Einblicke in die Risiken einer Organisation
SOC报告(不要与缩写SOC混淆) Security Operations Center) können Sie überprüfen, ob ein Unternehmen bestimmte Best Practices einhält, bevor Sie eine Geschäftsfunktion an dieses Unternehmen auslagern. Die Best Practices betreffen Finanzwesen, Sicherheit, Verarbeitungsintegrität, Datenschutz und Verfügbarkeit. 由外部审计师编写和验证的报告旨在提供独立的确定性,并帮助潜在客户/合作伙伴。, 披露与被评估机构合作的潜在风险.
SOC报告提供检查和控制机制的信息, die ein Unternehmen durchführt, um Unstimmigkeiten aufzudecken, und zeigen gleichzeitig, welche Maßnahmen ergriffen werden müssen, um diese zu beseitigen. 他们向客户解释如何遵循政策和程序。. Keine Entscheidung ist jemals völlig risikofrei. 然而,SOC报告为您提供了确定风险程度所需的背景。.
SOC-Berichte sind deshalb so wichtig, 因为它们在一个通用的、统一的框架中提供了全面的概述, 以一种合乎逻辑的方式分析所研究的企业体系. Ganz gleich, 无论您是想建立一个新的合作伙伴关系,还是想分析您现有的供应商,这份公正的报告都提供了有价值的信息。, die in vielen Phasen der Anbieterbewertung nützlich sein werden.
根据需要的信息和涉及的公司类型,SOC报告有不同的版本。.
SOC 1:
Berichte über Kontrollmaßnahmen, die unmittelbare oder nachgelagerte Auswirkungen auf den Jahresabschluss einer Benutzerinstanz haben; basiert auf dem Berichtsstandard SSAE 16.
|
Typ I ● Zeigt, wie gut die internen Kontrollmaßnahmen konzipiert sind, um Fehler in Finanztransaktionen/Abrechnungsdaten zu verhindern. ●测试是在特定时间进行的. 没有检查控制机制的操作效率. |
Typ II ●测试内部控制措施(一般业务流程和IT控制)的操作效率, 旨在减少用户实例财务数据不准确的风险. ● Die Tests werden über einen bestimmten Zeitraum durchgeführt; eine Stichprobenmethode dient dazu, eine genaue Darstellung der Betriebseffektivität zu erzielen. |
SOC 2:
Berichte zu Kontrollmaßnahmen in Bezug auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Sicherheitskontrolltests sind obligatorisch, während der Rest (Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz) optional ist; basiert auf dem Berichtsstandard AT 101.
|
Typ I ● Testet den Aufbau dieser Kontrollmaßnahmen. ●测试是在特定时间进行的. 没有检查控制机制的操作效率. |
Typ II ● Testet die Betriebseffektivität dieser Kontrollmaßnahmen; soll das Risiko eines unsachgemäßen Umgangs mit Kundendaten mindern. ● Die Tests werden über einen bestimmten Zeitraum durchgeführt; eine Stichprobenmethode dient dazu, eine genaue Darstellung der Betriebseffektivität zu erzielen. |
SOC 3:
|
● Eine öffentlich zugängliche Version eines SOC 2 vom Typ II; enthält keine vertraulichen Informationen. ● Allgemeine Zusammenfassung für generelle Kunden, 在不危及或披露内部控制措施细节的情况下. ● Wird normalerweise nur von Organisationen verwendet, 在过去已经创建了许多SOC报告,并且有一个健壮和成熟的控制环境。. |
Jeder SOC-Bericht enthält den Bestätigungsvermerk des Prüfers, in dem festzustellen ist, 服务组织是否充分描述并有效地建立了控制措施. Ein Bericht mit der Bewertung unqualifiziert bedeutet, dass der Prüfer zu dem Schluss gekommen ist, 该公司已充分说明其结构和经营效率。, während der Vermerk qualifiziert besagt, 审计员发现公司的陈述与现实存在重大差异。. Das Gutachten gilt als ungünstig当若干控制措施失败,从而未能实现总目标时.
Der Bericht enthält auch eine Erklärung der Serviceorganisation, 在审计员的审计期间,所有测试的控制措施都是活跃的, eine Beschreibung des Systems selbst und eine Beschreibung dessen, was der Auditor während des Betriebs des Systems beobachtet hat. Im Wesentlichen soll dem Leser aufgezeigt werden, 这个体系应该做什么,它实际做了什么. 报告应说明所进行试验的范围和目的。, inklusive Daten über die Managementstruktur, die Kommunikationsrichtlinien, das Risikomanagement für die Informationssicherheit, die Systemüberwachung、文档过程、系统操作和控制的物理访问.
如果您收到来自另一个组织的SOC控制报告, sollten Sie sich alle Informationen gründlich durchlesen. 一份被评为“不合格”的报告并不一定意味着, dass es überhaupt keine Ausnahmen gibt, 这对你的公司来说可能是一个警告信号——不合格只是意味着, dass ein Ziel nicht völlig verfehlt wurde. 检查管理层对所有失败控制的反应, um festzustellen, 是否有补偿性控制,采取了什么补救措施(如果有的话).
考虑审核员发现的所有异常/偏差, ob Sie das damit verbundene Risiko akzeptieren können. Stellen Sie sicher, dass Sie alles verstanden und das Gefühl haben, 你现在确切地知道所有控制措施是如何工作的. 与公司讨论你的担忧,找出答案, 自报告发布以来,是否采取了任何措施来解决潜在的问题?. Nutzen Sie die Informationen, um interne Diskussionen über mögliche Risiken anzuregen, 将业务功能外包给服务组织可能产生的.
Es stimmt zwar, dass keine Entscheidung jemals ganz risikofrei ist, aber SOC-Berichte helfen Unternehmen, 更好地了解关键业务和安全决策的风险水平. Der beste Angriff ist eine herausragende Verteidigung. 这就是计划、准备和从SOC报告中吸取教训的地方。.