Seadot cybersecurity
EN
SOC 2 rapport

SOC 2-rapport

SOC 2-rapport: format, struktur och vad kunder tittar på

SOC 2-rapporten är slutresultatet av hela SOC 2-processen. Den fungerar som ett officiellt intyg från en oberoende revisionspartner om att era kontroller är korrekt utformade – och för Type II även att de fungerar effektivt över tid.

Men vad innehåller en SOC 2-rapport? Hur är den strukturerad? Och vad är det egentligen kunder och partners fokuserar på när de läser den?

 

Vad är en SOC 2-rapport?

En SOC 2-rapport är ett bestyrkandedokument som beskriver:

  • organisationens tjänst och kontrollmiljö
  • vilka kriterier som omfattas
  • hur kontroller är utformade
  • hur kontroller fungerar i praktiken (Type II)
  • revisorns slutsats och eventuella avvikelser

Syftet är att ge kunder och partners trygghet i att organisationen hanterar information, risker och drift på ett strukturerat och säkert sätt.

 

SOC 2-rapportens innehåll

En standardiserad SOC 2-rapport består av flera tydliga sektioner. Här är en genomgång av varje del och vad den innebär.

 

  1. Sammanfattning från revisorn (Auditor’s Opinion)

Detta är en av de mest lästa delarna av rapporten.

Revisorn tar ställning till om:

  • kontrollerna är korrekt utformade
  • beskrivningen av systemet är korrekt
  • kontrollerna har fungerat effektivt (Type II)
  • eventuella avvikelser påverkar slutsatsen

Opinions kan vara:

  • Unqualified Opinion — allt väsentligt uppfyllt (det man vill ha)
  • Qualified Opinion — vissa avvikelser finns
  • Adverse Opinion — väsentliga brister
  • Disclaimer — revisorn kan inte uttala sig (sällsynt)

 

  1. Ledningens beskrivning av systemet

Detta avsnitt förklarar vad som faktiskt ingår i rapporten. Det brukar inkludera:

  • tjänsten eller systemet som granskas
  • organisationens processer och ansvarsområden
  • hur infrastrukturen ser ut (applikationer, hosting, nätverk)
  • vilka säkerhetsåtgärder som används
  • vilka Trust Services Criteria som omfattas
  • vilka underleverantörer som används och hur de hanteras

Denna del är viktig för att kunder ska förstå hur tjänsten fungerar i praktiken.

 

  1. Kontrollmål och kontroller

Här listas alla kontroller som ingår i SOC 2-rapporten. Det är den mest detaljerade delen av rapporten och brukar innehålla:

  • kontrollens mål
  • beskrivning av varje kontroll
  • hur kontrollen stödjer relevant TSC-kriterium
  • ansvarsfördelning (CUEC)

Exempel:

  • “Åtkomst till system beviljas baserat på ”principle of least privilige”.”
  • “Organisationen loggar och övervakar alla administrativa inloggningar.”
  • “Incidenter utreds, dokumenteras och rapporteras enligt fastställd process.”

 

  1. Revisorns testning och resultat (endast Type II)

För en SOC 2 Type II-rapport beskriver revisorn:

  • hur varje kontroll har testats
  • vilken period som omfattas
  • vilka bevis som granskats
  • om kontrollen fungerat effektivt
  • eventuella avvikelser

Det här är avsnittet som ger kunder störst insikt i hur ni faktiskt arbetar i vardagen.

 

  1. Kompletterande information

Det sista avsnittet innehåller fördjupande detaljer, till exempel:

  • organisationens egna bilagor
  • policys och processutdrag
  • övrig information som hjälper mottagaren förstå kontrollmiljön

Denna del varierar mest mellan olika organisationer och är inget som revisorn granskar utan ledningen bestämmer själva vad man vill inkludera.

 

Vad tittar kunder och upphandlande organisationer på?

Trots att en SOC 2-rapport kan vara omfattande är det några delar som nästan alla kunder fokuserar på.

 

  1. Revisorns slutsats

Framför allt letar man efter:

  • Unqualified Opinion
  • Om avvikelser finns, hur allvarliga de är
  • Om några kontroller saknas

En ren rappart är ett starkt förtroendebesked.

 

  1. Kontroller som rör säkerhet och drift

Kunder granskar ofta:

  • åtkomstkontroller
  • incidenthantering
  • loggning och övervakning
  • förändringshantering
  • kontinuitet och återställning

Detta är kärnan i leverantörsriskhantering.

 

  1. Granskningsperiod (för Type II)

En längre period ger starkare evidens.
6 månader är minimum, 12 månader är vanligt hos mogna organisationer.

 

  1. Eventuella observationer eller brister

Kunder vill veta:

  • hur många avvikelser som finns
  • hur allvarliga de är
  • vilka kontrollområden som påverkas
  • om åtgärder redan är implementerade

Transparens är viktigt, ofta mer än perfekta resultat.

 

  1. Omfattning och inkludering av underleverantörer

Fler och fler kunder fokuserar på hur leverantörer hanterar:

  • molntjänster
  • hostingpartners
  • andra SaaS-komponenter
  • roller och ansvar

Tydlighet i detta avsnitt stärker förtroendet.

 

Hur används en SOC 2-rapport i praktiken?

De vanligaste användningsområdena är:

  1. Svar på säkerhetsfrågeformulär
    En SOC 2 kan ofta ersätta långa IT-enkäter.

  1. Underlag i upphandlingar
    Många företag kräver att leverantörer visar kontroller och processer.

  1. Bevis på mognad och styrning
    Rapporten visar att organisationen arbetar strukturerat med risker och säkerhet.

  1. Stöd i intern utveckling
    Type II-resultat används ofta för att förbättra processer och efterlevnad.

 

Behöver ni stöd inför er SOC 2-rapport?

Vill ni förbereda er för revision, stärka kontrollmiljön eller få hjälp med dokumentation och evidensinsamling kan Seadot stötta er genom hela processen, från förberedelser till dialog med revisorer.

 

Seadot cybersecurity

Förstärkt digital motståndskraft – när det verkligen gäller

Säkerhetsområden

Våra tjänster

Kontakt

Drottninggatan 29, 111 51 Stockholm

Sidenvävargatan 17, 753 19 Uppsala

Honnörsgatan 14, 352 36 Växjö

+46 766011510

info@seadot.se

Org.nr 5591983977

Copyright 2025, Seadot. All Rights Reserved.