Seadot Cybersecurity
SV
SOC 2 Audit

SOC 2-auditen: hur den genomförs och vad revisorn granskar

En SOC 2-audit är den oberoende granskning som ligger till grund för SOC 2-rapporten. Det är här organisationens processer, kontroller och arbetssätt sätts på prov – och där revisorn avgör om kontrollerna är korrekt utformade och fungerar i praktiken.

Vad är en SOC 2-audit?

En SOC 2-audit är en strukturerad och standardiserad granskning av organisationens interna kontroller kopplade till:

  • Security (obligatoriskt)
  • Availability
  • Processing Integrity
  • Confidentiality
  • Privacy

Granskningen utförs av en oberoende revisionspartner och resulterar i en SOC 2 Type I- eller Type II-rapport.

 

Type I: kontroller vid en specifik tidpunkt
Type II: kontroller över tid (vanligtvis 6–12 månader)

Så går en SOC 2-audit till – steg för steg

Processen varierar något mellan revisionsfirmor, men följer i regel samma struktur.

  1. Planering och kickoff

Auditen inleds med ett planeringsmöte där revisorn går igenom:

  • omfattning och kriterier
  • tidsplan
  • vilka bevis som behövs
  • vilka kontroller som ingår
  • kommunikationsvägar under revisionen

Syftet är att skapa en gemensam förståelse av arbetet och säkerställa att organisationen är redo.

  1. Genomgång av systembeskrivning

Revisorn analyserar organisationens interna dokumentation, vanligtvis:

  • beskrivning av tjänsten/systemet
  • processer och rutiner
  • kontrollmatris
  • policyer
  • ansvarsfördelning
  • underleverantörer
  • arkitektur och teknisk miljö

Detta ligger till grund för att bedöma kontrollernas design.

  1. Testning av kontroller

Detta är kärnan i SOC 2 revision.

Revisorn testar kontrollerna genom:

  • Intervjuer – För att säkerställa att personal förstår och följer rutiner.
  • Genomgång av dokument och bevis

Exempel:

  • incidentloggar
  • åtkomstlistor
  • förändringshanteringsbiljetter
  • utbildningsbevis
  • policygodkännanden
  • säkerhetsloggar
  • Observationer – Revisorn kan be att få se hur kontroller utförs i praktiken.
  • Re-perform-analys – Revisorn återskapar delar av kontrollen för att verifiera resultatet.

Hur omfattande detta steg är beror på om revisionen är Type I eller Type II.

  1. Bedömning av design och effekt (Type I vs Type II)

Type I

Revisorn bedömer om kontrollerna:

  • finns på plats
  • är rimligt utformade
  • är implementerade

Denna typ av rapport görs vid en bestämd tidpunkt.

Type II

Revisorn bedömer:

  • design
  • implementering
  • effektivitet över tid

Det innebär att revisorn granskar bevis från hela observationsperioden (6–12 månader).

  1. Dokumentation av avvikelser

Om någon kontroll:

  • saknas
  • inte följs
  • inte fungerar som avsett
  • saknar tillräcklig evidens

… klassas det som en avvikelse.

Revisorn bedömer:

  • omfattning
  • påverkan
  • hur allvarlig avvikelsen är

Det behöver inte innebära en negativ rapport, men det lyfts i resultatet.

  1. Sammanställning av SOC 2-rapporten

När revisionen är klar sammanställs rapporten, som innehåller:

  • revisorns opinion
  • systembeskrivning
  • kontrollmål och kontroller
  • testning och resultat (Type II)
  • eventuella observationer

Rapporten levereras vanligtvis som en konfidentiell PDF och får delas med kunder, partners och upphandlande organisationer.

Vad granskar revisorn egentligen?

Förutom tekniska kontroller granskar revisorn även:

  1. Styrningsstrukturer

  • roller och ansvar
  • godkända policyer
  • ledningens engagemang

  1. Riskhantering

  • riskbedömningar
  • uppföljningar
  • dokumenterade åtgärder

  1. Driftmiljö och tekniska kontroller

  • åtkomsthantering
  • loggning och övervakning
  • säker konfiguration
  • patchning

  1. Processer och rutiner

  • incidenthantering
  • förändringshantering
  • onboarding/offboarding
  • utbildningar

  1. Underleverantörer

  • avtal och ansvar
  • due diligence
  • hantering av underleverantörers kontroller

Vanliga frågor inför en SOC 2-audit

Hur mycket tid kräver en audit?

Typiskt 1–3 veckor aktiv tid för Type I, och 4–6 veckor för Type II.

Hur många resurser behövs?

Nyckelpersoner från IT, säkerhet, drift och HR behövs vid intervjuer och bevisinsamling.

När är vi redo för revision?

När kontroller är dokumenterade, implementerade och kan visas med bevis.

Hur förbereder man sig på bästa sätt?

Organisationer som lyckas väl gör följande:

  • skapar ordning i dokumentation och loggar
  • gör en pre-audit eller intern kontrolltestning
  • säkerställer att ansvar och roller är tydliga
  • ser till att bevis finns för hela granskningsperioden
  • förankrar arbetet i ledningen

Det är ofta mer tidskrävande att samla bevis än att genomföra själva revisionen.

Behöver ni stöd inför en SOC 2-audit?

SOC 2-audit är en process som kräver både struktur och erfarenhet. Seadot hjälper gärna till med pre-audit, bevisinsamling, kontrollmatris, implementering och förberedelser inför granskning, så att revisionen blir trygg, effektiv och förutsägbar.

Seadot Cybersecurity

Enhanced digital resilience – when it really matters

Security Areas

Our Services

Contact

Drottninggatan 29, 111 51 Stockholm

Sidenvävargatan 17, 753 19 Uppsala

Honnörsgatan 14, 352 36 Växjö

+46 766011510

info@seadot.se

Org.nr 5591983977

Copyright 2025, Seadot. All Rights Reserved.