服务组织控制(SOC)报告(不要与其他SOC首字母缩略词混淆), 安全运营中心)是一种在您将业务功能外包给该组织之前验证该组织是否遵循某些特定最佳实践的方法. 这些最佳实践与财务有关, 安全, 处理完整性, 隐私, 和可用性. 这些报告, 哪些是由第三方审核员创建和验证的, 是为了提供独立的保证,并帮助潜在的客户/合作伙伴了解与被评估的组织合作所涉及的任何潜在风险.
SOC报告传达了公司正在执行的检查和平衡,以根除不一致,并向客户发出强烈的信息,即您正在关注如何遵循政策和程序. 没有任何决策是完全没有风险的, 但SOC报告将为您提供确定所涉及风险量所需的背景.
SOC报告很重要,因为它们提供了在公共和一致的框架中交付的全面业务概述, 以合理的方式检查组织的范围内系统. 无论是进入一个新的合作伙伴关系,还是回顾你目前的业务关系, 这份公正的报告提供了与供应商生命周期的许多阶段相关的有价值的信息.
取决于所需要的信息和所涉及的组织类型, SOC报告有几个版本.
SOC 1:
对用户实体的财务报表有直接或后续影响的控制报告. 基于ssae16报告标准.
I型 •表明内部控制设计得如何,以防止有关财务交易/报表数据的错误. ● Testing is done at one point in time; does not test the operating effectiveness of the control set. |
II型 ● Tests the operating effectiveness of the internal controls (business process 和 IT general controls); designed to mitigate the risk of a financial inaccuracy of the user entity. ●在一段时间内进行测试, 并采用抽样方法来准确地描述操作效率. |
SOC 2:
与安全相关的控制报告, 可用性, 处理完整性, 保密, 隐私. 安全控制测试是强制性的, 而其余的(可用性), 处理完整性, 保密, 和隐私)都是可选的. 基于at101报告标准.
I型 测试这些控件的设计. ● Testing is done at one point in time; does not test the operating effectiveness of the control set. |
II型 ● Tests the operating effectiveness of these controls; designed to mitigate the risk of mish和ling customer data. ●在一段时间内进行测试, 并采用抽样方法来准确地描述操作效率. |
SOC 3:
面向公众的SOC 2 II型版本,不包含机密信息. ●在不泄露内部控制细节的前提下,为普通客户提供高层次的总结. ●通常仅用于过去进行过许多SOC报告的组织,并且具有健壮和成熟的控制环境. |
每一份安全运营控制报告都将包含审计师的意见, 哪一项涵盖了服务机构对控制的描述是否公平且设计有效. 如果报告是 不合格的, 这意味着审计师发现公司以公平的方式反映了其设计和运营效率, 而一个 合格的 意见意味着他们发现公司的陈述与现实之间存在重大差异. 该意见被考虑 不良 如果多个控制失败,导致整个目标无法实现.
该报告还将包括服务组织的断言,即在审计员检查期间,所有被测试的控制都是活跃的, 对系统本身的描述, 以及审计员在使用系统时看到的内容. 本质上, 读者应该看到一个故事,说明系统的目的是做什么,以及它实际做了什么. 它应该显示所执行测试的范围和目的, 包括管理结构的数据, 通信政策, 信息安全风险管理, 系统监控、文件程序、系统操作和控制的物理访问.
当收到来自另一个组织的服务组织控制报告时, 你应该用批判的眼光来阅读所有的信息. 仅仅因为你收到了一份不合格的报告,并不意味着没有例外,最终可能会给你的组织带来危险信号——不合格只意味着目标没有失败 完全. 审查管理层对任何控制措施失败的响应,以确定是否存在任何补偿控制措施,以及发生了哪些补救措施(如果有的话)。.
考虑审核员发现的任何例外/偏差,看看你是否可以接受任何相关风险. 确保你理解了所有内容,并且感觉你已经彻底掌握了所有控件的工作原理. 讨论你对公司的担忧, 并了解自报告发布以来,他们是否采取了措施来解决任何潜在问题. 使用这些信息来推动内部讨论,讨论由于将业务功能外包给服务组织而可能产生的任何潜在风险.
虽然没有任何决定是没有风险的, SOC报告的存在是为了帮助组织更好地了解与重要业务和安全决策相关的风险水平. 最好的进攻就是最好的防守, 这就是计划和准备——以及SOC报告提供的见解——将发挥作用的地方.