w ciągu ostatnich kilku tygodni kopaliśmy w raportach SSAE 16 SOC 2. Przyjrzeliśmy się, czym jest sprawozdanie SOC 2, różnicom między sprawozdaniem typu I A sprawozdaniem typu II oraz dlaczego Sekcja III jest tak ważna. W tym tygodniu przyjrzymy się tak zwanym zasadom usług zaufania 5. Są one bardzo specyficzne dla raportu SSAE 16 SOC 2 i mają kluczowe znaczenie podczas całego procesu.
zanim zagłębimy się w Zasady 5 usług zaufania, zdefiniujmy, czym są i dlaczego są tak ważne. Według AICPA, 5 zasad usług zaufania to ” zestaw profesjonalnych usług Atestacyjnych i doradczych opartych na podstawowym zestawie zasad i kryteriów, które odnoszą się do ryzyka i możliwości systemów informatycznych i programów ochrony prywatności.”UFF, to było pełne usta! Ale co to oznacza w prostszych słowach? 5 zasad usługi zaufania to zdefiniowane kryteria lub kontrole, które muszą być spełnione, aby wydać opinię bez zastrzeżeń podczas przeglądania raportu SSAE 16 SOC 2. Zasadniczo oznacza to, że audytor nie znalazł żadnych istotnych wyjątków lub ustaleń podczas zaangażowania (i.E. korzystny wynik).
przyjrzyjmy się więc tym, czym są zasady usług zaufania 5 i podajmy ich definicję na wysokim poziomie:
- bezpieczeństwo – system jest chroniony przed nieautoryzowanym dostępem, zarówno fizycznym, jak i logicznym
- dostępność – system jest dostępny do działania i użytkowania zgodnie z zobowiązaniami lub uzgodnieniami
- integralność przetwarzania – przetwarzanie systemu jest kompletne, dokładne, terminowe i autoryzowane
- poufność – informacje oznaczone jako poufne są chronione jako popełnione lub uzgodnione
- Prywatność – dane osobowe są gromadzone, wykorzystywane, zatrzymywane, ujawniane i niszczone zgodnie ze zobowiązaniami zawartymi w informacji o ochronie prywatności jednostki oraz z kryteriami określone w ogólnie przyjętych zasadach ochrony prywatności (GAPP)
teraz, gdy znamy 5 zasad usług zaufania, pozostaje jedno główne pytanie: kto wybiera i określa, jakie zasady usług zaufania są objęte raportem SSAE 16 SOC 2? Chociaż nie ma listy kontrolnej, której można użyć do określenia, które Zasady usług zaufania są w zakresie, decyzja ta sprowadza się do zarządzania i dobrze wyszkolonego audytora po przyjrzeniu się systemom objętym raportem SOC 2 oraz infrastrukturze, oprogramowaniu, ludziach, zasadach/procedurach i danych otaczających ten system, który jest w zakresie.
Podsumowując, jeśli przygotowujesz się do przejścia przez proces raportowania SSAE 16 SOC 2 (typu i lub typu II), w Twoim najlepszym interesie byłoby zaangażowanie profesjonalisty, który pomoże zarówno w sekcji III, jak i nakreśla, które Zasady obsługi zaufania będą w zakresie, w oparciu o te czynniki opisane powyżej. Aby uzyskać pomoc w rozpoczęciu I przejściu procesu raportowania SSAE 16 SOC 2, skontaktuj się z nami, aby uzyskać bezpłatną konsultację. Aby uzyskać więcej informacji na temat naszych usług, pobierz naszą broszurę usług SSAE 16 poniżej.