什么是 SOC 报告,如何使用?
系统与组织控制(SOC)是由美国注册会计师协会(AICPA)制定的一套 IT 控制标准。注册审计师执行 SOC 审计,并使用报告来证明 IT 控制措施的实施情况,以确保公司系统和信息的安全。
SOC 审计旨在评估五个关键领域的控制措施,称为 "信任服务标准":
- 安全
- 保密性
- 处理完整性
- 可用性
- 隐私权
SOC 报告对组织的运营和系统及其有效性进行详细评估。SOC 报告有两种类型:
SOC 2 第 1 类报告
第 1 类报告审查安全控制设计,包括程序和流程。第 1 类审计在单一时间点进行。
SOC 2 第 2 类报告
第 2 类报告审查第 1 类报告中确定的控制措施的运行效果。第 2 类审计深入研究控制措施,由审计人员在较长的时间内进行,有时长达 6 个月。
本职位的重点是 SOC 22 类报告。
SOC 2 报告包含哪些内容?
虽然 SOC 2 报告会根据进行评估的审计师而有所不同,但一般都包括以下内容,以确定评估范围和不符合项(即控制异常)。
- 执行摘要或审计员摘要: 包括审计结果概述、审计员如何进行审计,以及一定程度的指导,说明审计结果是相关性较强还是较弱。
- 概述组织运作、流程和系统: 审查组织及其审计目标。
- 报告范围: 检查审计范围内的五项信任服务标准和支持控制。有时,组织会选择只关注一个或两个 "信任服务标准",而不是全部五个标准,尤其是在某些标准对其不适用的情况下。
- 控制活动和审计员评估:深入分析逐项列出的控制措施,包括进行的测试和测试结果。
- 管理层的回应: 注意例外情况,并提供答复,详细说明组织计划如何管理例外情况。
信托服务标准包括哪些内容?
在 SOC 2 报告中,安全信任服务标准始终适用,但大多数 SOC 2 报告只包括一到两个附加标准。
- 安全性: 防止未经授权访问、信息泄露和系统损坏的控制措施。了解公司是否制定了安全框架,以及对逻辑和物理访问的控制。
- 保密性: 识别、管理和处置/销毁机密信息(非个人信息)的控制措施。
- 处理完整性:确保系统处理准确、及时和有效的控制措施。
- 可用性: 确保信息和系统随时可用和可访问的控制措施。
- 隐私: 保护个人身份信息 (PII) 的控制措施。
为什么要使用 SOC 2 报告?
公司在以下情况下使用 SOC 2 报告
如何解读 SOC 2 报告中的风险?
典型的 SOC 2 报告会将风险识别为 "测试结果"。典型的 SOC 2 例外表如下所示:
- 控制 #是用于跟踪每个控制在其整个生命周期的代码。
- 标准是对经过测试的控制措施的描述。
- 控制活动说明公司目前如何处理该控制。
- 运行有效性测试说明审计员如何检查控制以及遵循了哪些程序。
- 测试结果 说明是否有异常情况以及偏差是多少。
SOC 2 报告中没有风险分级,如红色/琥珀色/绿色的风险失效指标。这正是第三方风险管理平台可以提供帮助的地方!
如何映射 SOC 2 控制异常,以便集中管理相关风险?
如果没有集中跟踪第三方风险的方法,将 SOC 2 控制异常或测试结果转化为风险可能会很棘手。
我们建议采用 "可能性和影响 "方法为任何已确定的例外情况分配风险分数。
- 可能性(Likelihood)估计第三方控制失效影响贵组织运营的概率。
- 影响估算控制失灵对组织运营的干扰程度。
使用一个简单的 0 到 5 的量表(0 表示无可能性或无影响,5 表示高可能性或高影响),您可以创建一个热图,对风险进行快速评分和分类。
一旦风险被归类到热图中,您就可以定义风险所有权、分配任务,并与第三方合作进行风险处理和补救*。
*请记住,第三方可能已经在 SOC 2 报告的 "管理响应 "部分中处理了发现的问题。
如何简化跟踪和补救 SOC 2 风险的流程?
首先,根据以下内容制定纠正 SOC 2 异常的操作手册:
- 最低/强制性要求:确定对第三方的绝对要求。如果某一领域存在例外情况,则第三方必须进行补救。
- 最佳实践:根据行业最佳实践,纳入贵公司对如何补救风险或控制异常的预期。
- 时间表:根据风险的严重程度设定时限。
- 决定或由此产生的行动:确定补救后的风险如何处理。是接受补救并根据公司的风险偏好降低风险评分,还是关闭风险,不再采取进一步行动?
明确说明要求。如果您希望获得进一步的证据,请说明何时需要。此外,还要确认是否需要持续监控或补救。
利用现有的风险登记册,将这些控制例外情况映射到已有的风险登记册中。这种方法可帮助您根据其他框架交叉映射合规报告的发现。
如果没有一个能够自动进行风险识别、评估、分流、监控和补救的中央平台,就不可能管理第三方风险,无论这些风险是否是通过 SOC 2 报告发现的。这正是 Prevalent 可以提供帮助的地方!
入门 SOC 2 第三方风险管理
Prevalent 可利用具有 SOC 2 合规性专业知识的解决方案和专业人员,帮助简化 SOC 2 第三方风险管理。普盛的SOC 2 异常分析服务:
- 审核 供应商提交的完整 SOC 2 报告 ,以代替评估。这样,您的团队就不需要为每个供应商审核冗长的审计师报告,从而节省了时间。
- 进行简短的背景访谈,了解企业所有者对供应商提交的 SOC 2 报告的需求。
- 根据服务范围、SOC 2 报告和每个领域,以一致且易于理解的格式总结关键发现和建议。这样,您的团队就能在正确的时间从 IT 安全和风险管理专家那里获得正确的指导。
- 确定任何被认为适当的缺失控制标准。作为例外分析的一部分,我们的专家会确定任何应纳入 SOC 2 报告但目前尚未纳入的控制标准。这将帮助您弥补控制漏洞。
- 就 SOC 2 的适用性提供建议,并指导采取任何补救措施。补救措施和适用性指导可提高安全性,有助于防范第三方安全风险。
- 将 SOC 2 控制标准映射到 SIG Lite 或 Prevalent Compliance Framework (PCF),使您的供应商风险管理团队能够采用一致的方法来评估与供应商开展业务的安全风险。
准备好开始了吗?
如需了解有关 Prevalent SOC 2 异常分析服务的更多信息,请下载数据表或申请演示以安排策略讨论!
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
