服务组织控制(SOC)报告安全操作中心的简称,SOC,需要注意)是在将商业功能外包给某个组织之前,验证该组织是否遵循了特定的最佳实践的方法之一。。这些最佳实践涉及财务、安全、一致性、隐私和可用性。。第三方审计公司制作并验证的报告有助于客户和合作伙伴了解与被评估组织合作时的潜在风险,并为其提供第三方担保。。
SOC报告用通用的、一致的框架提供周密的业务概要,用逻辑的方法网罗组织对象范围内的系统。。新的合作关系无论是签订合同,还是确认现有的业务关系,这份公平的报告都会在供应商生命周期的多个阶段提供相关的、有价值的信息。。这样的报告揭示了企业为了消灭矛盾点所实施的抑制和对抗机制,并且强烈地向顾客宣传企业所关注的政策和程序是如何被遵守的。应。没有风险的决策是不可能的,但是SOC报告提供了必要的背景来判断风险的数量。。
在详细了解各种类型的报告之前,我想先介绍几个定义。。
根据所需要的信息和所涉及的组织类型,SOC报告有很多版本。。
SOC 1:
对用户实体的财务报表产生即时或下游影响的控制报告。。基于SSAE 16报告准则。。
|
type i ●为了防止关于财务交易和财务报表数据的错误,内部控制设计得多么出色。。 ●验证是在某个时间点实施的,关于控制组的运用的有效性不会被验证。。 |
type ii ●验证内部控制(业务流程和IT整体控制)的有效性。它的设计是为了降低用户实体的财务不准确所带来的风险。。 ●验证在一定的期间内被实施,为了能够正确地表示运用的有效性,使用取样的手法。。 |
SOC 2:
关于安全性,可用性,处理一致性,机密性和隐私控制的报告。。安全控制验证是必须的,但是其他项目(可用性,处理一致性,机密和隐私)是可选的。。AT 101报告标准。。
|
type i ●验证这些控件的设计。 ●验证是在某个时间点实施的,关于控制组的运用的有效性不会被验证。。 |
type ii ●验证这些控制的有效性。它的设计是为了减少错误处理客户数据时的风险。。 ●验证在一定的期间内被实施,为了能够正确地表示运用的有效性,使用取样的手法。。 |
SOC 3:
|
●不包含机密信息,SOC2 type ii的宣传用版本。。 ●不公开阻碍内部控制的细节,面向一般顾客提供高级概要。。 ●通常,只有过去实施过大量的SOC报告,拥有坚固成熟的控制环境的组织才会使用。。 |
所有的安全操作控制报告都包含审计人员的意见,以及服务组织对控制的解释是否公正和有效。。报告无条件的情况下,监查负责人认为企业公正地提示了其设计和运用的有效性,另一方面,附带条件的意见,说明企业的说明和现实之间存在很大的偏差。。当多个控制失败导致整体目标无法达成时,意见是不适当就会被认为是"。
报告中包括审计人员在验证过程中所有的控制都是有效的、服务组织对系统本身的说明以及在系统使用过程中审计人员看到的内容。。也就是说,当你阅读报告时,你应该能了解系统将要实施的事情以及系统实际实施的事情的整体内容。。报告提出了所实施的验证的范围和目的,包括管理结构、沟通策略、风险管理监控,文档化过程,系统运行和控制的物理访问数据。。
当你从另一个组织收到服务、组织、控制报告时,你应该从批判性的角度去阅读所有信息。。即使无条件地接收报告,最终也有可能成为组织的危险信号。。无条件报告是为了达成目标完全是没有失败。。确认管理员对所有失败控件的回答,确认是否设置了冲突控件,以及进行了怎样的修复(修复后)。。
考虑审计人员发现的所有例外和偏离,并确定是否可以接受所有相关风险。。你需要被下议院认为你了解所有的事情,并充分了解所有的控制是如何运作的。。关于担忧,请与企业进行协商,确认自报告完成以来,企业是否采取了措施来修正潜在的问题。。你可以利用这些信息来促进公司内部的讨论,因为将商业功能外包给服务组织可能会出现的潜在风险。。
没有风险的决策是不可能的,这是事实,但是SOC报告的存在意义在于帮助组织对重要的商业和安全决策的风险等级有更深的理解。。最好的攻击是真正最好的防御,其中非常有用的是计划制定和准备,还有SOC报告提供的洞察。。