Seadot cybersecurity
SV
SOC 2-granskning

Så förbereder du organisationen för en SOC 2-granskning – steg för steg

Varför är förberedelsen avgörande?

En SOC 2-granskning handlar inte bara om teknik, den handlar om struktur, kultur och dokumentation. Företag som lyckas bäst är de som planerar tidigt och bygger upp en intern förståelse för vad revisionen innebär.

Att förbereda sig rätt gör att processen går snabbare, billigare och smidigare och att ni får en rapport som stärker ert varumärke snarare än blottar brister.

Vad är en SOC 2-granskning?

En SOC 2-granskning är en oberoende revision av en revisor som bedömer hur väl en organisation uppfyller kontroller inom fem kriterier (Trust Service Criteria):

  1. Security – skydd mot obehörig åtkomst, ändringshantering, system drift
  2. Availability – tillgång till system och data
  3. Processing Integrity – korrekt databehandling
  4. Confidentiality – skydd av känslig information
  5. Privacy – hantering av personuppgifter

Det är endast Security kriteriet som är obligatoriskt medan de andra väljs ut baserat på relevans av tjänsten som företaget levererar. Alla SOC2 fgranskningar innehåller också COSO ramverket som standard. COSO fungerar som det underliggande ramverket för Trust Services Criteria i SOC 2. Det ger den strukturella grunden för att utforma, implementera och utvärdera interna controller och består av sex stycken komponenter. 

Syftet är att bevisa för kunder, partners och tillsynsmyndigheter att ni hanterar information säkert och pålitligt.

Steg 1: Definiera syftet och omfattningen

Börja med att svara på frågan:

Varför gör vi en SOC 2-granskning – och vad vill vi visa?

Definiera:

  • Vilka system, processer och avdelningar som ska ingå
  • Vilken typ av rapport som behövs (Type I eller Type II)
  • Vilka Trust Service Criteria som är relevanta

Om man aldrig gjort en revision tidigare kan man börja med en Type I (översiktlig och görs vid en specifik tidspunkt) och sedan gå vidare till Type II (testad över tid).

Steg 2: Gör en intern nulägesanalys

Kartlägg vilka kontroller som redan finns, och var ni har luckor.
Det kan handla om:

  • Lösenordspolicy, accesshantering och kryptering
  • Incidenthantering och backup-rutiner
  • Leverantörssäkerhet
  • Loggning, övervakning och riskhantering

Ett internt gap-analysprojekt ger en tydlig bild av vad som måste förbättras innan revisorn kommer in.

Steg 3: Utse ansvariga och skapa en projektgrupp

SOC 2 påverkar flera delar av organisationen – IT, juridik, HR, ledning.
Utse en projektledare eller compliance-ansvarig som samordnar arbetet.

En bra grupp består ofta av:

  • CISO eller IT-chef – teknisk kontroll och säkerhetsnivåer
  • Compliance officer – styrning och efterlevnad
  • VD/ledning – beslutsstöd och resurser
  • Externa rådgivare eller revisionsbyrå – metodstöd

Behandla SOC 2 som ett förändringsprojekt, inte ett dokumentprojekt.

Steg 4: Dokumentera processer och rutiner

En vanlig fallgrop är att säkerheten finns, men inte är dokumenterad.
Revisorn granskar inte bara att ni gör rätt, utan att ni kan visa det.

Ni bör ha:

  • Informationssäkerhetspolicy
  • IT- och accessriktlinjer
  • Incident- och riskhanteringsrutiner
  • Roller och ansvar för säkerhet
  • Loggar och bevis på att kontroller faktiskt genomförs

Dokumentation är det som skiljer “god vilja” från “verifierad kontroll”.

Steg 5: Genomför åtgärder och intern testning

När gapen är identifierade, åtgärda dem.
Det kan innebära:

  • Uppdatering av system och kryptering
  • Införande av flerfaktorsautentisering
  • Interna säkerhetsövningar
  • Förbättrade rutiner för access och incidentrapportering

Genomför interna tester innan revisorn gör sin bedömning. Många gör även en förhandsgranskning (readiness assessment) tillsammans med revisorn för att säkerställa att allt är i ordning.

Steg 6: Välj revisor och starta granskningen

SOC 2-rapporter får endast utfärdas av auktoriserade revisorer (CPA-firmor).
Revisorn granskar:

  • Dokumentation
  • Bevis på genomförda kontroller
  • Processer över tid (för Type II)

Processen tar ofta 3–6 månader beroende på omfattning och mognad.

Steg 7: Granskning, rapport och förbättring

När revisionen är klar får ni en SOC 2-rapport som visar:

  • Beskrivning av era interna processer
  • Vilka kontroller ni har
  • Hur de testats
  • Resultaten och eventuella rekommendationer

Använd rapporten som ett levande verktyg, förbättra processer kontinuerligt och uppdatera revisionen årligen.

Fem vanliga misstag att undvika

  1. Att börja för sent – revisorn kan inte “lösa” brister i efterhand, typ II testar dessutom kontrollerna över en tidsperiod, därför kan tidigare brister också uppdagas.
  2. Att underskatta dokumentationskraven.
  3. Att exkludera icke-tekniska delar (t.ex. HR, utbildning, policyer).
  4. Att sakna ledningsstöd.
  5. Att inte följa upp efter revisionen – SOC 2 är en pågående process, inte ett engångsprojekt.

Fördelar med att vara väl förberedd

  • Kortare revisionstid
  • Lägre kostnader
  • Mindre risk för avvikelser
  • Bättre intern ordning
  • Större kundförtroende

Kort sagt: en bra förberedelse gör SOC 2 till en investering, inte en börda.

Vanliga frågor om SOC 2-granskning

Hur lång tid tar en SOC 2-revision?

Förberedelserna tar vanligtvis 2–3 månader, och revisionen i sig 3–6 månader. Det beror på om du väljer Type I eller Type II, vilken tidsperiod du önskar täcka in och hur redo organisationen är från start.

 

Måste man vara ISO 27001-certifierade först?

Nej, SOC 2 och ISO 27001 är separata ramverk, men de kompletterar varandra.
Om du redan har ISO 27001 går SOC 2 ofta snabbare, många kontroller överlappar och en ISO 27001 certifiering skapar en god grund för SOC 2.

 

Vad kostar en SOC 2-granskning?

Priset beror på företagets storlek och omfattning, men räkna med 200 000–800 000 kr.
Förberedelser och intern struktur påverkar kostnaden mer än själva revisionen.

 

Hur länge gäller en SOC 2-rapport?

Vanligtvis i 12 månader. Därefter behövs en ny revision (ofta Type II) för att visa fortsatt efterlevnad.

 

Vad händer om revisorn hittar brister?

De noteras i rapporten som “observations” eller “exceptions”.
Det är inte ett misslyckande – utan en chans att förbättra. De flesta kunder värdesätter transparens mer än perfektion. Kunden får även möjlighet att möta observationerna i en egen del i rapporten där man kan beskriva vad som skett eller planer på att förändra processen framåt.

 

En SOC 2-granskning är ett kraftfullt verktyg för att bygga förtroende men bara om du förbereder dig ordentligt. Genom att planera, dokumentera och involvera hela organisationen får du en process som inte bara ger en rapport utan förbättrar hela din säkerhetskultur.

 

SOC 2 är inte slutet på en resa, utan början på ett mer systematiskt och trovärdigt säkerhetsarbete.

Seadot cybersecurity

Enhanced digital resilience – when it really matters

Security Areas

Our Services

Contact

Drottninggatan 29, 111 51 Stockholm

Sidenvävargatan 17, 753 19 Uppsala

Honnörsgatan 14, 352 36 Växjö

+46 766011510

info@seadot.se

Org.nr 5591983977

Copyright 2025, Seadot. All Rights Reserved.