美国注册会计师协会SOC 2与第三方风险管理
美国注册会计师协会(AICPA)鉴证服务执行委员会(ASEC)制定了信任服务标准,供组织机构作为框架使用,以证明其系统和数据的保密性、完整性和可用性。
熟悉系统与组织控制(SOC)2审计的组织会认识到,这些信任服务标准用于报告其针对基础设施、软件、人员、流程和数据的内部控制与保障措施的有效性:
- 安全:保护信息和系统免受未经授权的访问、信息泄露以及可能损害系统可用性、完整性、保密性和隐私性的破坏行为,这些行为可能危及信息或系统的可用性、完整性、保密性和隐私性,并影响实体实现其目标的能力。
- 可用性:确保信息和系统能够正常运行和使用,以满足实体的目标。
- 处理完整性:确保系统处理过程完整、有效、准确、及时且获得授权,以满足实体的目标。
- 保密性:保护被指定为机密的信息,以实现该实体的目标。
- 隐私:确保所收集、使用、保留、披露和处置的个人信息符合该实体的目标。
满足SOC 2 TPRM要求
以下是Prevalent如何帮助您满足美国注册会计师协会(AICPA)信任服务标准中所述的SOC 2第三方风险管理要求:
信任服务标准
我们如何提供帮助
CC2.3:该实体就影响内部控制运作的事项与外部方进行沟通。
传达保密性相关目标及目标变更——该实体向外部用户、供应商、业务合作伙伴以及其产品与服务构成系统组成部分的其他方传达保密性相关目标及目标变更。
传达隐私相关目标及目标变更——该实体向外部用户、供应商、业务合作伙伴以及其产品和服务构成系统组成部分的其他方传达隐私相关目标及目标变更。
主流第三方风险管理(TPRM)平台集中管理组织与其第三方供应商、供货商及合作伙伴之间的风险对话、报告及整改事宜。
此外,该平台支持存储报告、政策文件、合同及佐证材料,以供对话、认证和共享之用。
这些功能共同确保组织能够通过单一存储库来可视化并管理风险、供应商文档及补救措施。
CC3.2:该实体识别其目标实现过程中存在的风险,并分析这些风险,以此作为确定风险管理方式的基础。
分析供应商、业务合作伙伴及其他相关方的威胁与漏洞——该实体的风险评估流程涵盖对以下威胁与漏洞的分析:由提供商品与服务的供应商引发的潜在威胁与漏洞,以及由业务合作伙伴、客户及其他可访问该实体信息系统的主体引发的威胁与漏洞。
Prevalent TPRM平台助力企业自动化处理关键任务,涵盖供应商生命周期各阶段——从入职到离职——全面评估、管理、持续监控并修复第三方在安全、隐私、合规、供应链及采购方面的相关风险。
该解决方案具备以下能力:利用超过750种不同模板发布并管理特定时点的风险评估,分析评估结果,同时持续监控第三方网络安全风险、业务风险、声誉风险及财务风险,从而全面掌握第三方风险状况。
内置的报告模板确保安全与风险管理团队能够向高管、其他决策者及利益相关方传达风险评估结果。
CC3.4:该实体识别并评估可能对内部控制体系产生重大影响的变更。
评估供应商和业务伙伴关系的变化——风险识别流程会考虑供应商和业务伙伴关系的变化。
主流平台通过可定制的调查问卷和工作流程,在员工离职期间对系统访问权限、数据销毁、访问管理、相关法律合规性、最终付款等事项进行报告,确保随着协议变更,责任分配同步调整。
此外,Prevalent还提供"合同核心"解决方案,该方案集中管理供应商合同的分发、讨论、保存和审查流程。其工作流功能可实现从入职到离职的全合同生命周期自动化管理。
CC9.2:该实体评估并管理与供应商和业务合作伙伴相关的风险。
确立供应商与业务伙伴合作要求——该实体针对供应商与业务伙伴的合作确立了具体要求,包括:(1) 服务范围与产品规格;(2) 角色与职责;(3) 合规要求;(4) 服务水平。
Prevalent合同管理核心解决方案助力供应商管理、采购及法务团队简化合同条款与服务水平协议的制定与协商流程,实现修订版本管理,并通过工作流确保审批流程顺畅。该方案与完整的供应商风险管理平台深度集成,确保企业能够以管理供应商风险的同等严谨性管理供应商合同。
评估供应商和业务伙伴风险——该实体定期评估供应商和业务伙伴(以及这些实体的供应商和业务伙伴)对实现该实体目标所构成的风险。
明确供应商及业务伙伴管理责任与问责机制——该实体明确了供应商及业务伙伴相关风险管理的责任与问责机制。
借助Prevalent平台,安全与风险管理团队可手动分配评估风险管理相关任务,或利用预置的ActiveRules库自动化执行评估与审查流程中的常规任务——例如更新供应商档案与风险属性、发送通知或启动工作流——这些操作均基于"如果这样,那么那样"的逻辑实现。
评估供应商和业务伙伴的绩效——该实体定期评估供应商和业务伙伴的绩效。
普瑞瓦伦平台使供应商管理团队能够设定追踪要求,并通过单一报告与分析仪表盘集中管理服务水平协议(SLA)及基于这些要求的绩效报告。
实施处理供应商和业务伙伴评估中发现问题的程序——该实体实施处理供应商和业务伙伴关系中发现问题的程序。
主流平台具备报告功能,可揭示风险趋势、状态及特定供应商或群组的异常行为,并融入机器学习洞察。借助此功能,团队能快速识别评估、任务、风险等环节中的异常值,从而确定需深入调查的重点事项。
实施终止供应商和业务伙伴关系的程序——该实体实施终止供应商和业务伙伴关系的程序。
主流平台通过可定制的调查问卷和工作流程,在员工离职期间对系统访问权限、数据销毁、访问管理、相关法律合规性、最终付款等事项进行报告。
评估供应商和业务伙伴对保密承诺的遵守情况——该实体定期并根据需要评估供应商和业务伙伴对其保密承诺和要求的遵守情况。
评估供应商和业务合作伙伴对隐私承诺的遵守情况——该实体定期并根据需要评估供应商和业务合作伙伴对隐私承诺及要求的遵守情况,并在必要时采取纠正措施。
评估供应商和业务合作伙伴对隐私承诺的遵守情况——该实体定期并根据需要评估供应商和业务合作伙伴对隐私承诺及要求的遵守情况,并在必要时采取纠正措施。
P6.4:该实体从供应商及其他可接触个人信息的第三方处获取隐私承诺,以实现其隐私相关目标。该实体定期及根据需要评估这些方的合规情况,并在必要时采取纠正措施。
仅向适当的第三方披露个人信息——个人信息仅披露给与该实体签订协议的第三方,这些协议要求第三方以符合该实体隐私声明相关条款或其他具体指示或要求的方式保护个人信息。该实体已建立程序,用于评估第三方是否具备有效的控制措施以满足协议、指示或要求中的条款。
Prevalent内置了针对GDPR、CCPA、HIPAA及NYDFS等数据保护法规的评估功能。这些评估结果将映射至中央风险登记册,安全与风险管理团队可在此直观呈现数据潜在风险并采取应对措施,同时对照供应商的实际行动与合同义务进行核查。
对第三方滥用个人信息的补救措施——当实体向第三方转移个人信息后,若该第三方滥用该信息,实体将采取补救措施予以应对。
该主流平台内置了修复指导与建议。安全与风险管理团队可通过平台高效对接供应商并协调修复工作,记录并审计沟通内容,同时登记预计完成日期。
P6.5:该实体要求供应商及其他接触个人信息的第三方承诺,在发生实际或疑似未经授权的个人信息泄露时立即通知该实体。此类通知将上报至相关负责人,并依据既定的事件响应程序采取行动,以实现该实体在隐私保护方面的目标。
对第三方滥用个人信息的补救措施——当实体向第三方转移个人信息后,若该第三方滥用该信息,实体将采取补救措施予以应对。
报告实际或疑似未经授权的披露——已建立流程,要求供应商及其他第三方承诺向本实体报告实际或疑似未经授权的个人信息披露事件。
主流第三方事件响应服务通过集中管理供应商、执行事件评估、对识别风险进行评分以及获取补救指导,使安全与风险管理团队能够快速识别并减轻数据隐私事件的影响。
