I løpet AV DE siste ukene har VI gravd inn I SSAE 16 SOC 2-rapportene. VI har sett på HVA EN SOC 2-rapport er, forskjellene Mellom en type I og TYPE II-rapport, og hvorfor Avsnitt III er så viktig. Denne uken skal vi se på hva som kalles 5 Trust Service Principles. DISSE er svært spesifikke FOR SSAE 16 SOC 2-rapporten og er kritiske når de går gjennom hele prosessen.
Før vi graver inn I 5 Trust Service-Prinsippene, la oss definere hva de er og hvorfor de er så viktige. Ifølge AICPA er 5 Trust Service-Prinsippene » et sett med profesjonell attestasjon og rådgivning basert på et kjernesett av prinsipper og kriterier som adresserer risikoen og mulighetene FOR IT-aktiverte systemer og personvernprogrammer.»Whew, det var en munnfull! Men hva betyr det i enklere termer? 5 Trust Service-Prinsippene er definerte kriterier, eller kontroller, som må oppfylles for å gi en ukvalifisert mening når DU går GJENNOM SSAE 16 SOC 2-Rapporten. I hovedsak betyr dette at revisor ikke fant noen vesentlige unntak eller funn under oppdraget (i.e. et gunstig resultat).
så med det, la oss se på hva 5 Trust Service Prinsippene er og gi et høyt nivå definisjon av dem:
- Sikkerhet – systemet er beskyttet mot uautorisert tilgang, både fysisk og logisk
- Tilgjengelighet – systemet er tilgjengelig for drift og bruk som forpliktet eller avtalt
- Behandling Integritet – systembehandling er fullstendig, nøyaktig, rettidig og autorisert
- Konfidensialitet – Informasjon utpekt som konfidensiell er beskyttet som forpliktet eller avtalt
- Personvern – Personlig informasjon samles Inn, brukt, beholdt, avslørt og ødelagt i samsvar med forpliktelsene i enhetens Personvernerklæring Og med kriteriene beskrevet I Allment Aksepterte Personvernprinsipper (GAPP ))
Nå som vi vet 5 Trust Service Prinsipper, det er ett stort spørsmål som gjenstår: hvem velger og bestemmer Hva Trust Service Prinsipper er i omfang FOR EN SSAE 16 SOC 2 Rapport? Selv om det ikke er en sjekkliste du kan bruke til å identifisere Hvilke Prinsipper For Tillitstjenester som er i omfang, kommer det ned til ledelsen og en godt trent revisor å ta den avgjørelsen etter å ha sett på systemene i omfang FOR SOC 2-rapporten og infrastrukturen, programvaren, menneskene, retningslinjene/prosedyrene og dataene som omgir det systemet som er i omfang.
Bunnlinjen er At HVIS DU gjør deg klar til Å gå GJENNOM SSAE 16 SOC 2-Rapportprosessen (Enten En type i eller EN TYPE II), vil det være i din beste interesse å engasjere en profesjonell til å hjelpe deg med Både Seksjon III og skissere hvilke Tillitsprinsipper Som vil være i omfang, basert på de faktorene som er skissert ovenfor. For hjelp til Å komme i gang MED OG gå GJENNOM SSAE 16 SOC 2 Rapportprosessen, kontakt oss for en gratis konsultasjon. Hvis du vil ha mer informasjon om TJENESTENE våre, kan du laste NED SSAE 16-tjenestebrosjyren nedenfor.