ביקורת SOC 2 Type II היא אחת הביקורות המורכבות ביותר בעולם ה-SaaS. בניגוד ל-Type I (נקודת זמן), Type II בודקת שהבקרות עובדות לאורך תקופה של 6-12 חודשים. 90 ימים לפני הביקורת הם זמן קריטי – לא לבנות בקרות חדשות (מאוחר מדי), אלא לוודא שמה שיש עובד ומתועד.
ימים 90-61: Evidence Collection & Gap Fix
- בצעו Readiness Assessment מול 5 TSC: Security, Availability, Confidentiality, Processing Integrity, Privacy.
- זהו Evidence Gaps – מה לא מתועד? מה לא מיושם עקבי?
- תקנו פגיעות High Risk – אל תשאירו Critical findings לביקורת.
- וודאו שכל מדיניות (Policy) אושרה ע"י הנהלה ב-12 חודשים האחרונים.
- בצעו User Access Review – הסירו משתמשים שעזבו, הגבילו Over-privileged Accounts.
ימים 60-31: Documentation & Evidence Packaging
- 1עדכנו Security Policies – Information Security Policy, Acceptable Use, Incident Response, Change Management.
- 2אספו Evidence לפי בקרה: Screenshot, Log Export, API Report. ארגנו ב-Shared Drive מסודר.
- 3בצעו Background Check Documentation לכל עובד שגויס ב-12 חודשים אחרונים.
- 4תעדו את כל שינויי הקוד: JIRA tickets, PR approvals, Deployment records.
- 5בדקו תוצאות Penetration Test – האם ה-Findings תוקנו? האם יש POA&M?
ימים 30-1: Auditor Onboarding & Dry Run
- שלחו ל-Auditor את רשימת ה-Controls ואת ה-Evidence Index.
- בצעו Internal Walkthrough – הדמיית ביקורת עם כל בעלי ה-Control.
- הכינו "Control Owner" לכל בקרה – מי עונה לשאלות הAuditor בזמן אמת.
- וודאו גישת Auditor למערכות (Read-only access) מסודרת ומאושרת.
טיפ מוניסיון
Auditors מחפשים עקביות, לא שלמות. בקרה שנכשלה פעם אחת עם Root Cause Analysis ו-Corrective Action עדיפה על בקרה "מושלמת" שאין לה Evidence. תיעדו הכל – כולל הכישלונות.
SOC 2 Type II Readiness לוקח בממוצע 6-9 חודשים מאפס. אבל ארגון שכבר עובד עם SDLC מסודר, Change Management, ו-Access Reviews יכול להגיע לביקורת תוך 3-4 חודשים. ההכנה מתחילה הרבה לפני ה-90 ימים.
SOC 2Type IIביקורתAuditReadiness