服务组织控制(SOC)报告

SOC报告为何重要?

SOC报告传达了公司正在执行的检查和平衡，以根除不一致，并向客户发出强烈的信息，即您正在关注如何遵循政策和程序. 没有任何决策是完全没有风险的, 但SOC报告将为您提供确定所涉及风险量所需的背景. 

SOC报告很重要，因为它们提供了在公共和一致的框架中交付的全面业务概述, 以合理的方式检查组织的范围内系统. 无论是进入一个新的合作伙伴关系，还是回顾你目前的业务关系, 这份公正的报告提供了与供应商生命周期的许多阶段相关的有价值的信息.

SOC报告定义

• 服务机构: 被测试的组织.
• User entity: 希望将业务功能外包给(或与之合作)服务组织的组织.
• Control: 为防止或发现意外后果而设计的可审计过程或机制.e. 欺诈、误报等.)

SOC报表的类型

取决于所需要的信息和所涉及的组织类型, SOC报告有几个版本.

SOC 1:
对用户实体的财务报表有直接或后续影响的控制报告. 基于ssae16报告标准.

SOC 2:
与安全相关的控制报告, availability, 处理完整性, 保密, privacy. 安全控制测试是强制性的, 而其余的(可用性), 处理完整性, 保密, 和隐私)都是可选的. 基于at101报告标准.

SOC 3:

SOC报告组件

每一份安全运营控制报告都将包含审计师的意见, 哪一项涵盖了服务机构对控制的描述是否公平且设计有效. If a report is unqualified, 这意味着审计师发现公司以公平的方式反映了其设计和运营效率, while a qualified 意见意味着他们发现公司的陈述与现实之间存在重大差异. 该意见被考虑 adverse 如果多个控制失败，导致整个目标无法实现.

该报告还将包括服务组织的断言，即在审计员检查期间，所有被测试的控制都是活跃的, 对系统本身的描述, 以及审计员在使用系统时看到的内容. Essentially, 读者应该看到一个故事，说明系统的目的是做什么，以及它实际做了什么. 它应该显示所执行测试的范围和目的, 包括管理结构的数据, 通信政策, 信息安全风险管理, 系统监控、文件程序、系统操作和控制的物理访问.

如何使用SOC报告

当收到来自另一个组织的服务组织控制报告时, 你应该用批判的眼光来阅读所有的信息. 仅仅因为你收到了一份不合格的报告，并不意味着没有例外，最终可能会给你的组织带来危险信号——不合格只意味着目标没有失败 completely. 审查管理层对任何控制措施失败的响应，以确定是否存在任何补偿控制措施，以及发生了哪些补救措施(如果有的话)。.

考虑审核员发现的任何例外/偏差，看看你是否可以接受任何相关风险. 确保你理解了所有内容，并且感觉你已经彻底掌握了所有控件的工作原理. 讨论你对公司的担忧, 并了解自报告发布以来，他们是否采取了措施来解决任何潜在问题. 使用这些信息来推动内部讨论，讨论由于将业务功能外包给服务组织而可能产生的任何潜在风险. 

虽然没有任何决定是没有风险的, SOC报告的存在是为了帮助组织更好地了解与重要业务和安全决策相关的风险水平. 最好的进攻就是最好的防守, 这就是计划和准备——以及SOC报告提供的见解——将发挥作用的地方.

阅读更多有关法规 & Compliance

遵从性:来自博客的最新消息