Raporty SOC (ang. System and Organization Controls) szybko stają się niezbędne do budowania zaufania i zapewnienia klientów (oraz potencjalnych klientów) organizacji o świadczonych przez nią usługach.
Liczba naruszeń i incydentów wynikających z luk w systemie organizacji lub u jej dostawców wzrasta, a wiele organizacji poszukuje sposobów ochrony przed kosztowną cyberprzestępczością.
Jak cyberbezpieczeństwo i kontrole wewnętrzne zyskują coraz więcej uwagi i nacisku w dzisiejszej społeczności biznesowej, tak samo jest z raportami SOC.
Masz mało czasu? Posłuchaj i dowiedz się w tym odcinku naszego podcastu: Dlaczego raportowanie SOC jest ważne dla dostawców usług?
Co to jest raport SOC?
Raport SOC to wynik i wnioski z badania SOC, którego celem jest uzyskanie pewności co do funkcjonowania kontroli wewnętrznej organizacji.
Kto może wydać raport SOC?
Badania SOC są przeprowadzane przez niezależnych biegłych rewidentów (audytorów usług) zgodnie ze standardami atestacyjnymi Amerykańskiego Instytutu Biegłych Rewidentów (AICPA).
Co to są kontrole wewnętrzne?
Podstawowo, kontrole wewnętrzne są środkami, które Państwa organizacja wprowadza w odniesieniu do własnych operacji wewnętrznych w celu zwiększenia efektywności, ochrony przed odpowiedzialnością i pozostania w zgodzie z przepisami i prawem.
Jak moja organizacja może uzyskać certyfikację SOC?
Termin „certyfikacja SOC” jest w rzeczywistości błędnym określeniem wynikającym z powszechnego błędnego przekonania na temat raportów SOC. Organizacje często pytają, w jaki sposób mogą uzyskać „certyfikat SOC” lub „zgodność z SOC”, ale w przypadku raportów SOC nie ma żadnej certyfikacji ani zaliczenia lub niezaliczenia.
Po zakończeniu badania SOC, wydawany jest pakiet sprawozdawczy, który zawiera raport Niezależnego Audytora Usług, testy przeprowadzone przez audytora i wyniki tych testów, oraz zapewnienie organizacji usługowej i opis systemu (lub opis kontroli).
W ramach tego Raportu Niezależnego Audytora Usług, audytor usługowy wyda opinię. Jeśli opis systemu jest rzetelnie przedstawiony (SOC 1) lub zgodnie z kryteriami opisu (SOC 2), kontrole są odpowiednio zaprojektowane, a kontrole działają skutecznie (Typ 2s), audytor usług prawdopodobnie wyda „niezmodyfikowaną opinię”, co jest zwykle preferowanym wynikiem.
Jednakże, jeśli istnieją znaczące problemy wykryte podczas testów lub opis jest mylący lub brakuje istotnych informacji, audytor usługi może wydać opinię z zastrzeżeniami lub nawet opinię negatywną, w zależności od rozpowszechnienia problemów.
Kto potrzebuje raportu SOC?
Decyzja o przeprowadzeniu badania SOC jest zwykle napędzana przez żądania lub wymagania dotyczące raportu SOC od klientów organizacji usługowej lub potencjalnych klientów. Tak więc, najprawdopodobniej, będziesz wiedział, że potrzebujesz raportu SOC, ponieważ Twoi klienci Cię o niego proszą.
Dla wielu firm, żądanie raportu SOC od swoich dostawców jest zazwyczaj częścią dobrych procesów zarządzania dostawcami i typowym elementem badania due diligence przeprowadzanego nad dostawcami organizacji w celu uwzględnienia ryzyka związanego z outsourcingiem usług do tego dostawcy.
Ważne jest, aby pamiętać, że podczas gdy Twoi klienci lub potencjalni klienci mogą zlecać usługi na zewnątrz, nadal są odpowiedzialni za ochronę własnych informacji, a raporty SOC są dla nich metodą budowania zaufania do Twojej firmy i usług, które im świadczysz.
Organizacje powinny mieć raport SOC, jeśli:
- uważane są za „organizację usługową” (organizację, która świadczy usługi podmiotom będącym użytkownikami);
- są często proszone przez obecnych lub potencjalnych klientów o wypełnienie szczegółowego kwestionariusza na temat bezpieczeństwa organizacji lub na temat wewnętrznych kontroli stosowanych w celu rozwiązania problemów związanych z ryzykiem, które zagrażają osiągnięciu zakontraktowanych usług lub zobowiązań systemowych; lub
- są często proszone przez obecnych lub potencjalnych klientów o dostarczenie raportu SOC. (Może to być czynnik decydujący o utrzymaniu obecnych klientów lub pozyskaniu potencjalnego klienta.)
Jaki jest typowy harmonogram zakończenia badania SOC?
Badania SOC mogą być długotrwałym procesem, czasami trwającym kilka miesięcy lub nawet rok, w zależności od tego, jak bardzo organizacja jest przygotowana do spełnienia wymagań.
Dla tych organizacji, które posiadają już solidne polityki, procedury i mechanizmy kontroli wewnętrznej, proces ten może być zdecydowanie krótszy.
Jeżeli takie elementy nie zostały wdrożone, zazwyczaj zalecamy, aby organizacja przeszła ocenę gotowości w celu określenia gotowości, zidentyfikowania luk lub obszarów wymagających poprawy i uniknięcia zbyt szybkiego przystąpienia do egzaminu SOC. W ten sposób można uniknąć znaczących wyjątków lub braków w raporcie SOC po jego ukończeniu.
Niezależnie od tego, czy organizacja zdecyduje się na podejście proaktywne, czy też zleci przeprowadzenie egzaminu SOC w odpowiedzi na prośbę o jego przeprowadzenie, mamy nadzieję, że w ostatecznym rozrachunku uzyska bezcenną wiedzę na temat tego, jak dobrze funkcjonują jej procesy kontroli wewnętrznej oraz obszarów, w których poprawa jest kluczowa.
Czy istnieją różne odmiany egzaminów SOC?
Tak.
Dla organizacji usługowych istnieją egzaminy SOC 1®, SOC 2® i SOC 3®. Oprócz tych egzaminów, AICPA sformułowała również SOC for Cybersecurity oraz SOC for Supply Chain.
AICPA oznaczyła SOC Suite of Services i opcje raportowania w następujący sposób:
SOC for Service Organizations
SOC 1 Examinations (Types 1 and 2)
- Przeznaczone do raportowania kontroli w organizacji usługowej istotnych dla wewnętrznej kontroli jednostki nad sprawozdawczością finansową (ICFR)
- Typowo wykonywane nad usługami takimi jak świadczenia pracownicze lub plany emerytalne, usługi finansowe/biurowe, przetwarzanie list płac, przetwarzanie płatności, obsługa kredytów itp.
- Raporty są ograniczone do kierownictwa organizacji usługowej, jednostek użytkowników i audytorów użytkowników.
SOC 2 Egzaminy (Typy 1 i 2)
- Oparte na TSP 100, 2017 Trust Services Criteria określone przez AICPA i mające na celu zaspokojenie potrzeb szerokiego grona użytkowników w zakresie zrozumienia kontroli wewnętrznych istotnych dla pięciu kategorii usług powierniczych: Bezpieczeństwo (Common Criteria), Dostępność, Integralność przetwarzania, Poufność lub Prywatność
- Typowo wykonywane dla Data Center Co-locations, dostawców Software as a Service (SaaS), dostawców usług w chmurze, dostawców zarządzanych usług IT, itp.
- Raporty są ograniczone do podmiotów korzystających z systemu, partnerów biznesowych, potencjalnych podmiotów korzystających i partnerów biznesowych oraz organów regulacyjnych, którzy mają zrozumienie organizacji usługowej i jej kontroli.
- Dodatkowe tematy i dodatkowe kryteria mogą być uwzględnione w egzaminach SOC 2+ nad innymi ramami kontroli wewnętrznej (np., SOC 2+ HIPAA).
Egzaminy SOC 3
- Przeprowadzane nad tymi samymi kategoriami usług zaufania, co egzamin SOC 2, ale raport jest mniej szczegółowy i nie zawiera wyników testów
- Przeznaczone dla podmiotów, które przetwarzają elektroniczne dane konsumenckie przy użyciu handlu elektronicznego, oprogramowania jako usługi i innych systemów elektronicznych itp.
- Raporty ogólnego zastosowania, które mogą być swobodnie dystrybuowane do tych, którzy nie mają wystarczającej wiedzy, aby zrozumieć raporty SOC 2
SOC for Cybersecurity
- Raporty dotyczące programu zarządzania ryzykiem cyberbezpieczeństwa organizacji i kontrolikontroli w skali całego podmiotu
- Testowanie kontroli jest wykonywane, ale wyniki testowania nie są uwzględniane w raporcie.
- Raporty ogólnego zastosowania
SOC dla Łańcucha Dostaw
- Podkreśla kryteria AICPA Trust Services Criteria istotne dla kategorii Bezpieczeństwo, Dostępność, Integralność przetwarzania, Poufność lub Prywatność
- Raporty pomagają łańcuchom dostaw w skutecznym informowaniu o kontrolach stosowanych w odniesieniu do ryzyk produkcji i dystrybucji w ich systemach.
- Zaprojektowane, aby dać producentom, wytwórcom i firmom dystrybucyjnym pewność co do kontroli u ich dostawców.
Ponieważ raporty SOC 1 i SOC 2 są najbardziej pożądane przez podmioty użytkujące, uzasadnione jest bardziej szczegółowe omówienie tych dwóch opcji raportów.
Oba te raporty mają dwa typy: Typ 1 i Typ 2, które również zostały przedstawione w zarysie.
Czym jest raport SOC 1?
W raportach SOC 1 nie ma określonych kryteriów. Organizacja usługowa rozwija i jest autorem ogólnych celów kontroli oraz powiązanych kontroli specyficznych dla osiągnięcia celów kontroli. Organizacja usługowa jest również odpowiedzialna za opis części raportu dotyczącej systemu.
Raporty SOC 1 mają na celu przedstawienie kontroli w organizacji usługowej istotnych dla wewnętrznej kontroli jednostki nad sprawozdawczością finansową (ICFR), i są zazwyczaj wykonywane w odniesieniu do usług takich jak świadczenia pracownicze lub plany emerytalne, usługi finansowe/porządkowe, przetwarzanie płac, przetwarzanie płatności, obsługa pożyczek itp.
Raporty SOC 1 są ograniczone do kierownictwa organizacji usługowej, jednostek użytkowników i ich audytorów.
Co to jest raport SOC 2?
W raportach SOC 2, AICPA określiła kryteria usług zaufania używane do oceny kontroli i zapewnia punkty skupienia, które organizacje mogą wykorzystać do pomocy w określeniu odpowiednich kontroli i języka kontroli.
Kryteria usług zaufania można zaklasyfikować do pięciu kategorii:
- Bezpieczeństwo;
- Dostępność;
- Integralność przetwarzania;
- Poufność; i
- Prywatność.
W przypadku wyboru egzaminów SOC 2, kategoria bezpieczeństwa (określana również jako „wspólne kryteria”) musi zostać wykorzystana, a następnie można wybrać dodatkowe kategorie, które mają zastosowanie do zobowiązań organizacji w zakresie usług lub wymagań systemowych.
Na przykład, jeśli organizacja usługowa określa w swoich umowach o poziomie usług, że system lub platforma oprogramowania będzie dostępna dla użytkowników 24/7, 365 dni w roku i że procedury ciągłości działania i odzyskiwania danych po awarii są na miejscu i testowane co najmniej raz w roku, kategoria dostępności byłaby odpowiednia dla ich raportu.
AICPA opracowała również pewne standardy, które organizacja usługowa musi stosować podczas przygotowywania opisu systemu dla raportów SOC 2, które są przedstawione w sekcji 200 Description Criteria (DC).
Badania SOC 2 są zazwyczaj przeprowadzane dla Data Center Co-locations, dostawców oprogramowania jako usługi (SaaS), dostawców usług w chmurze, dostawców zarządzanych usług IT, itp.
Raporty te są ograniczone do podmiotów korzystających z systemu, partnerów biznesowych, potencjalnych podmiotów korzystających z systemu i partnerów biznesowych oraz organów regulacyjnych, które mają wiedzę na temat organizacji usługowej i jej kontroli.
Jaka jest różnica między raportem SOC Typu 1 i Typu 2?
Raport Typu 1 jest sporządzany na określoną datę i zapewnia, że opis systemu jest rzetelnie przedstawiony (raport SOC 1) lub jest zgodny z kryteriami opisu (raport SOC 2) oraz że kontrole są odpowiednio zaprojektowane na określoną datę. Przeprowadza się przegląd kontroli i test jednej z nich, ale nie przeprowadza się szczegółowych testów.
Raport typu 2 dotyczy określonego okresu, zazwyczaj nie krótszego niż sześć miesięcy. Opinia daje pewność co do opisu i adekwatności projektu kontroli, a także co do skuteczności operacyjnej kontroli. Badanie typu 2 obejmuje szczegółowe testy kontroli w całym okresie sprawozdawczym.
Jak formułowane są raporty SOC?
Kroki do przeprowadzenia badania SOC różnią się w zależności od tego, jak bardzo organizacja jest przygotowana do spełnienia wymagań. Zazwyczaj zalecamy jako audytor usług, aby podczas przeprowadzania badania SOC postępował zgodnie z czteroetapowym procesem przedstawionym poniżej:
Badanie SOC Krok 1: Przeprowadzenie spotkania angażującego/planującego
Audytor usług spotyka się z organizacją usługową w celu określenia zakresu systemu lub usług, opcji SOC najbardziej odpowiedniej dla potrzeb organizacji oraz czasu, harmonogramu i opłat związanych z zaangażowaniem.
Krok 2 badania SOC: Przeprowadzenie oceny gotowości
Spotkania odbywają się w celu omówienia polityk, procesów i procedur, które organizacja posiada lub które muszą zostać opracowane lub udoskonalone. Spacery, obserwacje i zapytania dotyczące procesów i procedur są wykonywane przez audytora usługi.
Organizacja jest odpowiedzialna za opracowanie celów kontroli i związanych z nimi kontroli (raport SOC 1), lub specyficznych kontroli w celu spełnienia kryteriów raportu SOC 2; jednakże audytor usługi może podzielić się wiedzą, udzielić porady lub zalecić odpowiedni język kontroli, aby pomóc organizacji w tym zadaniu.
Wszystkie obszary luk zidentyfikowane przez audytora usług są zgłaszane do organizacji usługowej, tak aby procesy i kontrole mogły zostać udoskonalone w celu uzyskania racjonalnej pewności, że organizacja jest dobrze przygotowana przed przeprowadzeniem badania SOC.
Egzamin SOC Krok 3: Badanie Typu 1 i raportowanie (SOC 1 lub SOC 2)
Organizacje mogą zdecydować się na badanie Typu 1 przed przejściem do badania Typu 2, aby pomóc zapewnić, że kontrole są odpowiednio zaprojektowane i wdrożone od określonej daty.
Formalny raport jest nadal wydawany przez audytora usług; Jednakże, ponieważ nie przeprowadza się szczegółowego badania skuteczności operacyjnej kontroli, kontrole są po prostu wymienione jako część opisu systemu organizacji. Opinia biegłego rewidenta jest wyrażona w odniesieniu do rzetelności prezentacji opisu (SOC 1) lub zgodnie z kryteriami opisu (SOC 2) oraz czy kontrole są odpowiednio zaprojektowane.
Pomimo, że nie wszystkie organizacje decydują się na przeprowadzenie badania typu 1, jest to zdecydowanie opcja do rozważenia w celu uniknięcia wielu wyjątków lub braków, które mogą wystąpić w wyniku zbyt szybkiego przejścia do badania typu 2.
Krok 4 badania SOC: Badanie Typu 2 i raportowanie (SOC 1 lub SOC 2)
Gdy organizacja zdecyduje się na badanie Typu 2, szczegółowe testy zostaną przeprowadzone przez audytora usług w całym okresie sprawozdawczym, jak określono podczas procesu planowania.
W tym raporcie, biegły rewident zawiera opis przeprowadzonych testów, a opinia będzie ponownie obejmować rzetelność prezentacji opisu (lub kryteriów opisu), czy kontrole są odpowiednio zaprojektowane, a także czy kontrole działały skutecznie w okresie sprawozdawczym.
Jak moja organizacja może uzyskać badanie SOC wykonane na potrzeby raportu SOC?
Specjaliści ds. ryzyka, bezpieczeństwa i technologii firmy Warren Averett ściśle współpracują z organizacjami świadczącymi usługi w celu dokładnego zrozumienia wymagań ich interesariuszy, abyśmy mogli wskazać odpowiednie rozwiązania dla ich potrzeb w zakresie badań SOC i usług atestacyjnych.
Zaproś doradcę Warren Averett do skontaktowania się z Tobą, aby rozpocząć rozmowę o tym, jak może wyglądać raport SOC dla Twojej organizacji.
Ten blog został pierwotnie opublikowany 16 grudnia 2019 r. i był ostatnio aktualizowany 3 listopada 2020 r.
.
Podstawowo, kontrole wewnętrzne są środkami, które Państwa organizacja wprowadza w odniesieniu do własnych operacji wewnętrznych w celu zwiększenia efektywności, ochrony przed odpowiedzialnością i pozostania w zgodzie z przepisami i prawem.
Jak moja organizacja może uzyskać certyfikację SOC?
Termin „certyfikacja SOC” jest w rzeczywistości błędnym określeniem wynikającym z powszechnego błędnego przekonania na temat raportów SOC. Organizacje często pytają, w jaki sposób mogą uzyskać „certyfikat SOC” lub „zgodność z SOC”, ale w przypadku raportów SOC nie ma żadnej certyfikacji ani zaliczenia lub niezaliczenia.
Po zakończeniu badania SOC, wydawany jest pakiet sprawozdawczy, który zawiera raport Niezależnego Audytora Usług, testy przeprowadzone przez audytora i wyniki tych testów, oraz zapewnienie organizacji usługowej i opis systemu (lub opis kontroli).
W ramach tego Raportu Niezależnego Audytora Usług, audytor usługowy wyda opinię. Jeśli opis systemu jest rzetelnie przedstawiony (SOC 1) lub zgodnie z kryteriami opisu (SOC 2), kontrole są odpowiednio zaprojektowane, a kontrole działają skutecznie (Typ 2s), audytor usług prawdopodobnie wyda „niezmodyfikowaną opinię”, co jest zwykle preferowanym wynikiem.
Jednakże, jeśli istnieją znaczące problemy wykryte podczas testów lub opis jest mylący lub brakuje istotnych informacji, audytor usługi może wydać opinię z zastrzeżeniami lub nawet opinię negatywną, w zależności od rozpowszechnienia problemów.
Kto potrzebuje raportu SOC?
Decyzja o przeprowadzeniu badania SOC jest zwykle napędzana przez żądania lub wymagania dotyczące raportu SOC od klientów organizacji usługowej lub potencjalnych klientów. Tak więc, najprawdopodobniej, będziesz wiedział, że potrzebujesz raportu SOC, ponieważ Twoi klienci Cię o niego proszą.
Dla wielu firm, żądanie raportu SOC od swoich dostawców jest zazwyczaj częścią dobrych procesów zarządzania dostawcami i typowym elementem badania due diligence przeprowadzanego nad dostawcami organizacji w celu uwzględnienia ryzyka związanego z outsourcingiem usług do tego dostawcy.
Ważne jest, aby pamiętać, że podczas gdy Twoi klienci lub potencjalni klienci mogą zlecać usługi na zewnątrz, nadal są odpowiedzialni za ochronę własnych informacji, a raporty SOC są dla nich metodą budowania zaufania do Twojej firmy i usług, które im świadczysz.
Organizacje powinny mieć raport SOC, jeśli:
- uważane są za „organizację usługową” (organizację, która świadczy usługi podmiotom będącym użytkownikami);
- są często proszone przez obecnych lub potencjalnych klientów o wypełnienie szczegółowego kwestionariusza na temat bezpieczeństwa organizacji lub na temat wewnętrznych kontroli stosowanych w celu rozwiązania problemów związanych z ryzykiem, które zagrażają osiągnięciu zakontraktowanych usług lub zobowiązań systemowych; lub
- są często proszone przez obecnych lub potencjalnych klientów o dostarczenie raportu SOC. (Może to być czynnik decydujący o utrzymaniu obecnych klientów lub pozyskaniu potencjalnego klienta.)
Jaki jest typowy harmonogram zakończenia badania SOC?
Badania SOC mogą być długotrwałym procesem, czasami trwającym kilka miesięcy lub nawet rok, w zależności od tego, jak bardzo organizacja jest przygotowana do spełnienia wymagań.
Dla tych organizacji, które posiadają już solidne polityki, procedury i mechanizmy kontroli wewnętrznej, proces ten może być zdecydowanie krótszy.
Jeżeli takie elementy nie zostały wdrożone, zazwyczaj zalecamy, aby organizacja przeszła ocenę gotowości w celu określenia gotowości, zidentyfikowania luk lub obszarów wymagających poprawy i uniknięcia zbyt szybkiego przystąpienia do egzaminu SOC. W ten sposób można uniknąć znaczących wyjątków lub braków w raporcie SOC po jego ukończeniu.
Niezależnie od tego, czy organizacja zdecyduje się na podejście proaktywne, czy też zleci przeprowadzenie egzaminu SOC w odpowiedzi na prośbę o jego przeprowadzenie, mamy nadzieję, że w ostatecznym rozrachunku uzyska bezcenną wiedzę na temat tego, jak dobrze funkcjonują jej procesy kontroli wewnętrznej oraz obszarów, w których poprawa jest kluczowa.
Czy istnieją różne odmiany egzaminów SOC?
Tak.
Dla organizacji usługowych istnieją egzaminy SOC 1®, SOC 2® i SOC 3®. Oprócz tych egzaminów, AICPA sformułowała również SOC for Cybersecurity oraz SOC for Supply Chain.
AICPA oznaczyła SOC Suite of Services i opcje raportowania w następujący sposób:
| SOC for Service Organizations | |
| SOC 1 Examinations (Types 1 and 2) |
|
| SOC 2 Egzaminy (Typy 1 i 2) |
|
| Egzaminy SOC 3 |
|
| SOC for Cybersecurity | |
|
|
| SOC dla Łańcucha Dostaw | |
|
|
Ponieważ raporty SOC 1 i SOC 2 są najbardziej pożądane przez podmioty użytkujące, uzasadnione jest bardziej szczegółowe omówienie tych dwóch opcji raportów.
Oba te raporty mają dwa typy: Typ 1 i Typ 2, które również zostały przedstawione w zarysie.
Czym jest raport SOC 1?
W raportach SOC 1 nie ma określonych kryteriów. Organizacja usługowa rozwija i jest autorem ogólnych celów kontroli oraz powiązanych kontroli specyficznych dla osiągnięcia celów kontroli. Organizacja usługowa jest również odpowiedzialna za opis części raportu dotyczącej systemu.
Raporty SOC 1 mają na celu przedstawienie kontroli w organizacji usługowej istotnych dla wewnętrznej kontroli jednostki nad sprawozdawczością finansową (ICFR), i są zazwyczaj wykonywane w odniesieniu do usług takich jak świadczenia pracownicze lub plany emerytalne, usługi finansowe/porządkowe, przetwarzanie płac, przetwarzanie płatności, obsługa pożyczek itp.
Raporty SOC 1 są ograniczone do kierownictwa organizacji usługowej, jednostek użytkowników i ich audytorów.
Co to jest raport SOC 2?
W raportach SOC 2, AICPA określiła kryteria usług zaufania używane do oceny kontroli i zapewnia punkty skupienia, które organizacje mogą wykorzystać do pomocy w określeniu odpowiednich kontroli i języka kontroli.
Kryteria usług zaufania można zaklasyfikować do pięciu kategorii:
- Bezpieczeństwo;
- Dostępność;
- Integralność przetwarzania;
- Poufność; i
- Prywatność.
W przypadku wyboru egzaminów SOC 2, kategoria bezpieczeństwa (określana również jako „wspólne kryteria”) musi zostać wykorzystana, a następnie można wybrać dodatkowe kategorie, które mają zastosowanie do zobowiązań organizacji w zakresie usług lub wymagań systemowych.
Na przykład, jeśli organizacja usługowa określa w swoich umowach o poziomie usług, że system lub platforma oprogramowania będzie dostępna dla użytkowników 24/7, 365 dni w roku i że procedury ciągłości działania i odzyskiwania danych po awarii są na miejscu i testowane co najmniej raz w roku, kategoria dostępności byłaby odpowiednia dla ich raportu.
AICPA opracowała również pewne standardy, które organizacja usługowa musi stosować podczas przygotowywania opisu systemu dla raportów SOC 2, które są przedstawione w sekcji 200 Description Criteria (DC).
Badania SOC 2 są zazwyczaj przeprowadzane dla Data Center Co-locations, dostawców oprogramowania jako usługi (SaaS), dostawców usług w chmurze, dostawców zarządzanych usług IT, itp.
Raporty te są ograniczone do podmiotów korzystających z systemu, partnerów biznesowych, potencjalnych podmiotów korzystających z systemu i partnerów biznesowych oraz organów regulacyjnych, które mają wiedzę na temat organizacji usługowej i jej kontroli.
Jaka jest różnica między raportem SOC Typu 1 i Typu 2?
Raport Typu 1 jest sporządzany na określoną datę i zapewnia, że opis systemu jest rzetelnie przedstawiony (raport SOC 1) lub jest zgodny z kryteriami opisu (raport SOC 2) oraz że kontrole są odpowiednio zaprojektowane na określoną datę. Przeprowadza się przegląd kontroli i test jednej z nich, ale nie przeprowadza się szczegółowych testów.
Raport typu 2 dotyczy określonego okresu, zazwyczaj nie krótszego niż sześć miesięcy. Opinia daje pewność co do opisu i adekwatności projektu kontroli, a także co do skuteczności operacyjnej kontroli. Badanie typu 2 obejmuje szczegółowe testy kontroli w całym okresie sprawozdawczym.
Jak formułowane są raporty SOC?
Kroki do przeprowadzenia badania SOC różnią się w zależności od tego, jak bardzo organizacja jest przygotowana do spełnienia wymagań. Zazwyczaj zalecamy jako audytor usług, aby podczas przeprowadzania badania SOC postępował zgodnie z czteroetapowym procesem przedstawionym poniżej:
Badanie SOC Krok 1: Przeprowadzenie spotkania angażującego/planującego
Audytor usług spotyka się z organizacją usługową w celu określenia zakresu systemu lub usług, opcji SOC najbardziej odpowiedniej dla potrzeb organizacji oraz czasu, harmonogramu i opłat związanych z zaangażowaniem.
Krok 2 badania SOC: Przeprowadzenie oceny gotowości
Spotkania odbywają się w celu omówienia polityk, procesów i procedur, które organizacja posiada lub które muszą zostać opracowane lub udoskonalone. Spacery, obserwacje i zapytania dotyczące procesów i procedur są wykonywane przez audytora usługi.
Organizacja jest odpowiedzialna za opracowanie celów kontroli i związanych z nimi kontroli (raport SOC 1), lub specyficznych kontroli w celu spełnienia kryteriów raportu SOC 2; jednakże audytor usługi może podzielić się wiedzą, udzielić porady lub zalecić odpowiedni język kontroli, aby pomóc organizacji w tym zadaniu.
Wszystkie obszary luk zidentyfikowane przez audytora usług są zgłaszane do organizacji usługowej, tak aby procesy i kontrole mogły zostać udoskonalone w celu uzyskania racjonalnej pewności, że organizacja jest dobrze przygotowana przed przeprowadzeniem badania SOC.
Egzamin SOC Krok 3: Badanie Typu 1 i raportowanie (SOC 1 lub SOC 2)
Organizacje mogą zdecydować się na badanie Typu 1 przed przejściem do badania Typu 2, aby pomóc zapewnić, że kontrole są odpowiednio zaprojektowane i wdrożone od określonej daty.
Formalny raport jest nadal wydawany przez audytora usług; Jednakże, ponieważ nie przeprowadza się szczegółowego badania skuteczności operacyjnej kontroli, kontrole są po prostu wymienione jako część opisu systemu organizacji. Opinia biegłego rewidenta jest wyrażona w odniesieniu do rzetelności prezentacji opisu (SOC 1) lub zgodnie z kryteriami opisu (SOC 2) oraz czy kontrole są odpowiednio zaprojektowane.
Pomimo, że nie wszystkie organizacje decydują się na przeprowadzenie badania typu 1, jest to zdecydowanie opcja do rozważenia w celu uniknięcia wielu wyjątków lub braków, które mogą wystąpić w wyniku zbyt szybkiego przejścia do badania typu 2.
Krok 4 badania SOC: Badanie Typu 2 i raportowanie (SOC 1 lub SOC 2)
Gdy organizacja zdecyduje się na badanie Typu 2, szczegółowe testy zostaną przeprowadzone przez audytora usług w całym okresie sprawozdawczym, jak określono podczas procesu planowania.
W tym raporcie, biegły rewident zawiera opis przeprowadzonych testów, a opinia będzie ponownie obejmować rzetelność prezentacji opisu (lub kryteriów opisu), czy kontrole są odpowiednio zaprojektowane, a także czy kontrole działały skutecznie w okresie sprawozdawczym.
Jak moja organizacja może uzyskać badanie SOC wykonane na potrzeby raportu SOC?
Specjaliści ds. ryzyka, bezpieczeństwa i technologii firmy Warren Averett ściśle współpracują z organizacjami świadczącymi usługi w celu dokładnego zrozumienia wymagań ich interesariuszy, abyśmy mogli wskazać odpowiednie rozwiązania dla ich potrzeb w zakresie badań SOC i usług atestacyjnych.
Zaproś doradcę Warren Averett do skontaktowania się z Tobą, aby rozpocząć rozmowę o tym, jak może wyglądać raport SOC dla Twojej organizacji.
Ten blog został pierwotnie opublikowany 16 grudnia 2019 r. i był ostatnio aktualizowany 3 listopada 2020 r.
.