如何解读第三方SOC 2报告

Melissa Lent: Hello everyone. Melissa Lent: This is Melissa Lent. Melissa Lent: I’m the director of education at OAG and I’d like to welcome you to our webcast today during which we will present how to decode third-party SOCK 2 reports. Melissa Lent: We are glad you can join us for this event. Melissa Lent: Instead of completing a full standardsbased risk assessment, some vendors simply submit their most recent SOCK 2 report. Melissa Lent: However, for organizations that lack the expertise and resources. Melissa Lent: Interpreting these SOCK 2 reports can be complex and timeconuming, not to mention inconsistent with how other vendors are assessed. Melissa Lent: How do you simplify the process of analyzing SOCK 2 reports and get what you need to visualize important vendor risks? Melissa Lent: We are glad you can join us as we discuss how to analyze the effectiveness of a vendor’s security controls consistently with the rest of your third party estate. Melissa Lent: For our discussion today, we are joined by our speaker Thomas Humphre, compliance expert and content manager with prevalent. Melissa Lent: We are very pleased to be joined by Thomas as he shares his insight on analyzing the effectiveness of a vendor’s security controls and how to decode third-party SOCK 2 reports. Melissa Lent: But before we start, I’d like to take a minute to go over a few housekeeping notes. Melissa Lent: First, regarding continuing education credit, we provide NASBA approved CPE credit to you for participation in live webinars. Melissa Lent: If you have an OG All Access Pass, which you can purchase individually or as part of a company subscription, the All Access Pass includes many benefits in addition to CPE credit for webcasts, such as access to all OEG resources and ondemand education series. Melissa Lent: So, if you don’t already have a pass, I would encourage you to check it out on the OEG site. Melissa Lent: If you do have an all access pass and would like a certificate of completion for CPE for this event, please be sure to stay with us. Melissa Lent: for the entire hour and to answer all the polls. Melissa Lent: These are requirements for receiving CPE credit for this event. Melissa Lent: And please note, certificates of completion for CPE credit are available only for live events. Melissa Lent: They are not available for viewing archived webinars. Melissa Lent: Second, regarding the recording from this webcast, we will have the recording of this event posted on the OSC website. Melissa Lent: Just log into the site, then go to the webinars tab and select past webinar recordings and then this webcast. Melissa Lent: This recording may be viewed by anyone for about one week and after this time the recording may be viewed by anyone with an all accessess pass. Melissa Lent: Third, regarding upcoming events and activities, please watch your email for announcements from Og about other upcoming webinars. Melissa Lent: You can view information about these upcoming webcasts on the OEG site. Melissa Lent: So today we will address the following learning objectives. Melissa Lent: We will learn how to deconstruct a typical SOCK 2 report including the five trust services principle. Melissa Lent: Explain how to map SOCK 2 report control exceptions into risks in a common vendor risk and security framework. Melissa Lent: Describe best practices to remediate a vendor’s SOCK 2 control deficiencies and determine how to create an agile, integrated, and techdriven compliance program. Melissa Lent: But before we hand over the presentation to our speaker, we’d like to offer our first poll. Melissa Lent: And again, please be sure to answer this poll if you are interested in receiving CPE credit for this event. Melissa Lent: The first poll question is, “Do you have an OAG all accessess pass, which is a paid membership, and would you like to receive CPE credit for this event?”. Melissa Lent: Your options here are yes, I have an all access pass and I would like to receive a CPE certificate of completion for this event. Melissa Lent: I have an all access pass, but I don’t need a CPE certificate of completion. Melissa Lent: No, I do not have an all access pass, but I would like to get one and receive CPE credit for this. Melissa Lent: And future webcasts I attend or no I do not have an all access pass and I don’t want to buy one at this time so I won’t receive CPE credit for this event. Melissa Lent: As you are answering this poll I’d like to hand over the quest the presentation to Thomas to begin our discussion today.

托马斯·汉弗雷：非常感谢，大家好。托马斯·汉弗雷：我是托马斯·汉弗雷。托马斯·汉弗雷：现任Prevalent公司内容经理。托马斯·汉弗雷：我负责基于多种标准构建各类评估体系与框架。托马斯·汉弗雷：其中尤为重要的是SOC 2标准。托马斯·汉弗雷：正如所示，我今日到场旨在深入理解SOC 2报告的核心内涵，掌握关键议题与要素，从而帮助大家解析报告中的风险与例外条款，并将这些内容融入更广泛的第三方风险管理计划。托马斯·汉弗莱：那么让我们从SOC 2评估的介绍开始。托马斯·汉弗莱：SOC（系统与组织控制）是一套框架体系，帮助组织证明其针对自身运营、系统、信息实施的安全控制措施（某些情况下还包括隐私控制措施）及其有效性。托马斯·汉弗莱：这些报告由独立机构——独立审计机构出具。托马斯·汉弗莱：报告可分为两类：第一类和第二类。托马斯·汉弗莱：第一类SOC报告是审计师在特定时间点出具的报告。托马斯·汉弗莱：其重点在于控制措施的设计。托马斯·汉弗莱：首次申请认证的机构通常会从第一类报告开始，因为它能建立信心——证明控制措施已合理设计，政策、流程及控制组已建立到位。托马斯·汉弗莱：第二类报告篇幅更长、内容更详尽，不仅为审计师提供更细致的信息，也面向被审计机构及其更广泛的受众群体。托马斯·汉弗莱：包括客户、监管机构以及任何可能接收或要求获取报告的对象。托马斯·汉弗莱：第二类报告的核心在于评估控制措施的运行效能，因此实施周期较长——通常长达六个月。托马斯·汉弗莱：其目的自然在于让审阅控制措施的审计师确信，所设计的控制机制能够切实有效地运作。托马斯·汉弗莱：嗯...嗯...而要实现这一目标，往往需要合理的时间周期。

托马斯·汉弗莱：例如当组织围绕变更管理、事件管理以及容量规划设计控制措施时，他们需要深入分析现有变更的细节——比如变更如何被管理，或容量如何影响系统——这正是第一类或第二类报告的核心目的。托马斯·汉弗莱：即设计有效性与运行有效性。托马斯·汉弗莱： 这些报告由独立审计师及经认证的审计机构出具，他们具备执行此类评估的资质。托马斯·汉弗莱：至于SOC认证本身，其架构基于五大关键控制组——即信任服务标准（TSC），我们稍后将详细探讨这些标准。托马斯·汉弗莱：这些标准规定了一系列控制措施，与其他公认标准及框架的控制要求具有高度相似性。托马斯·汉弗莱：熟悉ISO 27000、NIST或ISF等信息安全/网络安全框架的人士，会发现其中所识别和评估的控制措施存在诸多共通点。托马斯·汉弗莱：审计机构正是通过这些控制组来验证组织的合规性。托马斯·汉弗莱：但需特别注意——正如后续网络研讨会将阐明——并非所有控制组都必须针对特定组织进行评估。托马斯·汉弗莱：在确定评估范围时，SOC 2允许组织根据自身产品与服务交付模式进行高度定制化评估。托马斯·汉弗莱：正如我们将看到的，某些控制组被组织认定为不适用于其业务。托马斯·汉弗莱：无论是基于所涉产品服务的本质逻辑判断，还是其他因素驱动的评估范围划定与隔离。托马斯·汉弗莱：因此SOCK 2作为结构化方法，构建了框架体系，使组织能够向更广泛的客户群体及其他外部利益相关方展示其在信息安全、网络安全乃至隐私保护（后者应用更为普遍）领域的最佳实践。托马斯·汉弗莱：现在或许有必要更宏观地审视SOCK 2报告的核心概念。

托马斯·汉弗雷：我之前提到过，报告分为两类，且均由独立审计师评估并出具。托马斯·汉弗雷：不过需要明确的关键点在于——随着您接收的SOC 2报告越多，会逐渐发现不同出具机构的报告格式差异极大。托马斯·汉弗雷：各机构构建SOC报告的结构方式可能略有差异，这有时会引发困惑——比如当收到两份报告时，我们仍需确认其服务范围是否与供应商实际提供的服务相匹配。托马斯·汉弗雷：我们能否据此判断是否存在需要重点关注的例外情况或不合规事项？托马斯·汉弗莱：尽管各供应商报告的设计与版式存在差异，但通常都包含五个核心板块。托马斯·汉弗莱：有些报告可能更详尽，但这五个板块必须存在。托马斯·汉弗莱：只要我们理解这五个板块的内涵，就能在报告中精准定位它们。托马斯·汉弗莱：就能更轻松地判断：基于感知风险或已知风险，我们是否该对该机构保持警惕？抑或其已实施最佳实践标准，可视为健康无虞？托马斯·汉弗莱：屏幕左侧列出的五个要点分别是：审计师摘要、组织运营流程与系统概述、报告范围、信任服务标准、控制活动及验证审计，以及管理层回应。托马斯·汉弗莱：右侧展示了SOC 2类型2报告的目录示例，涵盖部分关键内容。托马斯·汉弗莱：那么关于审计师摘要部分，我们需要关注哪些内容？托马斯·汉弗莱：如同多数报告，此处通常包含高层次的执行摘要，为后续内容奠定基调。审计师在此概述评估结果及方法论框架。托马斯·汉弗莱：可能涉及已识别异常情况的具体说明。托马斯·汉弗莱：某些情况下，报告会直接阐述SOC 2的具体实施范围。

托马斯·汉弗莱：关于他们评估该组织所依据的信任标准各方面。托马斯·汉弗莱：因此这份报告提供了非常高管层面的概览，概述了该组织在评估过程中的整体表现。托马斯·汉弗莱：接下来是组织运营、流程与系统的概述，值得特别强调的是第三部分，它充分展现了本节内容的广度与深度。托马斯·汉弗莱：如您所见，此处包含大量子控制项与子条款，占据报告相当篇幅。托马斯·汉弗莱：其核心目的在于详尽阐述：企业采用哪些流程、流程间的联动关系、所使用的系统架构，以及这些流程与系统如何相互协作。托马斯·汉弗莱：从公司背景层面看，这可能是高层次概述——介绍组织的核心业务。托马斯·汉弗莱：包括其提供的产品与服务，以及业务覆盖的地域范围。托马斯·汉弗莱：随后深入到核心流程的具体细节层面。托马斯·汉弗莱：包括风险评估流程、监控支持流程、信息与沟通流程，以及控制环境本身。托马斯·汉弗莱：接着可深入探讨组织的技术能力。托马斯·汉弗莱：例如是否采用Seam系统进行事件监控，是否实施漏洞评估与渗透测试，以及信息备份的执行方式和所用备份系统类型。托马斯·汉弗莱：初次接触如此海量的信息可能令人不知所措，因为评估深度确实可能非常精细——某些独立审计机构会选择达到这种深度，这在某些情况下恰恰反映了组织的复杂性。托马斯·汉弗莱：为何这至关重要？托马斯·汉弗莱：显然，当我们收到供应商报告时，首要核查事项是：评估范围是否与第三方提供的服务范围、产品类型及交付模式完全吻合。

托马斯·汉弗雷：嗯，如果报告范围实际上超出核心业务范畴，而是针对运营中其他独立部分进行隔离管控——而非第三方机构向我们提供的服务内容。托马斯·汉弗雷：这将导致差异性问题，进而彻底改变我们与该第三方机构的协作模式。托马斯·汉弗雷：尤其当存在已知未被纳入评估的系统时——例如其安全控制措施或隐私保护机制从未接受过审查。托马斯·汉弗莱：若审计摘要中尚未提及，报告范围部分将专门阐述此问题——这正是首要确认的关键环节。托马斯·汉弗莱：因为该部分将详细列出经审计师评估的具体控制组。托马斯·汉弗莱：正如稍后所见，共有五个控制组。此时我们就能判断这五个组别是否全部被识别，或是仅评估了其中一个，抑或介于两者之间。托马斯·汉弗莱：接下来进入控制活动与审计验证环节。托马斯·汉弗莱：此处将深入剖析各项控制措施，包括识别具体控制手段、企业实施该控制的响应方式，以及审计师对控制措施的评估意见与分析结果，同时记录是否存在例外情况。托马斯·汉弗莱：若存在例外情况（后续将解释例外定义），报告中也会呈现管理层的应对措施。托马斯·汉弗莱：这点至关重要——当我们梳理控制活动并统计识别出例外情况时。托马斯·汉弗莱：此时该控制点可能已被纳入管理范畴——通过管理层回应，组织得以阐明是否已制定行动计划来处理所发现的问题。托马斯·汉弗莱：也可能存在进一步澄清的情况：某些看似未被记录的例外控制点，实则已在其他环节得到有效管控。

托马斯·汉弗雷：这确实是个关键点，也是管理层的良机——要么明确并落实组织将采取的方针策略，要么对已实施的控制措施和活动进行验证与核查。托马斯·汉弗莱：因此当收到新的SOC报告时，若能从摘要到控制活动范围乃至响应措施中明确识别这五大领域，我们便能更精准地把握报告核心内容——既能确认已涵盖的要素，也能识别是否存在需警惕的风险。托马斯·汉弗莱：我多次提及五大信任服务标准，并强调组织可基于这些交叉标准进行范围界定。托马斯·汉弗莱：五大核心领域分别为：安全性、保密性、处理性、完整性、可用性及隐私性。托马斯·汉弗莱：那么这五大领域具体包含哪些内容？托马斯·汉弗莱：正如我所说，类似ISO和NIST的框架，这些是顶级分类，其下包含一系列控制措施，组织机构将据此接受评估。托马斯·汉弗莱：现在逐一说明。托马斯·汉弗莱：在安全性方面，我们关注的是防范未经授权访问、信息泄露及系统损坏的控制措施。托马斯·汉弗莱：几乎所有SOC 2报告都会将安全纳入评估范围。托马斯·汉弗莱：虽然具体覆盖哪些控制组由组织自行决定，但经与审计机构协商后，我们发现规模最大的安全控制组往往也是覆盖最全面的。托马斯·汉弗莱：那么具体涉及哪些类型的控制措施？托马斯·汉弗莱：主要针对未授权访问、信息泄露及系统破坏的防护措施。托马斯·汉弗莱：涵盖范围从逻辑/物理访问控制、数据加密备份，到治理控制措施——包括职责划分、风险管理框架及其他类似的物理/逻辑控制手段。托马斯·汉弗莱：因此具有很强的技术导向性。

托马斯·汉弗莱：安全驱动性很强，但需要在治理层面与技术层面之间建立分组机制。保密控制旨在保护被设计或认定为机密的信息，在此阶段我还将引入最后一个控制组——隐私保护。隐私控制与保密控制存在微妙差异——顾名思义，隐私控制主要聚焦于个人数据，包括PII（个人身份信息）、SPI（敏感个人数据）、医疗数据等被认定为个人属性的信息。其核心在于建立保护机制，确保数据安全存储与规范处理。托马斯·汉弗莱：例如设立数据控制官，并建立数据泄露管理响应机制。托马斯·汉弗莱：而保密性则更侧重于非个人数据范畴的信息。托马斯·汉弗莱：这可能涉及公司机密。托马斯·汉弗莱：例如专有技术、知识产权，或是归类为保密范畴的其他信息及信息系统。托马斯·汉弗莱：此类控制措施的核心在于保护机密信息。托马斯·汉弗莱：包括防范信息毁损、规范处理流程及存储位置管控。托马斯·汉弗莱：两者存在微妙差异。托马斯·汉弗莱：选择该控制组的企业对此有明确区分。托马斯·汉弗莱：接下来是处理完整性与可用性。托马斯·汉弗莱：完整性方面——熟悉ISO体系的人士会认出这些术语。托马斯·汉弗莱：这相当于数据的质量保证环节。托马斯·汉弗莱：确保系统处理准确及时且有效。可用性则要求信息与系统始终处于可访问状态。托马斯·汉弗莱：从处理完整性角度，需确保数据传输过程不受任何干扰——例如数据结构不被破坏。托马斯·汉弗莱：而可用性则需确保数据随时可用，并能被需要访问的人员获取。托马斯·汉弗莱：因此在建立可用性控制组时，访问控制措施至关重要。

托马斯·汉弗雷：现在关键要重申，是组织方来界定范围。托马斯·汉弗雷：嗯，这引出了一个问题：为什么不涵盖所有范围？托马斯·汉弗雷：为什么不包含全部五个组别？托马斯·汉弗雷：呃，难道不是每家公司都应贯彻从安全到隐私的保护原则吗？托马斯·汉弗莱：答案是否定的。托马斯·汉弗莱：当然，这完全取决于企业自身。托马斯·汉弗莱：背后存在多种原因。托马斯·汉弗莱：一方面，当组织着手获取SOC 2认证或类似资质时，必须审视这些控制措施在其架构中的适配性。托马斯·汉弗莱：例如，若企业基于其产品服务特性，在任何层面上都不涉及个人数据交互或处理，那么隐私控制组显然不适用。托马斯·汉弗莱：同样地，若他们处理的是敏感系统——那些捕获客户机密信息的系统。托马斯·汉弗莱：例如当企业不仅提供系统，还代表客户输入信息时，显然应纳入保密控制组。 托马斯 ·汉弗莱：这完全取决于企业的业务范围和运营规模。托马斯·汉弗莱：但范围界定还需考虑SOC 2认证所需覆盖的领域——例如合同中若要求某站点必须获得SOC 2认证，则可能因特定产品或服务类型而设置严格的隔离区。通过这种隔离区的划定，可明确其作为业务独立单元而非整体——这种划分本身可能有助于识别需要被审计方捕获和评估的最佳控制组。在继续之前，请允许我进行一项快速投票。托马斯·汉弗莱：您是否计划在未来数月内扩充或建立第三方风险管理计划？托马斯·汉弗莱：请回答"是"、"否"或"尚不确定"。托马斯·汉弗莱：好的。托马斯·汉弗莱：那么，您是否计划在未来数月内首次建立或扩充第三方风险管理计划？托马斯·汉弗莱：现在让我们探讨例外条款——在萨克2框架下例外条款的定义，同时思考如何管理风险以及如何与第三方计划进行互动。

托马斯·汉弗雷：屏幕上展示的是从袜子报告中提取的标准样本，该报告记录了特定控制措施。托马斯·汉弗雷：此处我们查看源自信任服务标准的CC 3.4条款，并能看到该标准的细化内容。托马斯·汉弗雷：即组织必须采取的措施及其响应方案。托马斯·汉弗莱：包括哪些控制措施、相关政策、已实施的流程以满足该标准。托马斯·汉弗莱：接着是审计师自身的测试环节。托马斯·汉弗莱：具体采用哪些验证技术、测试手段、检查或访谈方式来确保组织声明符合标准，最后呈现审计师的最终结论。托马斯·汉弗莱：以首个案例为例，若考察控制活动——企业需识别并评估可能显著影响内部控制体系的变更。若组织声明已将业务结构与运营变更纳入年度风险评估范畴，则视为符合要求。托马斯·汉弗莱：因此该组织将业务及运营变更纳入更广泛的风险评估计划及风险登记册管理。托马斯·汉弗莱：基于组织声明，评估人员现需核查风险评估工作表。托马斯·汉弗莱：他们审查了最新风险评估记录，旨在验证业务结构及/或运营变更是否均被纳入考量。托马斯·汉弗莱：首例中我们发现例外情况。托马斯·汉弗莱：年度风险评估中缺乏识别业务结构或运营变更的可见性。托马斯·汉弗莱：因此本次审计中，审计员查阅了风险文件，考量了机构指定的活动，但未能找到任何能验证机构声明与首项结果相符的依据。托马斯·汉弗莱：如您所见，未记录任何例外情况。托马斯·汉弗莱：因此他们再次核查了风险评估。托马斯·汉弗莱：他们审查了本案中法规、经济或物理环境变化的相关要求，并发现证据表明不存在其他例外情况。托马斯·汉弗莱：不符合项方面无需提出任何问题。

托马斯·汉弗雷：其次，我们在此关注另一项控制措施——该组织已建立安全即时分析机制，针对任何关键事件执行该分析，以确定根本原因影响，并识别及达成某种形式的解决方案。托马斯·汉弗莱：审计员在审查安全或重大安全事件时指出——托马斯·汉弗莱：既未记录根本原因，也未记录系统影响或解决方案。托马斯·汉弗莱：这正是组织宣称"这是我们的工作流程"的典型案例。托马斯·汉弗莱："这是我们的操作规范，也是必须履行的步骤"。托马斯·汉弗莱：但现有证据表明这些步骤并未落实。托马斯·汉弗莱：关键在于——相较于其他评估类型，此处缺失的关键点在于：除已标注的例外情况外，托马斯·汉弗莱：我们无法判断其严重程度。托马斯·汉弗莱：我们仅有声明和例外条款。托马斯·汉弗莱：缺乏其他依据来判定这些是否属于关键任务。托马斯·汉弗莱：这些是否属于高危、中危或低危风险，抑或红色风险——无论采用何种方法论定义例外条款。托马斯·汉弗莱：这点至关重要。托马斯·汉弗莱：在SOC 2评估中，我们能发现并有望整合审计师标识的各类例外清单。托马斯·汉弗莱：但我们无法判断审计师是否将某项视为关键风险——此时将其纳入我们自身的风险管理程序，有助于明确该例外所处的风险等级。托马斯·汉弗莱：当然也存在SOC 2报告中未标注任何例外情况的案例，这可称为"健康证明"。托马斯·汉弗莱：即审计方深入审查后，未发现任何设计缺陷或运行效能不足的控制措施。托马斯·汉弗莱：该控制措施已有效实现其预定目标。托马斯·汉弗莱：最后，在进入下一环节前，关于测试结果本身——由于这些信息直接来自审计员，我们总会看到测试结果的报告方式存在些许差异。托马斯·汉弗莱：因此在细节呈现层面并无严格的硬性规定。

托马斯·汉弗雷：在这些情况下，根据组织的控制措施，他们所见或未见的内容相当明确。托马斯·汉弗雷：因此他们声明了已掌握的信息。托马斯·汉弗雷：某些情形下信息会较为有限。托马斯·汉弗莱：显然，检验与核查流程的细节越详尽，测试结果的具体程度越高，就越容易将这些例外情况纳入更广泛的风险管理计划，进而开展第三方协作。托马斯·汉弗莱：因此在将例外情况映射至自有风险平台与流程时——托马斯·汉弗莱：首先需考量细节程度。托马斯·汉弗莱：当审计报告提供充分细节时——包含管理层回应及对结果具体实现环节的补充说明——托马斯·汉弗莱：例如企业已明确表态理解并承诺改进。托马斯·汉弗莱：我们已调整流程，确保必要细节被纳入即时工单系统。同时通过人工核查等手段强化细节把控，这将有效助力我们将例外情况整合到风险流程中。托马斯·汉弗莱：所谓"将例外映射到风险"——托马斯·汉弗莱：具体指什么？托马斯·汉弗莱：由于审计方未提供足够细节——无论是关键性高/中/低风险分类、异常等级，还是影响评分、发生概率等风险管理标准术语。托马斯·汉弗莱：此时我们便需借助现有的风险工具与管理流程。托马斯·汉弗莱：如果我们遵循ISO 31000或NIST风险管理框架等最佳实践标准，可能已建立清晰的框架来识别影响、评定影响分级与发生概率，进而给出总体风险评级，或采用交通信号灯式系统标示关键程度。

托马斯·汉弗雷：那么如果我们已经建立了这些工具，那么承担风险就会更容易——比如根据审计师的意见，基于该例外情况，我们是否认为这是重大风险还是低风险？托马斯·汉弗莱：当然，风险管理工具越成熟，我们就越能全面深入地论证为何采用当前风险评估方法及计算方式。托马斯·汉弗莱：我们发现SOC 2报告被要求提交的一个场景是：当组织向第三方发送评估时——特别是针对特定控制组的评估或调查。托马斯·汉弗莱：例如用于验证标准与最佳实践。托马斯·汉弗莱：例如当我们看到ISO 2701或CIS调查被发送至组织后，却收到SOC 2报告作为回复——因为供应商声称没有时间填写冗长评估，或在发送前已代为完成评估。托马斯·汉弗莱：我们持有这份SOC 2报告，它证明了我们已实施的最佳实践，我们认为这足以替代评估报告。托马斯·汉弗莱：因此，当存在明确预期框架要求使用2701、CIS或其他框架评估供应商时，若出现如前述两种特例情况，托马斯·汉弗莱：我们已能将这些情况映射至相应标准。托马斯·汉弗莱：例如，若将"缺乏根本原因分析"、"安全事件管理流程薄弱"、"安全事件工单处理不善"视为关键风险——因这些在ISO或CIS评估中属于强制性控制项——托马斯·汉弗莱：这将有助于我们明确判定并阐述为何将该风险列为关键。托马斯·汉弗莱：例如将其归类为高风险或中风险。托马斯·汉弗莱：通过运用现有的风险管理工具，识别影响程度与发生概率，结合组织可能采取的既有管理措施，我们能为风险赋予合理的评分。托马斯·汉弗莱：最终即可着手分配与评估管理相关的任务。托马斯·汉弗莱：当例外情况被提出并确认时。

托马斯·汉弗雷：然而，呃，管理层既未作出回应，也未明确表示将采取行动解决问题。托马斯·汉弗莱：我们需要开始思考如何将这些例外情况纳入平台管理。托马斯·汉弗莱：现在该如何与供应商协作，确保这些行动、风险或不符合项得到有效管控并彻底解决。托马斯·汉弗莱：将例外转化为风险。托马斯·汉弗莱：当风险概念明确后。托马斯·汉弗莱：我们已确定所需的计算方法和风险等级评定标准。托马斯·汉弗莱：此时可着手分析其他维度，以完善例外情况的框架，构建更全面的案例，这将极大简化与第三方协作的流程。托马斯·汉弗莱：首先，能否将其映射至我们核心的标准体系？托马斯·汉弗莱：以ISO 27000为例，若该标准已包含明确的核心控制措施，将例外情况映射至标准将使后续识别建议或整改步骤的工作更顺畅。托马斯·汉弗莱：我们自身的风险登记册中是否存在可适用的风险类型？托马斯·汉弗莱：能否为特定SOC 2控制项的事件管理添加标签和风险类型？若完成此类映射，我们是否拥有标准风险登记册来承载所有风险？这样当收到更多SOC 2报告时，就能开展趋势分析和整体视角评估——尤其当出现相似风险与例外情况时。托马斯·汉弗莱：这将推动风险本身的演进。托马斯·汉弗莱：那么能否为风险命名、添加描述并明确风险责任方？托马斯·汉弗莱：当我们从审计师的例外报告中发现风险时。托马斯·汉弗莱：现有信息是否足以判断风险成因？托马斯·汉弗莱：例如是否存在明确的流程缺口？托马斯·汉弗莱：是否某个控制环节存在缺失？托马斯·汉弗莱：能否开始完善风险描述，厘清其来源与确立位置？托马斯·汉弗莱：当然，风险责任方也需明确——这涉及企业内部特定职能部门的对接。托马斯·汉弗莱：我们需要与哪些部门展开讨论，以制定风险整改的时间框架？

托马斯·汉弗雷：因此，将该例外转化为平台层面的更广泛风险，需要经过多个步骤。托马斯·汉弗雷：但正如开头所述，很大程度上取决于SOC 2报告的深度程度。托马斯·汉弗莱：当然也存在审计方未能充分捕捉细节的情况。托马斯·汉弗莱：显然我们无法回溯与审计方沟通。托马斯·汉弗莱：这属于独立事项，且报告已正式发布完成。托马斯·汉弗莱：但若信息不足，我们仍可着手补充细节——此时需更早阶段介入第三方，以便获取更多信息，厘清行动来源及当前持续开展的活动。托马斯·汉弗莱：这样我们就能完善自身的风险登记册和第三方风险管理流程，补充关键细节——包括合作关系的建立背景、当前组织采取的具体措施。托马斯·汉弗莱：进入下一环节前，请回答第三个投票问题。托马斯·汉弗莱：您参与本次网络研讨会的动机是什么？托马斯·汉弗莱：是出于学习目的？托马斯·汉弗莱：纯粹为获取知识经验，深入了解SOC 2项目研究，为即将开展的第三方风险管理项目做准备。托马斯·汉弗莱：或许您已启动第三方风险管理计划，并发现SOC 2将成为重点推进领域；或正要求供应商提供SOC 2评估报告，将其作为评估供应商的关键指标。托马斯·汉弗莱：我需要确认自己在此的身份或职责？托马斯·汉弗莱：屏幕上应该弹出了投票窗口。托马斯·汉弗莱：请选择对应选项进行回复。托马斯·汉弗莱：谢谢。托马斯·汉弗莱：我们已完成OPT报告的建立阶段。托马斯·汉弗莱：报告已接收。托马斯·汉弗莱：我们已理解其中细节、例外情况及范围。托马斯·汉弗莱：我们确认报告范围与供应商提供的产品或服务相符。托马斯·汉弗莱：我们已确认例外情况均被完整记录，现正将其纳入我们自身的风险登记册——希望细节足够详尽，以便我们能开始与第三方展开合作。托马斯·汉弗莱：接下来进入整改阶段。

托马斯·汉弗雷：那我们现在该怎么做？托马斯·汉弗雷：我们面临这些这些这些行动，可能会有也可能没有某种管理层回应。托马斯·汉弗雷：因此我们现在就该着手制定一套操作指南，以便处理这些第二类异常情况。托马斯·汉弗雷：我们需要做出四个关键决策并考虑三项行动方案。托马斯·汉弗雷：首先是最低或强制性要求。托马斯·汉弗雷：业务方是否有强制性要求？托马斯·汉弗雷：具体指什么？托马斯·汉弗莱：我开篇提到，你们可能已向供应商启动或正考虑启动某些安全评估。通过这些评估，你们已了解供应商的运作模式及其向贵方提供的服务。在此过程中，是否识别出任何组织理应默认具备的强制性控制措施？托马斯·汉弗莱：具体而言，我指的是在事件响应能力不足或质量欠佳的例外情况——无论是事件记录方式还是未记录行为。托马斯·汉弗莱：若将此视为所有组织都应实施的最佳实践。托马斯·汉弗莱：这可视为强制性要求，从而对修复方式或修复时限形成额外约束。托马斯·汉弗莱：该组织是否遵循任何最佳实践？托马斯·汉弗莱：是否存在行业标准——无论是来自监管机构的法规要求，还是行业最佳实践，抑或是组织自身确定的遵循方向？托马斯·汉弗莱：若存在ISO、NIST等国际标准或美国SIG等最佳实践，托马斯·汉弗莱：能否借此明确强制性要求及具体实施内容？托马斯·汉弗莱：需要采取何种补救措施？托马斯·汉弗莱：时间框架至关重要。托马斯·汉弗莱：风险应在多长时间内得到解决？托马斯·汉弗莱：若通过风险识别流程，我们发现某些例外情况被归类为重大风险——特别是那些尚未解决且管理层回应仍处于"处理中"或"正在审查"状态的例外情况。

托马斯·汉弗雷：我们需要开始思考，该为第三方设定怎样的时间框架——既要要求他们立即回应并说明将采取的行动，还要设定后续时间节点，明确他们预计何时实施、调整或更新控制措施。托马斯·汉弗雷：那么我们期望这些风险多快得到解决？托马斯·汉弗莱：最后是决策或后续行动。托马斯·汉弗莱：那么已修复的风险将如何处理？托马斯·汉弗莱：我们达到何种阶段时，才能认定已识别出例外情况？托马斯·汉弗莱：我们已从风险角度对其进行分类。托马斯·汉弗莱：我们已与第三方机构接洽，并明确了预期处理方案，或已就所需缓解措施达成共识。托马斯·汉弗莱：最终决策节点是什么？托马斯·汉弗莱：能否依据自身风险偏好和风险接受标准，将风险关闭或降至合理水平？托马斯·汉弗莱：在考虑漏洞修复时，我们需关注几个关键点。托马斯·汉弗莱：一旦明确最佳实践的ES（补救措施）——无论是强制性控制措施，还是我们期望第三方执行的明确步骤。托马斯·汉弗莱：这些要求或预期补救措施可纳入更广泛的风险报告中，并适时传达给第三方。托马斯·汉弗莱：例如针对安全事件工单中未记录根本原因、系统影响或解决方案的情况。托马斯·汉弗莱：我们可制定补救方案，要求供应商明确业务运营受影响的程度。托马斯·汉弗莱：必须记录事件根本原因及采取的解决措施，每份事件工单或记录都应清晰展示正在执行的行动。托马斯·汉弗莱：最后或许需要他们完善事件工单的沟通与处理流程。托马斯·汉弗莱：这涉及提升负责管理事件人员的沟通能力与意识。

托马斯·汉弗莱：我们已深入分析了该问题的根本原因所在，并制定了可行的建议或整改方案。您可将方案提交给第三方机构，待双方组织达成共识后， 我们即可启动全程修复监控，直至修复成功完成，或达到评分体系认定风险可降低/消除的阶段——因第三方已实施充分措施，使该风险不复存在。托马斯·汉弗莱：我们详细阐述了SOC 2报告的定义。托马斯·汉弗莱：并梳理了关键实施步骤。托马斯·汉弗莱：现需重点重申以下几点：托马斯·汉弗莱：特别是刚启动第三方风险管理计划的机构，以及即将开始接收或预期接收SOC 2报告的机构。托马斯·汉弗莱：首先从风险管理角度出发，评估您的第三方风险管理要求。托马斯·汉弗莱：确定哪些业务环节需要遵循最佳实践，哪些环节已达标。托马斯·汉弗莱：我们是否已建立清晰的实施路径、明确的安全评估体系及安全框架，用于向第三方推行或对其进行审计？托马斯·汉弗莱：若已建立，是否存在与这些标准的有效映射机制？这样当收到SOC 2报告时，我们就能针对可能出现的例外情况提供明确指引。托马斯·汉弗莱：这些例外是否符合我们的信息安全评估标准？托马斯·汉弗莱：确定最低要求。托马斯·汉弗莱：这些强制性控制措施是否要求所有第三方必须实施或具备？托马斯·汉弗莱：这些控制措施是否由行业最佳实践标准驱动？托马斯·汉弗莱：或许它们源于行业趋势或监管机构对行业现状的规范。托马斯·汉弗莱：这实际上形成了一个循环机制。托马斯·汉弗莱：因此需要持续评估：这些最佳实践是否符合我们评估第三方供应商的目标与需求？托马斯·汉弗莱：我们采用的标准是否恰当？托马斯·汉弗莱：我们实施的控制措施是否有效？

托马斯·汉弗雷：呃，我们最初确定的最低要求或强制性控制措施，这些是否仍然有效？托马斯·汉弗雷：呃，还是需要调整并确定供应商必须遵守的额外控制措施？托马斯·汉弗雷：最后，能否将这两项SOC 2要求映射到信任标准中？托马斯·汉弗雷：完成这些后，我们将着手评估SOC 2报告本身。托马斯·汉弗雷：收到SOC 2报告后，我们能通过报告确认其适用范围——即报告涵盖的具体内容及例外情况标注位置。托马斯·汉弗雷：该范围是否符合我们对第三方服务内容的预期？托马斯·汉弗莱：订单是否明确标注了规则例外情况？是否指出了流程、政策和系统中的漏洞？托马斯·汉弗莱：确认这些问题后，能否将例外情况提取并纳入第三方风险管理计划？托马斯·汉弗莱：我们将这些例外纳入风险报告，整合到各供应商的风险档案中，使其与我们的风险计算方式保持一致。托马斯·汉弗莱：最后要确保建立管理例外情况的流程，通过风险整改及与相关方的深度协作，实现前端结果的准确性、风险处理的有效性，并最终达成预期成果。托马斯·汉弗莱：最后值得补充的是，正如开头提到的SOC 2报告，某些情况下可能完全未发现例外情况。托马斯·汉弗莱：这意味着审计方已对一个或多个控制组进行全面审查，最终出具了完全无瑕疵的健康证明。托马斯·汉弗莱：这种情况尤其常见于大型机构，特别是那些持续多年开展SOC 2审计的组织。托马斯·汉弗莱：该流程已相当成熟。托马斯·汉弗莱：这并非意味着审计价值减损。托马斯·汉弗莱：显然它为我们提供了另一种途径，让我们能将这些信息应用于交易对手风险管理。托马斯·汉弗莱：但这无疑是个积极成果——我们可以借此展示并识别某些机构正在采取的最佳实践。

托马斯·汉弗雷：特别是当我们需要分析提供安全报告的同类供应商之间的趋势与趋势分析时。托马斯·汉弗雷：最后从Preven的角度补充说明。托马斯·汉弗雷：Preven已开发出安全二和第三方风险管理核查清单，该清单阐述了信任服务原则，映射了TPRIME能力，同时阐明了如何简化合规报告流程。托马斯·汉弗莱：这份文档内容通俗易懂，可通过页面链接免费下载。托马斯·汉弗莱：至此本次网络研讨会结束。托马斯·汉弗莱：现在开放提问环节。托马斯·汉弗莱：好的，已有若干问题开始提交。托马斯·汉弗莱：SOC审计师是否会通过调解机制跟进企业处理任何控制缺陷？托马斯·汉弗莱：SOC审计师是否会通过调解机制跟进企业处理任何控制缺陷？托马斯·汉弗莱：好问题。托马斯·汉弗莱：正如我们已说明的，SOC报告会提供详细的缺陷清单。托马斯·汉弗莱： 通常情况下，袜子审计报告会先进行一次，之后每年重复一次。托马斯·汉弗莱：企业通常以每年一次的频率接受审查评估。托马斯·汉弗莱：若企业主动要求或合同协议规定，评估频率可能提高。托马斯·汉弗雷：当然，在此过程中，SOC团队会跟进组织进展，重点核查上次发现的例外事项。托马斯·汉弗雷：即管理层响应中承诺的改进措施是否落实到位，相关实践改进方案是否已完全执行。

托马斯·汉弗莱：在逐年评估过程中，评估人员确实会审视这些发现，尤其关注未来几年的变化趋势或改进情况——特别是当某个领域出现大量例外情况时，评估人员在撰写报告时可能需要深入探究该领域。托马斯·汉弗雷：嗯，这确实是常见情景——当某个控制组出现特定问题时。托马斯·汉弗雷： 例如在安全控制组中，若存在一系列访问控制要求却持续出现例外情况——至少评估师有必要跟进该组织，要求其提供更详细的实施细节，以确认所采取的措施是否有效，并确保相关流程现已实现高效运作。托马斯·汉弗莱：是的，审计师会进行后续跟进，至少每年一次，某些情况下频率可能更高。托马斯·汉弗莱：这里还有第二个问题。托马斯·汉弗莱：发现例外情况是否自动意味着出具——抱歉——出具保留意见？托马斯·汉弗莱：发现例外情况是否自动意味着出具保留意见？托马斯·汉弗莱：这是个有趣的问题。托马斯·汉弗莱：因为可能出现两种意见类型：无保留意见和保留意见。托马斯·汉弗莱：理解这些术语的实际含义——即何为"无保留"或"保留"报告/意见——确实很有必要。托马斯·汉弗莱：所以答案取决于具体例外情况。托马斯·汉弗莱：某些情况下，发现的例外问题可能极其严重。托马斯·汉弗莱：典型案例是流程虽有文件记录，却缺乏执行证据——尤其在评估第二类审计项目时考察运营效能时。托马斯·汉弗莱：这可能构成相当严重的审计问题。

托马斯·汉弗雷：另一方面，虽然可能出现例外情况，但流程仍可正常运行。托马斯·汉弗雷：因此，任何具备ISO思维的人听到"观察项"、"轻微不符合项"和"重大不符合项"这些术语时，都会联想到类似的处理流程。托马斯·汉弗莱：若发现需改进的流程、政策或控制环节，且这些问题尚未对组织整体造成不利影响，则属于保留意见的范畴。托马斯·汉弗莱：因此在讨论袜子报告时，或许也该提及无保留意见的情况。托马斯·汉弗莱：当审计报告附有保留意见时，这基本表明单项或多项控制措施存在缺陷——要么设计层面（第一类控制）存在问题，要么运行层面（第二类控制）未能有效运作。托马斯·汉弗莱：因此若出现保留意见报告，这些例外情况已严重到足以判定一项或多项控制措施完全失效。托马斯·汉弗莱：反之，无保留意见或无保留报告则表明所有经测试的控制措施——无论是第一类设计控制还是第二类运行控制——均有效运作。托马斯·汉弗莱：这种情形下可能存在两种情况：要么未发现任何问题或例外情况，要么虽存在某些问题但未造成重大不利影响。托马斯·汉弗莱：因此审计师最终出具保留意见还是无保留意见，很大程度上取决于所发现异常的严重程度。托马斯·汉弗莱：嗯，希望解释得够清楚。托马斯·汉弗莱：最后一个问题。托马斯·汉弗莱：我曾听闻某些公司使用"衔接函"一词。托马斯·汉弗莱：这是什么文件？能否替代SOC 2报告？托马斯·汉弗莱：嗯，很有意思的问题。托马斯·汉弗莱：过渡函可适用于多家公司，本质上是填补时间空档——正如"过渡"二字所示。其作用在于衔接上次SOC 2报告的截止日期与下次报告的起始日期。托马斯·汉弗莱：但可能存在时间间隔——即上次SOC报告完成与下次SOC报告或SOC评估实施之间的时间差。

托马斯·汉弗雷：若存在显著间隔——通常指任何超过三个月或更长时间的间隔——则可出具一份函件，该函件实质上是公司对上次发布的SOC 2报告所涵盖控制措施的验证声明，表明我们未对相关控制措施进行任何重大变更。托马斯·汉弗雷：运营或业务层面未发生影响内部控制的重大变更。托马斯·汉弗雷：需明确说明此函件并非SOC 2报告的替代品，但当两次SOC 2审计间隔过长时，它能为客户提供必要的保障。托马斯·汉弗莱：我们发现这种做法在众多企业中普遍存在，尤其是一些大型跨国公司——它们已实施SOC 2多年，但因故出现报告间隔期。这种由企业自行签发的保证声明虽未经审计师验证，但确实能提供特定层级的保障。客户角度审视时值得考量。需注意的是，该声明未经审计师验证，仅代表组织方回应：确认自上次SOC 2评估以来未发生重大变更，并为下次定期评估做好准备。托马斯·汉弗莱：好的。托马斯·汉弗莱：目前暂无其他问题。托马斯·汉弗莱：若您在本次网络研讨会后仍有疑问，请随时告知，我将非常乐意为您解答。托马斯·汉弗莱：谢谢。梅丽莎·伦特：太好了。梅丽莎·伦特：托马斯，非常感谢您今日的参与，分享了如何分析供应商安全控制有效性及解读第三方SOC 2报告的见解。梅丽莎·伦特：您的见解令我们获益匪浅。梅丽莎·伦特：诚邀各位观众参与OAG后续网络研讨会。梅丽莎·伦特：请留意OAG发送的活动通知邮件。梅丽莎·伦特：今日直播至此结束。梅丽莎·伦特：衷心感谢各位的参与。