Seadot cybersecurity
EN
SOC 2 Krav

SOC 2-Krav

SOC 2-krav – detta behöver organisationer uppfylla

SOC 2 är idag en av de mest etablerade standarderna för att visa att en tjänsteorganisation arbetar strukturerat med informationssäkerhet, riskhantering och interna kontroller. Men vilka krav ställs egentligen för att uppnå SOC 2-compliance – och vad behöver organisationer konkret ha på plats?

 

Vad innebär SOC 2-krav?

SOC 2 bygger på Trust Services Criteria (TSC), ett internationellt ram verk som beskriver vad organisationer behöver visa upp för att kontrollerna ska anses vara tillräckliga. Ramverket består av fem kriterier:

  1. Security (obligatoriskt för alla SOC 2-rapporter)
  2. Availability
  3. Processing Integrity
  4. Confidentiality
  5. Privacy

För att uppfylla SOC 2-kraven måste organisationen ha dokumenterade processer och etablerade kontroller som följs i vardagen – och som kan verifieras med bevis.

 

De viktigaste kraven i SOC 2

Här sammanfattas de krav som nästan alla organisationer behöver leva upp till, oavsett verksamhet.

 

  1. En etablerad kontrollmiljö

SOC 2 kräver en tydlig styrning av säkerhetsarbetet, där ledningen har:

  • definierade roller och ansvar
  • fastställda policyer och riktlinjer
  • ett systematiskt arbetssätt för riskhantering
  • rutiner för utbildning och kompetens

En mogen kontrollmiljö är grunden för resten av SOC 2-arbetet.

 

  1. Åtkomstkontroller och identitetshantering (IAM)

Organisationen behöver visa att åtkomsten till system och data är:

  • kontrollerad
  • baserad på principen om least privilege
  • regelbundet granskad
  • skyddad med stark autentisering

Vanliga krav inkluderar:

  • MFA för administratörer
  • regelbundna access reviews
  • rutiner för onboarding och offboarding
  • behörighetsstyrning kopplat till roller (RBAC)

 

  1. Dokumenterade processer och säkerhetsrutiner

Revisorn granskar att organisationen har väldefinierade rutiner, exempelvis:

  • incidenthantering
  • förändringshantering
  • säkerhetsuppdateringar och patchning
  • loggning och övervakning
  • backup och återställning

Det räcker alltså inte att “göra rätt”, processerna måste vara dokumenterade, implementerade och efterlevas.

 

  1. Riskhantering och bedömningar

SOC 2 kräver att organisationen arbetar strukturerat med risker, inklusive:

  • årliga riskbedömningar
  • identifiering av hot och sårbarheter
  • uppföljning av risker och åtgärder
  • tydliga ägare för risker och processer

Riskhanteringen ska vara en integrerad del av verksamheten, inte ett engångsarbete inför revisionen.

 

  1. Teknisk säkerhet och skydd av system

Organisationer måste kunna visa att systemen är skyddade genom kontroller som:

  • regelbunden patchning
  • säker konfiguration
  • sårbarhetsskanning
  • övervakning av loggar och händelser
  • skydd mot intrång och skadlig kod

Det här är ofta en av de mest bevisintensiva delarna av revisionen.

 

  1. Loggning, övervakning och incidenthantering

SOC 2 ställer tydliga krav på att organisationen:

  • registrerar relevanta systemhändelser
  • övervakar viktiga loggar
  • hanterar incidenter strukturerat
  • dokumenterar orsaker, åtgärder och lärdomar

Incidenthanteringen är en av de delar kunder ofta tittar närmare på.

 

  1. Kontinuitets- och återställningsförmåga

Organisationen ska ha:

  • dokumenterad backupstrategi
  • återställningsplaner (DR/BCP)
  • tester av återställning
  • rutiner för att hantera driftstörningar

För kunder är detta avgörande för att bedöma tjänstens driftsäkerhet.

 

  1. Hantering av konfidentiell information

Om Confidentiality-kriteriet ingår måste organisationen visa:

  • dataklassificering
  • kryptering
  • kontroller för lagring, åtkomst och överföring
  • rutiner för radering och datalivscykel

Här tittar många upphandlare extra noggrant.

 

  1. Integritet i databehandling (Processing Integrity)

För verksamheter där korrekt databehandling är kritisk krävs:

  • validering av indata
  • felhantering
  • kvalitetskontroller
  • dokumenterade processer för dataflöden

Detta är särskilt relevant för transaktions- och automationslösningar.

 

  1. Personuppgiftshantering och Privacy-kontroller

Om Privacy-kriteriet ingår krävs kontroller för:

  • insamling, lagring och användning av personuppgifter
  • rättigheter för registrerade
  • dataminimering
  • retention och radering
  • incidenter som påverkar integritet

Det här kriteriet överlappar delvis med GDPR men innehåller egna krav.

 

Vad behöver organisationer ha på plats innan revision?

För att lyckas med SOC 2 är det viktigt att:

  • kontrollerna är implementerade (inte bara dokumenterade)
  • bevis finns tillgängliga för hela granskningsperioden (vid Type II)
  • processtäckningen är tydlig
  • ansvar är fördelat och förankrat
  • rutiner är uppdaterade och efterlevs

Brist på evidens eller otydlig dokumentation är två av de vanligaste orsakerna till avvikelser.

SOC 2 ställer krav på både styrning, teknik, riskhantering och praktisk efterlevnad. Det är inte ett engångsprojekt utan ett arbetssätt som stärker organisationens kontrollmiljö och skapar ett långsiktigt förtroende hos kunder och partners.

Genom att förstå och arbeta strukturerat med SOC 2-kraven kan organisationen skapa en stabil grund för säker drift, professionell leverans och fortsatta affärer.

 

Behöver ni hjälp att uppfylla SOC 2-kraven?

Om ni vill ha stöd med GAP-analys, implementering av kontroller eller förberedelser inför revision hjälper Seadot gärna till med en strukturerad och trygg process, från nuläge till färdig SOC 2-rapport.

 

Seadot cybersecurity

Förstärkt digital motståndskraft – när det verkligen gäller

Säkerhetsområden

Våra tjänster

Kontakt

Drottninggatan 29, 111 51 Stockholm

Sidenvävargatan 17, 753 19 Uppsala

Honnörsgatan 14, 352 36 Växjö

+46 766011510

info@seadot.se

Org.nr 5591983977

Copyright 2025, Seadot. All Rights Reserved.