SOC 2 гэж юу вэ?

SOC 2 (System and Organization Controls 2) нь байгууллагын мэдээллийн аюулгүй байдал, нууцлал, өгөгдлийн бүрэн бүтэн байдал, системийн хүртээмж, хувийн мэдээллийн хамгаалалт зэрэг Trust Services Criteria (TSC)-ийн дагуу дотоод хяналтын орчныг үнэлдэг олон улсын аудитын стандарт юм. SOC 2 нь AICPA‑ийн (American Institute of CPAs) шаардлагад үндэслэдэг бөгөөд cloud, SaaS, IT үйлчилгээ үзүүлэгч байгууллагуудын мэдээллийн аюулгүй байдлын түвшинг гуравдагч этгээдээр баталгаажуулдаг.

 

Яагаад SOC 2 хэрэгтэй вэ?

✅ Мэдээллийн аюулгүй байдлыг баталгаажуулах. SOC 2 нь байгууллагын систем, өгөгдөл, үйлчилгээнд аюулгүй байдлын хяналт бодитоор хэрэгжиж буйг нотолдог.

✅ Харилцагчийн итгэлийг нэмэгдүүлэх. SaaS болон cloud үйлчилгээ үзүүлэгчдэд SOC 2 бол хэрэглэгчийн итгэлийг авах хамгийн чухал нотолгоо.

✅ Зах зээлийн өрсөлдөх чадварыг нэмэгдүүлэх. Олон улсын түншлэл, enterprise‑зэрэглэлийн гэрээ байгуулахад SOC 2 шаардлага болдог.

✅ Эрсдэлийг бууруулах. Кибер халдлага, мэдээлэл алдагдал, системийн доголдлын эрсдэлийг бууруулдаг.

✅ Стандарт, зохицуулалтын шаардлага хангах. ISO 27001, GDPR, HIPAA зэрэг бусад стандарттай уялдаатай.

 

SOC 2‑ийн ач холбогдол

✅ Аюулгүй байдлын хяналтын орчныг баталгаажуулна. Trust Services Criteria‑ийн дагуу хяналт бодитоор ажиллаж буйг нотолдог.

✅ Ил тод байдал нэмэгдэнэ. Удирдлагад хяналтын орчны бодит үнэлгээ, нотолгоо бүрдэнэ.

✅ Эрсдэлийн удирдлага сайжирна. Сул тал, доголдлыг илрүүлж, сайжруулах боломж олгодог.

✅ Харилцагч, түншийн итгэлийг нэмэгдүүлнэ. Enterprise түвшний хэрэглэгчид SOC 2‑ийг гэрээний үндсэн шаардлага болгодог.

✅ Бизнесийн тасралтгүй ажиллагааг хамгаална. Системийн аюулгүй байдал, хүртээмж, найдвартай ажиллагааг баталгаажуулдаг.

​

Хэн SOC 2 хэрэгжүүлэх ёстой вэ?

✅ Cloud үйлчилгээ үзүүлэгчид. AWS‑д суурилсан үйлчилгээ, hosting, managed services.

✅ SaaS үйлчилгээ үзүүлэгчид. CRM, ERP, HRM, fintech, healthtech, edtech зэрэг бүх SaaS платформ.

✅ IT үйлчилгээ үзүүлэгчид. Managed IT services, Data center, Security operations, Software development

✅ Хэрэглэгчийн өгөгдөл, хувийн мэдээлэл, бизнесийн чухал мэдээлэл хадгалдаг байгууллага. PII, PHI, PCI өгөгдөлтэй ажилладаг бүх байгууллага. 

​

SOC 2‑ийн үндсэн бүтэц

 

SOC 2 аудит нь хоёр төрөлтэй:

Type I — Design Effectiveness - Тодорхой огнооны байдлаар хяналтын зохион байгуулалт зөв эсэхийг үнэлнэ.

Type II — Operating Effectiveness - Хяналт тодорхой хугацаанд (ихэвчлэн 3–12 сар) бодитоор ажилласан эсэхийг үнэлнэ.

 

SOC 2 аудитын үндсэн үе шат

1. Scope Definition (Хамрах хүрээ тодорхойлох) Trust Services Criteria‑ийн аль хэсгийг хамруулахыг тодорхойлох.

2. Readiness Assessment. Одоогийн хяналтын орчныг үнэлж, gap‑ийг тодорхойлох.

3. Control Implementation. Бодлого, журам, техник хамгаалалт, лог, мониторинг зэрэг хяналтыг хэрэгжүүлэх.

4. Evidence Collection. Хяналтын нотолгоо (logs, screenshots, configs, reports) цуглуулах.

5. Auditor Testing. Гуравдагч этгээд хяналтын үр нөлөөг шалгах.

6. Reporting. SOC 2 Type I/II тайлан гаргах.

​

SOC 2‑ийн үндсэн чиглэл (Trust Services Criteria)

SOC 2 нь дараах 5 үндсэн шалгуурт суурилдаг:

✅ 1. Security (Аюулгүй байдал) Хандалтын хяналт, firewall, intrusion detection, authentication, monitoring.

✅ 2. Availability (Хүртээмж) - Системийн тасралтгүй ажиллагаа, SLA, backup, DR/BCP.

✅ 3. Processing Integrity (Боловсруулалтын бүрэн бүтэн байдал) Өгөгдөл зөв, бүрэн, цаг тухайд нь боловсруулагдаж буй эсэх.

✅ 4. Confidentiality (Нууцлал) Мэдээллийн ангилал, encryption, access restriction.

✅ 5. Privacy (Хувийн мэдээллийн хамгаалалт) PII мэдээллийн цуглуулалт, ашиглалт, хадгалалт, устгалын хяналт.