Evidence Collection Là Gì Trong SOC 2?
Khi một tổ chức chuẩn bị cho SOC 2 Type II audit, phần lớn công sức thực tế nằm ở việc thu thập và tổ chức evidence, bằng chứng chứng minh rằng các control đang hoạt động hiệu quả trong suốt observation period (thường kéo dài từ sáu tháng đến một năm). Không giống SOC 2 Type I chỉ đánh giá thiết kế tại một thời điểm, Type II yêu cầu doanh nghiệp chứng minh tính nhất quán theo thời gian. Điều này có nghĩa là evidence không thể chuẩn bị vội vào cuối kỳ, nó phải được thu thập liên tục, có hệ thống, và đủ granular để CPA firm có thể kiểm tra và xác nhận.
Bốn Nhóm Evidence Cốt Lõi
Auditor SOC 2 thường tổ chức evidence theo Trust Service Criteria (TSC), bao gồm Security, Availability, Confidentiality, Processing Integrity và Privacy. Tuy nhiên, từ góc độ thực thi, có bốn nhóm evidence mà hầu hết doanh nghiệp đều phải thu thập:
Access reviews là bằng chứng về việc ai có quyền truy cập vào hệ thống nào, và quyền đó có được review định kỳ không. Cụ thể bao gồm: danh sách user account theo từng hệ thống tại các thời điểm khác nhau trong observation period, log ghi nhận việc cấp quyền và thu hồi quyền, biên bản access review được ký duyệt bởi người có thẩm quyền, và bằng chứng xử lý các tài khoản của nhân viên đã nghỉ việc.
Change management tickets ghi lại quá trình thay đổi vào môi trường production. Auditor cần thấy rằng mọi thay đổi đều qua approval workflow, có testing trước khi deploy, và có người phê duyệt độc lập với người thực hiện. Tickets từ hệ thống như Jira, ServiceNow, hoặc bất kỳ ITSM nào doanh nghiệp đang dùng đều là evidence hợp lệ, miễn là chúng ghi lại đầy đủ approver và timestamp.
Training records chứng minh nhân viên đã hoàn thành các khóa đào tạo bảo mật bắt buộc. SOC 2 không yêu cầu một chương trình đào tạo cụ thể, nhưng doanh nghiệp cần chứng minh có chương trình, nhân viên biết về nó, và completion rate được theo dõi. Export từ LMS platform hoặc acknowledgment log đều dùng được.
Vulnerability scan reports thể hiện doanh nghiệp chủ động phát hiện và xử lý điểm yếu trong hạ tầng. Auditor thường muốn xem không chỉ báo cáo scan mà còn remediation timeline, nếu phát hiện critical vulnerability, doanh nghiệp xử lý trong bao lâu?
Những Sai Lầm Phổ Biến Khi Thu Thập Evidence
Một trong những vấn đề thường gặp nhất là evidence gaps: khoảng thời gian trong observation period không có bằng chứng nào. Ví dụ, nếu chính sách yêu cầu access review hàng quý nhưng chỉ tìm được hai trong bốn kỳ, đây là finding rõ ràng. Auditor không kỳ vọng sự hoàn hảo, nhưng họ kỳ vọng sự nhất quán và minh bạch.
Vấn đề thứ hai là evidence không đủ granular. Một screenshot chứng minh rằng access review "đã được thực hiện" không bằng một file export với danh sách cụ thể ai review ai, ngày nào, và kết quả thế nào. CPA firm cần đủ chi tiết để có thể re-perform hoặc verify control một cách độc lập.
Thứ ba là thiếu evidence trail cho ngoại lệ. Nếu có lần deploy không đi qua standard change management process vì khẩn cấp, điều đó không tự động là finding, nhưng doanh nghiệp cần có bằng chứng rằng ngoại lệ đó được ghi nhận, được phê duyệt bởi cấp có thẩm quyền, và được review sau sự kiện.
Tổ Chức Evidence Để Audit Diễn Ra Suôn Sẻ
Cách tổ chức evidence có tác động đáng kể đến thời gian và chi phí của audit. Auditor làm việc theo control matrix, họ có danh sách các control cần test và yêu cầu evidence tương ứng. Nếu doanh nghiệp đã map sẵn mỗi control với evidence location, fieldwork phase sẽ nhanh hơn nhiều.
Thực tế tốt là duy trì một evidence repository trung tâm, có cấu trúc thư mục rõ ràng theo control hoặc theo TSC category, và đặt tên file theo convention thống nhất bao gồm date. Khi auditor request sample, team chỉ cần pull từ repository thay vì đi tìm lại từ nhiều hệ thống khác nhau.
Câu hỏi thường gặp
Observation period bao lâu thì đủ cho SOC 2 Type II? Thông thường tối thiểu sáu tháng, nhưng nhiều doanh nghiệp chọn mười hai tháng cho audit đầu tiên để thể hiện tính nhất quán dài hơn.
Doanh nghiệp có cần lưu evidence gốc hay bản sao là đủ? Phụ thuộc vào loại evidence, nhưng về nguyên tắc auditor muốn evidence trực tiếp từ source system (export, screenshot có timestamp, log file) thay vì bản tóm tắt do nội bộ tự tạo.
Nếu một control không hoạt động trong một giai đoạn, có nên báo trước cho auditor không? Có, proactive disclosure thường dẫn đến kết quả tốt hơn so với auditor tự phát hiện. Doanh nghiệp có thể kèm theo mô tả về remediation đã thực hiện.
pTrackly giúp doanh nghiệp tự động hóa việc thu thập và tổ chức evidence liên tục trong suốt observation period, giảm đáng kể gánh nặng chuẩn bị audit thủ công.
pTrackly giúp bạn triển khai SOC 2 nhanh hơn với templates và evidence collection tự động.
Đặt Demo Miễn Phí