硬着头皮做的事儿也多了去了

但我发现大部分工作都是看起来很高端很专业，当你尝试钻进去好好学一下的时候，就发现四个大字：

不 过 如 此