SOC 2 · Hub

SOC 2 Readiness Checklist: Chuẩn Bị Trước Audit

SOC 2 Readiness Checklist: Chuẩn Bị Trước Audit

Trước khi mời CPA firm vào thực hiện SOC 2 audit, hầu hết tổ chức cần trải qua một giai đoạn chuẩn bị, thường được gọi là readiness assessment. Đây là thời điểm để rà soát xem các control hiện tại đã đáp ứng yêu cầu của Trust Service Criteria (TSC) chưa, phát hiện gap trước khi auditor phát hiện, và thiết lập evidence collection đủ cho observation period. Checklist dưới đây tổng hợp các nhóm control cốt lõi mà phần lớn công ty SaaS và fintech Việt Nam cần chuẩn bị khi target SOC 2 Type II.

Access Controls

Access control là nhóm control xuất hiện dày đặc nhất trong SOC 2, thuộc cả Security TSC lẫn các criteria bổ sung như Availability và Confidentiality.

  • Least privilege: Mỗi user, bao gồm cả nhân viên nội bộ, chỉ có quyền truy cập đúng những gì cần thiết cho công việc. Cần có quy trình onboarding và offboarding tài khoản rõ ràng, có log.
  • Multi-factor authentication (MFA): Bắt buộc với tất cả hệ thống production, cloud console, và VPN. Auditor sẽ kiểm tra cả policy lẫn evidence thực tế.
  • Access review định kỳ: Tối thiểu mỗi quý hoặc khi có thay đổi nhân sự, cần có bằng chứng review, không chỉ là policy trên giấy.
  • Privileged access management: Tài khoản admin/root cần được giám sát riêng, sử dụng just-in-time access nếu có thể, và mọi session cần được log.

Gap phổ biến nhất: công ty có policy nhưng thiếu evidence rằng policy được thực thi thực sự. Auditor tìm kiếm cả hai.

Logging & Monitoring

SOC 2 yêu cầu tổ chức phát hiện và phản ứng với các sự kiện bảo mật, điều này không thể làm được nếu không có hệ thống logging và monitoring đủ mạnh.

  • Centralized log management: Log từ infrastructure, application, và security tools cần được tập trung, bảo vệ khỏi bị xóa/sửa, và lưu giữ trong khoảng thời gian phù hợp.
  • Alerting rules: Cần có alert cho các sự kiện quan trọng, failed login attempts bất thường, privilege escalation, data export lớn bất thường. Alert cần được routing đến đúng người.
  • Log review: Không chỉ thu thập log mà cần có bằng chứng rằng log được review định kỳ, ít nhất với các sự kiện high-severity.
  • Retention policy: Policy cần nêu rõ log được giữ bao lâu và lý do, cân bằng giữa yêu cầu audit, compliance, và chi phí lưu trữ.

Một điểm hay bị bỏ qua: log không chỉ dành cho security incidents mà còn là primary evidence source cho auditor trong observation period.

Change Management

Change management controls đảm bảo mọi thay đổi lên production, code, infrastructure, configuration, đều được kiểm soát, test, và phê duyệt trước khi deploy.

  • Separation of duties: Người viết code không tự merge và deploy production. Cần có peer review và approval workflow rõ ràng, có thể enforce qua GitHub/GitLab branch protection.
  • Testing trước khi deploy: CI/CD pipeline cần bao gồm automated testing. Kết quả test cần được lưu lại như một phần của change record.
  • Change record: Mỗi thay đổi lên production cần có record, ai yêu cầu, ai approve, khi nào deploy, và rollback plan là gì nếu có sự cố.
  • Emergency change procedure: Cần có quy trình riêng cho hotfix khẩn cấp, kèm yêu cầu review sau khi triển khai.

Vendor Management & Incident Response

Vendor management thường bị underestimate trong SOC 2 prep. Nếu công ty sử dụng third-party service xử lý dữ liệu khách hàng, cloud provider, payment processor, email service, thì cần có:

  • Inventory danh sách vendor với phân loại mức độ rủi ro
  • Bằng chứng đã review SOC 2 report hoặc security questionnaire của vendor định kỳ
  • Data processing agreements (DPA) với vendor liên quan đến dữ liệu người dùng

Incident response cần vượt qua mức "có incident response plan trong Google Drive". Auditor muốn thấy:

  • Plan được test, tabletop exercise hoặc simulation, có record
  • Vai trò và escalation path rõ ràng
  • Định nghĩa rõ "incident" là gì và ngưỡng nào cần notify khách hàng
  • Post-incident review được thực hiện và ghi lại

Câu Hỏi Thường Gặp

Readiness assessment khác SOC 2 audit như thế nào? Readiness assessment là tự đánh giá nội bộ (hoặc thuê tư vấn độc lập) để phát hiện gap trước audit chính thức. SOC 2 audit do licensed CPA firm thực hiện và cho ra SOC 2 report có giá trị pháp lý.

Observation period kéo dài bao lâu? SOC 2 Type II thường có observation period từ vài tháng đến một năm. Giai đoạn dài hơn cho thấy control hoạt động ổn định theo thời gian, không chỉ tại một thời điểm.

Bắt đầu từ đâu nếu công ty chưa có control nào? Ưu tiên Security TSC trước, đây là criteria bắt buộc cho mọi SOC 2 report. Sau khi Security controls ổn định, mở rộng sang Availability, Confidentiality tùy theo yêu cầu của khách hàng.


Nếu bạn đang trong giai đoạn chuẩn bị SOC 2 và cần hệ thống hóa evidence collection, tự động hóa access review, hoặc theo dõi control gaps theo từng TSC category, pTrackly có thể hỗ trợ team của bạn từ bước readiness đến khi sẵn sàng mời auditor.

pTrackly giúp bạn triển khai SOC 2 nhanh hơn với templates và evidence collection tự động.

Đặt Demo Miễn Phí

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo