Разумевање усклађености СОЦ 1 наспрам СОЦ 2 наспрам СОЦ 3

by
Tweet
Share
Share
Pin

Усклађеност је кључни аспект раста ваше организације.

Претпоставимо да желите да водите СааС пословање и да циљате купце средњег тржишта. У том случају, морате да будете у складу са важећим правилима и прописима и да задржите јачи безбедносни став за своју компанију.

Многе организације покушавају да заобиђу ове захтеве применом безбедносних упитника.

Дакле, када купац или клијент захтева СОЦ сертификат, можете схватити колико је важно бити у складу са прописима.

Усклађеност контроле организације услуга (СОЦ) односи се на врсту сертификације у којој организација завршава ревизију треће стране која показује одређене контроле које ваша организација има. СОЦ усклађеност је такође применљива на ланац снабдевања и СОЦ сајбер безбедност.

У априлу 2010. године, Амерички институт сертификованих јавних рачуновођа (АИЦПА) најавио је промену САС 70. Рафинисани и нови стандард ревизије је назван Изјава о стандардима за ангажовање атестирања (ССАЕ 16).

Уз ревизију ССАЕ 16, такође су успостављена три друга извештаја за испитивање контрола услужне организације. То се називају СПЦ извештаји који садрже три извештаја – СОЦ 1, СОЦ 2 и СОЦ 3 који носе различите циљеве.

У овом чланку ћу поменути сваки СОЦ извештај и где их применити и како се уклапају у ИТ безбедност.

Идемо!

Шта је тачно извештај СПЦ?

Извештаји СОЦ-а се могу сматрати конкурентском предношћу која користи организацији у смислу новца и времена. Користи треће стране и независне ревизоре да испита различите аспекте организације, укључујући:

  • Доступност
  • Повјерљивост
  • Приватност
  • Интегритет обраде
  • Безбедност
  • Контроле везане за сајбер безбедност
  • Контроле везане за финансијско извештавање

Извештаји СОЦ-а омогућавају компанији да се увери да потенцијални пружаоци услуга послују у складу и етички. Иако ревизије могу бити незгодне, оне могу понудити огромну сигурност и поверење. Извештаји СОЦ-а помажу да се утврди поузданост и кредибилитет пружаоца услуга.

Штавише, СПЦ извештаји су корисни за:

  • Програми за управљање добављачима
  • Надзор над организацијом
  • Регулаторни надзор
  • Процес управљања ризицима и интерно корпоративно управљање

Зашто је СПЦ извештај неопходан?

Неколико услужних организација, као што су компаније за центре података, СааС провајдери, сервисери зајма и процесори потраживања, потребно је да се подвргну СОЦ прегледу. Ове организације морају да чувају финансијске податке или осетљиве податке својих клијената или ентитета корисника.

Дакле, свака компанија која пружа услуге другим компанијама или корисницима може да се уклопи у СОЦ испит. СОЦ извештај не само да даје до знања вашим потенцијалним клијентима да је компанија легитимна, већ и открива пред вама недостатке и слабости ваших контрола или клијената кроз процесе процене.

Шта можете очекивати од процене СПЦ?

Пре него што прођете кроз процес процене СОЦ-а, морате да одредите који тип СОЦ извештаја вам је потребан који може највише одговарати вашој организацији. Затим ће почети званични процес са проценом спремности.

Услужне организације се припремају за испитивање идентификујући потенцијалне црвене заставице, недостатке, недостатке и још много тога. На овај начин, компанија може да разуме доступне опције за поправку ових недостатака и слабости.

  5 најбољих Лефт 4 Деад 2 (Л4Д2) хостинг сервера за бољу игру

Ко може да изврши ревизију СПЦ?

СОЦ ревизије врше независни овлашћени јавни рачуновође (ЦПА) или рачуноводствене фирме.

АИЦПА успоставља професионалне стандарде који имају за циљ да регулишу рад СОЦ ревизора. Поред тога, организације морају поштовати одређене смернице у вези са извршењем, планирањем и надзором.

Свака АИЦПА ревизија се затим подвргава ревизији од стране колега. ЦПА организације или фирме такође ангажују не-ЦПА професионалце са информационим технологијама и безбедносним вештинама да се припреме за СОЦ ревизију. Али, коначни извештај мора бити проверен и обелодањен од стране ЦПА.

Хајде да прођемо кроз сваки извештај посебно да бисмо разумели како функционишу.

Шта је СОЦ 1?

Главни циљ СОЦ 1 је контрола циљева унутар СОЦ 1 докумената и процесних области интерних контрола које су релевантне за ревизију финансијских извештаја субјекта корисника.

Једноставно речено, он вам говори када услуге организације утичу на финансијско извештавање ентитета корисника.

Шта је СОЦ 1 извештај?

Извештај СОЦ 1 утврђује контролу услужне организације која се примењује на контролу ентитета корисника над финансијским извештавањем. Дизајниран је да задовољи захтеве корисничких ентитета. У овом случају, рачуновође процењују ефикасност интерних контрола услужне организације.

Постоје две врсте извештаја СОЦ 1:

  • СОЦ 1 Тип 1: Овај извештај се генерално концентрише на систем услужне организације и проверава прикладност системских контрола за постизање циљева контроле заједно са описом на одређени датум.

Извештаји СОЦ 1 типа 1 су ограничени само на ревизоре, менаџере и корисничке ентитете, обично пружаоци услуга припадају било којој услужној организацији. Ревизор услуге утврђује извештај који покрива све захтеве ССАЕ 16.

  • СОЦ 1 Тип 2: Овај извештај има слична мишљења и анализе као у извештају СОЦ 1 Тип 1. Али, он укључује ставове о ефикасности унапред успостављених контрола дизајнираних да постигну све циљеве контроле током одређеног периода.

У извештају СОЦ 1 Тип 2, циљеви контроле доводе до потенцијалних ризика које интерна контрола жели да ублажи. Обим обухвата релевантне контролне домене и нуди разумна уверавања. Такође се каже да постоји ограничење за обављање само овлашћених и одговарајућих радњи.

Која је сврха СПЦ 1?

Као што смо већ дискутовали, СОЦ 1 је први део серије Контрола организације услуга која се бави интерним контролама у финансијском извештавању. Применљив је на предузећа која директно комуницирају са финансијским подацима за партнере и клијенте.

На тај начин обезбеђује интеракцију организације, чувајући финансијске извештаје корисника и преносећи их. Међутим, СОЦ 1 извештај помаже инвеститорима, клијентима, ревизорима и менаџменту да процене интерне контроле у ​​вези са финансијским извештавањем у оквиру АИЦПА смерница.

Како одржати усклађеност са СОЦ 1?

Усклађеност са СОЦ 1 дефинише процес управљања свим СОЦ 1 контролама додатим у СОЦ 1 извештај током дефинисаног периода. Осигурава ефективност функционисања СОЦ 1 правила.

Контроле су генерално ИТ контроле, контроле пословних процеса, итд., које се користе за пружање разумне сигурности засноване на циљевима контроле.

Шта је СОЦ 2?

СОЦ 2, који је развио АИЦПА, описује критеријуме за контролу или управљање информацијама о клијентима на основу 5 принципа за пружање услуга од поверења: Ови принципи су:

  • Доступност укључује опоравак од катастрофе, руковање безбедносним инцидентима и праћење перформанси.
  • Приватност: Укључује шифровање, двофакторску аутентификацију (2ФА) и контролу приступа.
  • Безбедност: Укључује откривање упада, двофакторску аутентификацију и мрежне или апликацијске заштитне зидове.
  • Поверљивост: укључује контролу приступа, шифровање и заштитне зидове апликација.
  • Интегритет обраде: Укључује праћење обраде и осигурање квалитета.

СОЦ 2 је јединствен за сваку организацију због својих ригидних захтева, за разлику од ПЦИ ДСС-а. Са специфичним пословним праксама, сваки дизајн има своју контролу да буде у складу са вишеструким принципима поверења.

  Уредите бројеве и функције усред израчунавања и додајте константе [Android]

Шта је СОЦ 2 извештај?

Извештај СОЦ 2 омогућава услужним организацијама да приме и поделе извештај са заинтересованим странама да опишу опште; ИТ контроле које су безбедне на месту.

Постоје две врсте СОЦ 2 извештаја:

  • СОЦ 2 Тип 1: Описује системе добављача и говори да ли је дизајн добављача погодан да испуни принципе поверења.
  • СОЦ 2 Тип 2: дели детаље о оперативној ефикасности система добављача.

СОЦ 2 се разликује од организације до организације у погледу оквира и стандарда безбедности информација јер нема дефинисаних захтева. АИЦПА обезбеђује критеријуме које услужна организација бира да би демонстрирала контроле које имају за заштиту понуђених услуга.

Која је сврха СОЦ 2?

Усклађеност са СОЦ 2 указује на то да организација контролише и одржава висок ниво безбедности информација. Строга усклађеност омогућава организацијама да осигурају да су њихове кључне информације безбедне.

Поштовањем СОЦ 2, добићете:

  • Побољшане праксе безбедности података где се организација брани од сајбер напада и кршења безбедности.
  • Конкурентска предност јер купци желе да раде са добављачима услуга са солидним праксама безбедности података, посебно за цлоуд и ИТ услуге.

Ограничава неовлашћено коришћење података и средстава којима организација рукује. Безбедносни принципи захтевају од организација да додају контроле приступа како би заштитиле податке од злонамерних напада, злоупотребе, неовлашћеног откривања или измене информација о компанији и неовлашћеног брисања података.

Како одржати усклађеност са СОЦ 2?

Усклађеност са СОЦ 2 је добровољни стандард који је развио АИЦПА и који прецизира како организација управља информацијама о својим клијентима. Стандард је описан са пет критеријума за услуге поверења, тј. безбедност, интегритет обраде, поверљивост, приватност и доступност.

СОЦ усклађеност је прилагођена потребама сваке организације. У зависности од пословне праксе, организација може изабрати контроле дизајна које треба да прате један или више принципа услуге поверења. Проширује се на све услуге, укључујући ДДоС заштиту, балансирање оптерећења, аналитику напада, безбедност веб апликација, испоруку садржаја преко ЦДН-а и још много тога.

Једноставно речено, усклађеност са СОЦ 2 није описна листа алата, процеса или контрола; уместо тога, наводи потребу за критеријумима кључним за одржавање безбедности информација. Ово омогућава свакој организацији да усвоји најбоље процесе и праксе релевантне за њене операције и циљеве.

Испод је контролна листа основне усаглашености са СОЦ 2:

  • Контроле приступа
  • Системске операције
  • Ублажавање ризика
  • Управљање променама

Шта је СОЦ 3?

СОЦ 3 је поступак ревизије који АИЦПА развија да би дефинисао снагу интерне контроле услужне организације над центрима података и безбедношћу у облаку. Оквир СОЦ 3 је такође заснован на критеријумима услуга поверења који укључују:

  • Безбедност: Системи и информације су заштићени од неовлашћеног откривања, неовлашћеног приступа и оштећења система.
  • Интегритет процеса: Системска обрада је важећа, тачна, овлашћена, благовремена и потпуна како би се испунили захтеви ентитета.
  • Доступност: Системи и информације су доступни за употребу и рад како би се испунили захтеви ентитета.
  • Приватност: Лични подаци се користе, откривају, одлажу, задржавају и прикупљају да би се испунили захтеви субјекта.
  • Поверљивост: Информације означене као критичне су заштићене да би се испунили захтеви ентитета.

Уз помоћ СОЦ 3, услужне организације одређују који од ових критеријума услуга поверења се примењују на услугу коју нуде корисницима. Такође ћете наћи додатно извештавање, захтеве за перформансе и упутства за примену у Изјавама о стандардима.

Шта је СОЦ 3 извештај?

Извештаји СОЦ 3 имају исте информације као и СОЦ 2, али се разликују у погледу публике. Извештај СОЦ 3 намењен је само општој публици. Ови извештаји су кратки и не садрже тачно исте податке као извештај СОЦ 2. Изграђени су тако да одговарају заинтересованим странама и информисаној публици.

  Предности рачуноводства у облаку (СааС) за мала и средња предузећа [+4 Solutions]

Пошто је СОЦ 3 извештај општији, може се брзо и отворено делити на веб локацији компаније, заједно са печатом који описује његову усклађеност. Помаже у одржавању корака са међународним рачуноводственим стандардима.

На пример, АВС дозвољава јавна преузимања извештаја СОЦ 3.

Која је сврха СОЦ 3?

Компаније, посебно мале или стартап компаније, обично немају довољно ресурса да контролишу или одржавају одређене основне услуге у компанији. Због тога ове компаније често пребацују услуге трећим добављачима уместо да улажу додатни труд или новац у изградњу новог одељења за те услуге.

Стога је оутсоурцинг боља опција, али може бити ризична. Разлог је тај што организација дели податке о клијентима или осетљиве информације са независним провајдерима у зависности од услуга које организација одлучи да ангажује.

Међутим, организације морају да буду партнери само са добављачима који покажу усклађеност са СОЦ 3.

Усклађеност са СОЦ 3 заснована је на АТ-Ц одељку 205 и АТ-Ц одељку 105 ССАЕ 18. Садржи основне информације из описа независног менаџмента и извештаја ревизора. То се односи на све добављаче услуга који чувају информације о клијентима у облаку, укључујући ПааС, ИааС и СааС провајдере.

Како одржати усклађеност са СОЦ 3?

СОЦ 3 је накнадна верзија СОЦ 2, тако да је поступак ревизије исти. Ревизори услуга траже следеће политике и контроле:

Када је ревизија завршена, ревизор генерише извештај на основу налаза. Али извештај СОЦ 3 је далеко мање детаљан јер дели само информације неопходне јавности. Услужна организација слободно дели резултате након завршетка завршне ревизије у маркетиншке сврхе. Говори вам на шта да се фокусирате да бисте прошли ревизију. Дакле, услужној организацији се саветује да:

  • Пажљиво изаберите контроле.
  • Извршите процену да бисте идентификовали недостатке у оквиру контрола
  • Одредите редовну активност
  • Опишите следеће кораке за упозорење о инцидентима
  • Потражите квалификованог ревизора услуга који ће обавити завршни испит

Сада када имате неку идеју о свакој врсти усклађености, хајде да разумемо разлике између ова три да бисмо знали како помажу свакој фирми да стоји на тржишту.

СОЦ 1 вс СОЦ 2 вс СОЦ 3: Разлике

Следећа табела описује сврхе и користи сваког СОЦ извештаја.

СОЦ 1СОЦ 2СОЦ 3Даје мишљења о дизајну типа 1 и дизајну или функционисању типа 2, укључујући процедуре и резултате тестирања. Јединствена испорука која одговара захтевима партнера у вези са операцијама организације, укључујући резултате и процедуре. Слично усаглашености са СОЦ 2, али садржи мање информација . Не укључује процедуре тестирања, резултате или контроле. Контролише захтеве који су битни за интерне контроле у ​​вези са финансијским извештавањем. Нефинансијске контроле се процењују са пет принципа поверења битних за предмет. Такође зависи од пет услуга поверења Критеријуми. Ограничена дистрибуција купцима и ревизорима. Ограничена дистрибуција регулатори, купци и ревизори ће бити дефинисани у извештају. Помозите у маркетингу клијената. Неограничена дистрибуција Одржава транспарентност описа, контроле, процедуре и резултата система. Пружа ниво транспарентности потпуно сличан СОЦ 1 Општа дистрибуција извештаја за маркетиншке користи. Фокусира се на финансијске контроле. Фокусира се на оперативне контроле. Сличан је СОЦ 2 али са мање информација. Описује системе услужне организације. Такође описује системе услужне организације. Описује мишљење ЦПА о адекватним контролама ентитета над систем. Он извештава о интерним контролама. Извештава о доступности, приватности, поверљивости, интегритету обраде и безбедносним контролама. Слично СОЦ 2Усерс канцеларија контролора и ревизор корисника користе СОЦ 1. Деле га у складу са НДА регулаторима, менаџментом и другима. Доступан је јавности. Већина ревизора је „потребно је да зна“. Већина заинтересованих страна и купаца „треба да зна .”Општа јавностПример: процесори медицинских захтева.Пример: компанија за складиштење у облаку.Пример: јавно предузеће.

Закључак

Одлучивање о томе која усаглашеност са СОЦ-ом ће бити најпогоднија за вашу организацију захтева од вас да визуелизујете врсту информација са којима имате посла, било да су то подаци ваших клијената или ваши.

Ако нудите услуге обраде платног списка, можда ћете желети да користите СОЦ 1. Ако обрађујете или хостујете податке о клијентима, можда ће вам требати СОЦ 2 извештај. Слично томе, ако вам је потребна мање формална усклађеност, што је најбоље за маркетиншке сврхе, можда ћете желети да узмете СОЦ 3 извештај.