Quick Answer
SOC 2 är ett amerikanskt revisionsramverk från AICPA som beskriver hur ett tjänsteföretag hanterar kunddata utifrån fem Trust Services Criteria: säkerhet, tillgänglighet, integritet i bearbetning, sekretess och dataskydd. En SOC 2-rapport utfärdas av en oberoende revisor och är ett vanligt krav i B2B-avtal, särskilt för SaaS-leverantörer och hanterade tjänster . SOC 2 är inte en certifiering utan en attestrapport, vilket gör innehållet och omfattningen viktigt att förstå för köparen. Definition och omfattning SOC står för System and Organization Controls. SOC 2 fokuserar på kontroller hos tjänsteorganisationer som hanterar kunders information, till exempel molnplattformar, dataanalysleverantörer och hanterade säkerhetstjänster. Ramverket administreras av AICPA (American Institute of Certified Public Accountants) och bygger på ramverket Trust Services Criteria, senast uppdaterat 2017 med fortlöpande tolkningar. SOC 2 skiljer sig från SOC 1, som främst handlar om finansiell rapportering, och från SOC 3, som är en publik version utan tekniska detaljer.
Key Topics Covered
Gratis pentest
Få en kostnadsfri säkerhetsgranskning mot NIS2 & Cybersäkerhetslagen.
AnsökSOC 2 är ett amerikanskt revisionsramverk från AICPA som beskriver hur ett tjänsteföretag hanterar kunddata utifrån fem Trust Services Criteria: säkerhet, tillgänglighet, integritet i bearbetning, sekretess och dataskydd. En SOC 2-rapport utfärdas av en oberoende revisor och är ett vanligt krav i B2B-avtal, särskilt för SaaS-leverantörer och hanterade tjänster. SOC 2 är inte en certifiering utan en attestrapport, vilket gör innehållet och omfattningen viktigt att förstå för köparen.
Definition och omfattning
SOC står för System and Organization Controls. SOC 2 fokuserar på kontroller hos tjänsteorganisationer som hanterar kunders information, till exempel molnplattformar, dataanalysleverantörer och hanterade säkerhetstjänster. Ramverket administreras av AICPA (American Institute of Certified Public Accountants) och bygger på ramverket Trust Services Criteria, senast uppdaterat 2017 med fortlöpande tolkningar.
SOC 2 skiljer sig från SOC 1, som främst handlar om finansiell rapportering, och från SOC 3, som är en publik version utan tekniska detaljer. Rapporten är konfidentiell och delas vanligen under sekretessavtal.
De fem Trust Services Criteria
- Security (säkerhet). Obligatoriskt kriterium, kallat Common Criteria. Omfattar åtkomstkontroll, kryptering, övervakning och incidenthantering.
- Availability (tillgänglighet). Tjänstens drifttid, kapacitet, redundans och katastrofåterhämtning.
- Processing Integrity (integritet i bearbetning). Att systemet bearbetar data korrekt, fullständigt och i tid.
- Confidentiality (sekretess). Skydd av information som klassats som konfidentiell, exempelvis affärshemligheter och avtalsdata.
- Privacy (dataskydd). Hantering av personuppgifter i enlighet med organisationens egna åtaganden.
Endast Security är obligatoriskt. Övriga väljs utifrån vad kunderna efterfrågar och vilka åtaganden organisationen gjort.
Behöver ni hjälp med cloud?
Boka ett kostnadsfritt 30-minuters möte med en av våra specialister inom cloud. Vi analyserar ert behov och ger konkreta rekommendationer — helt utan förpliktelse.
Type I jämfört med Type II
| Aspekt | Type I | Type II |
|---|---|---|
| Vad granskas | Att kontroller är utformade vid en viss tidpunkt | Att kontroller fungerar effektivt över tid |
| Tidsperiod | En enskild dag | Oftast 6 till 12 månader |
| Bevisning | Beskrivningar och konfigurationer | Bevis från hela perioden, stickprov |
| Köparens preferens | Acceptabel som första steg | Standardkrav i mogna B2B-avtal |
Praktiska konsekvenser för köpare och leverantörer
För köpare är en aktuell Type II-rapport en kraftfull indikator på leverantörsmognad. Det är viktigt att läsa rapportens scope, undantag och eventuella avvikelser, inte bara revisorns slutbedömning. För leverantörer innebär SOC 2 ett kontinuerligt arbete med policyer, åtkomstkontroll, sårbarhetshantering, leverantörskedjegranskning och bevisinsamling. Många väljer att kombinera en intern SOC eller MDR-tjänst med övervakningsverktyg för att producera den tekniska bevisningen, se Cloud Security, SOC, MDR och Penetration Testing för en översikt.
SOC 2 jämfört med ISO 27001
ISO 27001 är en internationell standard som certifierar ett ledningssystem för informationssäkerhet (ISMS) och är vanligare i Europa. SOC 2 är en attestrapport och betonar operativa kontroller över en period. Många organisationer driver båda parallellt eftersom köpare i USA ofta förväntar sig SOC 2 medan europeiska upphandlingar oftare frågar efter ISO 27001 och anslutning till regelverk som NIS2.
Så hjälper Opsio
Opsio bygger och driver de tekniska kontroller som krävs för SOC 2-efterlevnad genom våra Cybersecurity Services och Managed Cloud Services. Vi etablerar loggning, övervakning, sårbarhetshantering och leverantörskontroll så att bevisinsamlingen är revisionsklar inför både Type I och Type II.
Vanliga frågor
Är SOC 2 en certifiering?
Nej. Det är en attestrapport utfärdad av en CPA-firma. Begreppet certifiering används ibland informellt, men det är revisorns rapport och slutsats som utgör beviset.
Hur lång tid tar det att bli SOC 2-redo?
För ett företag utan tidigare formellt informationssäkerhetsarbete tar Type I-förberedelse typiskt 3 till 6 månader, och en första Type II-rapport täcker oftast en period på 6 till 12 månader därefter. Mogna organisationer kan gå snabbare.
Vilka kontroller är obligatoriska?
Common Criteria under Security-kategorin är alltid med. Övriga kriterier väljs utifrån scope. Antalet konkreta kontroller varierar beroende på revisor och organisationens komplexitet, men ramverket bygger på principer snarare än en fast lista.
Behöver vi en intern SOC-funktion för SOC 2?
Inte nödvändigtvis. Ett managed SOC eller MDR kan leverera övervakning och incidenthantering som bevisning. Läs vår genomgång om huruvida ni behöver en SOC-tjänst.
Hur skiljer sig SOC 2 från NIS2 och GDPR?
SOC 2 är frivilligt och drivet av kundkrav, medan NIS2 och GDPR är obligatoriska EU-regelverk. SOC 2-kontroller överlappar med båda men ersätter dem inte. En leverantör kan vara SOC 2-attesterad och ändå behöva separata åtgärder för att uppfylla NIS2.
Written By
Group COO & CISO at Opsio
Fredrik is the Group Chief Operating Officer and Chief Information Security Officer at Opsio. He focuses on operational excellence, governance, and information security, working closely with delivery and leadership teams to align technology, risk, and business outcomes in complex IT environments. He leads Opsio's security practice including SOC services, penetration testing, and compliance frameworks.
Editorial standards: Denna artikel är skriven av molnpraktiker och granskad av vårt ingenjörsteam. Vi uppdaterar innehållet kvartalsvis. Opsio upprätthåller redaktionellt oberoende.