Kiểm toán viên CPA không chỉ hỏi "bạn có làm X không". Họ yêu cầu bằng chứng chứng minh bạn đã làm X, và đã làm nhất quán trong suốt observation period (6-12 tháng với SOC 2 Type II).

Bài này liệt kê các loại evidence cụ thể mà kiểm toán viên thường yêu cầu theo từng Trust Services Criteria, cùng với cách thu thập từng loại.


Cách kiểm toán viên sử dụng evidence

Với SOC 2 Type II, kiểm toán viên lấy mẫu trong suốt observation period, không chỉ tại thời điểm audit. Nếu observation period là 6 tháng (ví dụ: tháng 1 đến tháng 6), kiểm toán viên có thể yêu cầu:

  • Access review từ tháng 2
  • Security training completion record của nhân viên onboard tháng 4
  • Change management approval cho deployment ngày 15 tháng 3
  • Vulnerability scan report từ tháng 5

Không có bằng chứng cho thời điểm được yêu cầu = control đó không được coi là "operating effectively" trong kỳ đó.

Đây là lý do thu thập evidence phải là quy trình liên tục, không phải làm gấp trước audit.


CC, Security (bắt buộc trong mọi SOC 2 report)

Security là tiêu chí duy nhất bắt buộc. Gồm 9 nhóm Common Criteria (CC1 đến CC9).

CC1, Control Environment

Evidence cần có:

  • Organizational chart thể hiện reporting lines
  • Job descriptions cho các vị trí có trách nhiệm bảo mật
  • Board/leadership meeting minutes đề cập đến security oversight
  • Code of conduct được nhân viên ký

CC2, Communication and Information

Evidence cần có:

  • Security policy (phiên bản hiện hành, ngày phê duyệt, chữ ký người có thẩm quyền)
  • Bằng chứng phổ biến policy đến nhân viên (email, training record)
  • Incident response plan
  • Vendor management policy

CC3, Risk Assessment

Evidence cần có:

  • Risk assessment methodology document
  • Risk register (cập nhật trong kỳ audit)
  • Bằng chứng risk assessment đã được review và phê duyệt
  • Management sign-off trên risk treatment decisions

CC4, Monitoring Activities

Evidence cần có:

  • Security monitoring alerts và log review records
  • Vulnerability scan reports (định kỳ trong observation period)
  • Penetration test report (thường yêu cầu ít nhất 1 lần/năm)
  • Exception reports và cách xử lý

CC5, Control Activities

Evidence cần có:

  • Change management records: mọi production deployment có ticket approval
  • Separation of duties documentation
  • Backup và recovery test records

CC6, Logical and Physical Access Controls

Đây thường là nhóm yêu cầu nhiều evidence nhất.

Evidence cần có:

  • User access list (production, database, cloud accounts) tại nhiều thời điểm trong kỳ
  • Access review records, bằng chứng review định kỳ (thường quarterly)
  • Onboarding checklist với ngày cấp quyền truy cập
  • Offboarding checklist với ngày thu hồi quyền truy cập, kiểm toán viên thường yêu cầu sample ngẫu nhiên
  • MFA enforcement evidence (screenshot cấu hình, export từ identity provider)
  • Privileged access management records

CC7, System Operations

Evidence cần có:

  • Incident log, tất cả incidents trong kỳ, kể cả minor
  • Incident response testing record
  • System availability metrics
  • Backup completion logs

CC8, Change Management

Evidence cần có:

  • Pull request / code review records với approvals
  • Deployment approval workflow (ticket, email, hoặc tool record)
  • Production change log
  • Emergency change records với post-implementation review

CC9, Risk Mitigation

Evidence cần có:

  • Vendor risk assessments cho third-party services
  • Business continuity / disaster recovery plan
  • BCP/DR testing records

A, Availability (nếu chọn tiêu chí này)

Chọn tiêu chí Availability khi hệ thống có SLA với khách hàng về uptime.

Evidence cần có:

  • Uptime monitoring reports (với số liệu cụ thể trong observation period)
  • Incident reports liên quan đến downtime
  • Capacity planning documentation
  • Bằng chứng SLA được đáp ứng (hoặc lý giải khi không đáp ứng)
  • DR test records

PI, Processing Integrity (nếu chọn tiêu chí này)

Chọn khi hệ thống xử lý giao dịch tài chính hoặc dữ liệu cần tính toàn vẹn cao.

Evidence cần có:

  • Input validation logs
  • Error rate monitoring
  • Reconciliation records (với financial data)
  • Data quality checks

C, Confidentiality (nếu chọn tiêu chí này)

Chọn khi tổ chức cam kết bảo mật dữ liệu khách hàng trong hợp đồng.

Evidence cần có:

  • Encryption configuration (at rest và in transit)
  • Data classification policy
  • NDA records với nhân viên và vendor
  • Data retention và deletion records

P, Privacy (nếu chọn tiêu chí này)

Chọn khi xử lý personal information theo commitments cụ thể.

Evidence cần có:

  • Privacy policy (công khai)
  • Data processing records
  • Consent management records
  • Data subject request handling records
  • Privacy training records

Những loại evidence thường bị thiếu khi audit

Offboarding records đầy đủ. Kiểm toán viên thường yêu cầu sample ngẫu nhiên của nhân viên rời công ty trong kỳ. Nếu không có bằng chứng thu hồi quyền truy cập trong 24 giờ, control CC6 sẽ có finding.

Access review với timestamp. Chụp màn hình user list không đủ. Cần bằng chứng review đã diễn ra: ai review, khi nào, quyết định gì được đưa ra.

Change management với approvals. Deployment trực tiếp lên production không qua approval process là finding nghiêm trọng. Mọi change cần có bằng chứng approval từ người khác (không phải người deploy tự approve).

Vendor assessment. Kiểm toán viên sẽ hỏi về các third-party services bạn dùng. Nếu dùng Stripe, AWS, GitHub, cần bằng chứng đã đánh giá bảo mật của họ (thường là lưu SOC 2 report của họ và log ngày review).

Security training completion. Không chỉ "đã gửi training link". Cần completion record với tên người hoàn thành và ngày.


Thu thập evidence thủ công vs tự động

Thu thập evidence thủ công, chụp screenshot, export CSV, lưu vào Google Drive, mất từ 10 đến 20 giờ mỗi tuần trong observation period. Nhân viên kỹ thuật phải ngừng việc phát triển sản phẩm để làm việc này.

Vấn đề lớn hơn: bằng chứng thủ công dễ có gaps. Nếu tuần thứ 3 tháng 4 không có ai nhớ chạy vulnerability scan, khoảng trống đó sẽ xuất hiện trong audit.

Nền tảng GRC tự động thu thập nhiều loại evidence từ các hệ thống kết nối (AWS, GitHub, Okta, Google Workspace). Mỗi ngày, hệ thống kiểm tra controls và ghi lại trạng thái. Khi kiểm toán viên yêu cầu "show me MFA configuration on March 15", bằng chứng đã có sẵn với timestamp.

pTrackly kết nối với các hệ thống phổ biến và tự động hóa evidence collection cho SOC 2 Security criterion và các tiêu chí bổ sung. Đặt demo để xem evidence nào có thể được tự động thu thập từ stack kỹ thuật của bạn.

Thẻ:
SOC 2evidenceTrust Services CriteriaSOC 2 Type IIkiểm toán SOC 2SOC 2 Việt Nam