Over the last several weeks, we have been digged in the SSAE 16 SOC 2 reports. Olemme tarkastelleet SOC 2: n mietintöä, tyypin I ja tyypin II mietintöjen eroja ja sitä, miksi osa III on niin tärkeä. Tällä viikolla käydään läpi niin sanottuja 5 luottamuspalvelun periaatteita. Nämä ovat hyvin spesifisiä SSAE 16 SOC 2-Raporttiin ja kriittisiä koko prosessin aikana.
ennen kuin kaivaudumme 5 luottamuspalvelun periaatteisiin, määritellään, mitä ne ovat ja miksi ne ovat niin tärkeitä. AICPA: n mukaan 5 Trust Service Principles on ”joukko ammatillisia todistus-ja neuvontapalveluja, jotka perustuvat keskeisiin periaatteisiin ja kriteereihin, jotka käsittelevät IT-yhteensopivien järjestelmien ja yksityisyysohjelmien riskejä ja mahdollisuuksia.”Vau, se oli suupala! Mutta mitä se yksinkertaisemmin tarkoittaa? 5 Trust Service periaatteet on määritelty kriteerit, tai valvontaa, jotka on täytettävä antaa varaukseton lausunto, kun läpi SSAE 16 SOC 2 raportti. Käytännössä tämä tarkoittaa sitä, että tilintarkastaja ei havainnut merkittäviä poikkeuksia tai havaintoja toimeksiannon aikana (i.e. suotuisa tulos).
joten katsotaan, mitkä ovat 5 luottamuspalvelun periaatteet ja annetaan niistä korkean tason määritelmä:
- turvallisuus – Järjestelmä on suojattu luvattomalta käytöltä, sekä fyysiseltä että loogiselta
- saatavuus – järjestelmä on käytettävissä käytettäväksi ja käytettäväksi sitoutuneena tai sovittuna
- käsittely eheys – järjestelmän käsittely on täydellistä, tarkkaa, oikea – aikaista ja valtuutettua
- luottamuksellisuus – luottamukselliseksi luokiteltu tieto suojataan sitoutuneena tai sovittuna
- Yksityisyys-henkilötietoja kerätään, käytetään, säilytetään, julkistetaan ja tuhotaan yhteisön tietosuojailmoituksen sitoumusten ja kriteerien mukaisesti esitetty yleisesti hyväksytyissä tietosuojaperiaatteissa (GAPP)
nyt kun tiedämme 5 Luottamuspalveluperiaatetta, jäljelle jää yksi suuri kysymys: Kuka valitsee ja määrittää, mitkä Luottamuspalveluperiaatteet ovat SSAE 16 SOC 2-raportin soveltamisalalla? Vaikka ei ole tarkistuslistaa, jonka avulla voit tunnistaa, mitkä Luottamuspalveluperiaatteet ovat soveltamisalalla, johdon ja hyvin koulutetun tilintarkastajan on tehtävä tämä päätös tarkasteltuaan SOC 2-raportin soveltamisalaan kuuluvia järjestelmiä ja infrastruktuuria, ohjelmistoja, ihmisiä, toimintatapoja/menettelyjä ja tietoja, jotka ympäröivät kyseistä järjestelmää.
jos olet valmistautumassa SSAE 16 SOC 2-raportointiprosessiin (joko tyyppi I tai tyyppi II), olisi sinun etusi mukaista palkata ammattilainen avustamaan sekä osiosi III: ssa että hahmottelemaan, mitkä Luottamuspalveluperiaatteet ovat soveltamisalalla edellä kuvattujen tekijöiden perusteella. Jos haluat apua SSAE 16 SOC 2-Raporttiprosessin aloittamiseen ja läpikäymiseen, ota yhteyttä kustannuksettomaan konsultointiin. Jos haluat lisätietoja palveluistamme, lataa SSAE 16 Services-esite alla.
