作为一篇博客文章的后续 先前发表的 由The Mako Group首席审计执行官提供, Shane O ' donnell, 让我们深入挖掘一下,当你收到供应商的SOC 1时,你应该审查什么, SOC 2或SOC 3报告.
每个SOC(服务组织控制)报告都遵循一个基本大纲. 您将找到供应商的管理断言, 独立服务审计员的报告, 供应商对其系统的描述, 以及测试的控制列表. 以下是审查供应商SOC报告时需要关注的一些关键点.
报告由谁发出??
在指出报告由谁发布时,有两个重要因素需要考虑. 首先,根据美国注册会计师协会的规定,只有注册会计师事务所才能发布SOC报告. 注册会计师事务所必须至少每三年接受一次同行评审. 同行评议包括对公司会计和审计实践的审查,以确保它们符合美国注册会计师协会的标准.
虽然重要的是要确保公司发出SOC报告是持牌注册会计师事务所, 还有第二个, 但同样重要的是, 需要考虑的问题. 出具报告的公司或个人是否有信息技术或信息安全认证? SOC报告是与信息安全相关的审计,理解这一点很重要. 这些与注册会计师事务所通常执行的财务审计非常不同.
您可以鼓励您的供应商与专门从事信息安全的注册会计师事务所合作. 寻找证书, 例如认证资讯系统保安专业人员(CISSP), 注册资讯系统审核员(中钢协),并获得风险及资讯系统控制认证(CRISC),仅举几例. 这些认证是严格的,证明了网络安全和信息安全的专业知识.
什么是审计师的意见?
在SOC报告中,您将找到一份独立的服务审计员报告. 在本节中, 审核员将关于供应商系统的总体意见写成文件, 包括系统描述是否公正, 供应商的控制是否设计得当,是否按预期运作. 审计人员的意见是SOC报告的主要原因, 所以理解不同观点的含义是很重要的.
注册会计师可以通过四种方式提出审计意见:
- 不合格: 审计员完全支持调查结果,没有任何修改.
- 合格: The auditor cannot express an unqualified opinion; however, the issues are not pervasive.
- 不利: 审计员认为存在重大和普遍的问题. 报告阅读器不应该依赖于供应商的系统.
- 免责声明: 由于证据不足,审计师不能发表意见, 可能的影响可能是物质的,也可能是普遍的.
要记住的最重要的一点是,你想要一个没有保留意见的意见. 如果发现任何其他类型的意见, 你还应该找一个单独的段落来描述观点的原因和评估资格的影响.
审计包括哪些内容?
在SOC报告中,供应商将提供系统范围的描述. 背景资料和软件说明, 人, 程序, 这些数据都将在系统描述中包含. 由于熟悉供应商的系统和基础设施, 仔细检查此描述,以确定他们可能选择从审计中排除哪些内容. 从这里,您可以确定它对系统和/或数据的安全性是否重要.
是否注意到任何相关的例外情况?
每种类型的SOC报告都将包括测试期间注意到的相关例外情况. 这可以说是SOC报告中最重要的元素. 您必须确定哪些供应商的控制对您的组织至关重要,并评估在这些关键领域中是否存在任何异常. 如果发现异常并确定它们对组织数据的安全性至关重要, 您必须确定这些将对您的组织的安全性产生的影响.
