i løbet af de sidste par uger har vi gravet ind i SSAE 16 SOC 2-rapporterne. Vi har set på, hvad en SOC 2-rapport er, forskellene mellem en type I-og type II-rapport, og hvorfor afsnit III er så vigtig. I denne uge skal vi se på, hvad der kaldes 5 Tillidstjenesteprincipper. Disse er meget specifikke for SSAE 16 SOC 2-rapporten og er kritiske, når de gennemgår hele processen.
før vi graver ind i de 5 Tillidstjenesteprincipper, lad os definere, hvad de er, og hvorfor de er så vigtige. I henhold til AICPA, det 5 Tillidstjenesteprincipper er “et sæt professionelle attesterings-og rådgivningstjenester baseret på et kernesæt af principper og kriterier, der adresserer risici og muligheder for IT-aktiverede systemer og privatlivsprogrammer.”Puha, det var en mundfuld! Men hvad betyder det i enklere termer? Det 5 Tillidstjenesteprincipper er definerede kriterier, eller kontroller, der skal opfyldes for at afgive en ukvalificeret udtalelse, når du gennemgår din SSAE 16 SOC 2 rapport. I det væsentlige betyder det, at revisor ikke fandt nogen væsentlige undtagelser, eller fund, under engagementet (jeg.et positivt resultat).
så med det, lad os se på, hvad de 5 Tillidstjenesteprincipper er og give en definition på højt niveau af dem:
- sikkerhed – systemet er beskyttet mod uautoriseret adgang, både fysisk og logisk
- tilgængelighed – systemet er tilgængeligt til drift og brug som forpligtet eller aftalt
- Behandlingsintegritet – systembehandling er komplet, nøjagtig, rettidig og autoriseret
- fortrolighed – oplysninger udpeget som fortrolige er beskyttet som forpligtet eller aftalt
- privatliv – personlige oplysninger indsamles anvendes, opbevares, videregives og destrueres i overensstemmelse med forpligtelserne i enhedens meddelelse om beskyttelse af personlige oplysninger og med kriterierne beskrevet i almindeligt accepterede Privatlivsprincipper (GAPP)
nu hvor vi kender 5 Tillidstjenesteprincipper, der er et stort spørgsmål, der er tilbage: Hvem vælger og bestemmer, hvilke Tillidstjenesteprincipper der er plads til en SSAE 16 SOC 2 rapport? Selvom der ikke er en tjekliste, som du kan bruge til at identificere, hvilke Tillidstjenesteprincipper der er inden for rækkevidde, kommer det ned til ledelsen og en veluddannet revisor at træffe denne beslutning efter at have set på de systemer, der er omfattet af SOC 2-rapporten og infrastrukturen, programmel, mennesker, politikker/procedurer og data, der omgiver det system, der er inden for rækkevidde.
bundlinjen er, at hvis du gør dig klar til at gennemgå SSAE 16 SOC 2-Rapportprocessen (enten en Type i eller en Type II), ville det være i din bedste interesse at engagere en professionel til at hjælpe med både dit Afsnit III såvel som at skitsere, hvilke Tillidstjenesteprincipper der vil være i omfang, baseret på de faktorer, der er beskrevet ovenfor. For hjælp til at komme i gang med og gennemgå SSAE 16 SOC 2 Rapportproces, kontakt os for en konsultation uden omkostninger. For mere information om vores tjenester, er du velkommen til at hente vores SSAE 16 Services brochure nedenfor.