Но я в контексте change management

вот у меня проблема в том что начинаю что-то делать, потом походу нахожу кучу пробем и задач которые надо решить и в итоге голова размером с боинг
надо приучить себя выписывать таски

Это не история про ISO 27001?

Я проходила SOC 2 initial assessment и SOC 2 Type 2 на подходе. Могу рассказать, как все проходит

а подскажи условно с чего начать?

https://www.blissfully.com/guides/soc-2-compliance/ - начать можно с вот этой статьи, тут очень хорошое введение и станет понятно, куда дальше копать + там можно скачать примерный пакет необходимых документов, чтобы дальше допилить для себя

Я наоборот перестал записывать, а то все things и прочие распухают и только давят. Все важное все равно в голове всплывает. Или сразу делаю.

(Хотя у Феди очень хорошо работает, у него настоящий GTD)

Еще из полезного - https://latacora.singles/2020/03/12/the-soc-starting.html - тут расписаны тулзы и технические средства, которые помогают закрывать разные SOC 2 controls

а почему решили именно SOC2? Какие альтернативы рассматривали?
У меня вопросы на самом деле с двух сторон идут:
1) как внедрить и при этом не страдать?
2) как внедренная сертефикация мачится с потребностями клиентов?

условно: если мы станем SOC-2 comliant -> будет ли этого достаточно для американских non-gov клиентов чтобы пользоваться нами как SaaS? и что касается филипин/китая/других стран?

зы: за ссылки очень спасибо

обычно выбирают между SOC 2 и ISO 27001 - US компании предпочитают SOC 2, EU компании предпочитают ISO 27001, но это не строго, в значительной степени сертификации взаимозаменимы (i.e. EU клиент спокойно примет SOC 2, хотя может попросить заполнить небольшой опросник дополнительно для собственного соответствия ISO 27001). в принципе то же самое касается Азии

одна из основных причин, почему клиенты хотят SOC 2 - для собственной SOC compliance им удобно иметь SOC 2 compliant data subprocessors

Еще супер важный вопрос: сколько времени у вас ушло от начала подготовки к аудиту - до получения крыжечки что вы красавцы

У нас около 6-8 месяцев ушло на ISO 27001. Можно и быстрее, зависит от готовности компании и сотрудников. Ну и в целом общей готовности к этому.

> 1) как внедрить и при этом не страдать?

обычно больше всего страданий происходит на этапе формализации процессов / процедур доступа (доступы к продакшену и к разным системам), когда у людей либо отбирают привычный доступ, либо заставляют следовать непонятным им процессам. Стоит сразу объяснять / заранее предупреждать, почему происходят изменения и не закрывать жизненное важные вещи типа доступа к логам на продакшене и прочего, а придумывать как это разрулить/автоматизировать техническими средствами (например не закрывать доступ к логам и мониторингу на проде, а настроить группы аккаунтов с нужным уровнем доступа)

> 2) как внедренная сертефикация мачится с потребностями клиентов?

сертификация удовлетворяет тех клиентов, у кого запрос именно на compliance (грамотная организация процессов). если клиентов именно глубоко интересует security, то тут скорее помогут security whitepapers или хорошие пентесты/секьюрити аудиты от security контор

где-то 3 месяца от начала коммуникации с аудиторами до прохождения initial assessment (по сути initial assessment это аналог SOC 2 Type 1 - однократная оценка работы компании, за которой следует оценка в течение полугодового периода - SOC 2 Type 2). но сами процессы изначально выстраивались под совместимость с SOC 2, так что 3 месяца это по сути подготовка документов и финальное допиливание готовых процессов

Я пойду варить всю инфу, но видимо с выходом в SaaS явно нужно получать комплаенс. Потому что количество логичных вопросов начинает увеличиваться.
Всем спасибо!