在GDPR之后,IT合规标准领域的下一个重大变化就在这里. 新《澳门赌场官方下载》的适用期限(SOC2 2017信托服务标准)刚刚开始-所有在12月15日或之后结束审查期的SOC2报告, 2018年将必须按照新标准发布.
什么是SOC2?
正如美国注册会计师协会所说, SOC2报告提供了“关于服务组织中与安全相关的控制的详细信息和保证”, 可用性, 服务机构用于处理用户数据的系统的处理完整性以及这些系统处理的信息的保密性和隐私性.“在过去几年里, 人们对SOC2的认识有所提高, 越来越多的组织希望获得SOC2报告,以展示围绕其提供的产品或服务的可靠控制系统.
把门柱
监管机构和标准机构一直在重新审视现有的规定,看看它们是否需要更新,以使其更有意义, 与消费者相关且有用. 美国注册会计师协会已经认识到需要一个坚实的内部流程和控制系统, 包括监控和报告, 使服务机构能够履行其服务承诺. 因此, 此时此刻, SOC2标准已被修改,以包括围绕管理监督和风险管理流程的更广泛的实体级控制, 以及其他专门针对网络安全风险的技术控制措施. 信任服务原则——安全, 可用性, 报告所依据的处理完整性和隐私——在更新中被称为信任服务类别.
关键的变化
早期的信托服务原则和标准现在被归类为信托服务标准(TSC),并以不同的方式编纂,以与COSO 2013框架保持一致. COSO框架的5个COSO组件和17个原则对应着不同的通用标准. 进一步, 根据COSO原则12,要求实体部署控件, 对于某些关键控制领域,还有其他标准. 和过去一样, 公共标准属于安全类别, 对于其他类别,还有额外的标准. 下表更好地说明了这一点.
| TSC裁判. # | 标准/ COSO组件 | COSO所涵盖的原则 |
|---|---|---|
| CC 1.0 | 控制环境 | 原则1 - 5 |
| CC 2.0 | 通信与信息 | 原则13 - 15 |
与COSO框架保持一致, 每个标准都有一个与之相关的焦点(POF)列表. 根据美国注册会计师协会(AICPA)的说法,pof有助于管理层实施正确的控制. 当管理人员和服务审核员评估控制是否被适当地设计和有效地操作以满足TSC时,它也可以帮助他们.
这里要提到的最后一个重要的变化是作为系统描述的一部分, 服务组织现在需要记录其服务承诺,并披露由控制故障之一导致的任何系统或安全事件, 或者导致服务组织没有满足所声明的服务承诺之一. 这一点很重要,因为它要求实体进行跟踪, 评估影响和补救发生的每一个事件,有效报告.
效果如何??
从实用性的角度来看, 一个重要的区别是,作为标准早期版本的一部分, 《澳门赌场官方下载》为每项标准规定了说明性控制. 然而,在最新的更新中,美国注册会计师协会没有为tsc提供示例控制. 有趣的是, 这可能是一个有意识的举动, 因为存在这种对诱惑的恐惧,即只包括每个标准所需的最低限度的说明性控制集,并寻求保证报告. 正如美国注册会计师协会所指出的,适用新的TSC需要判断. The current SOC2 TSC requires service organizations to think critically about each criterion and to evaluate the applicability of each of the POFs in the context of the services provided; and identify and implement controls corresponding to every relevant POF. 新的SOC2需要额外的时间和精力.
总的来说,新的SOC2涵盖的范围更广,而不是更深入. 重点是网络风险, 新标准正确地要求一个全面的风险评估过程, 适当组合用于降低风险的控制措施(重点是事件监视和处理),以及作为关键防御层的总体公司治理结构. 肯定, SOC2的门槛提高了, 它还要求存在和运作一个与报告信托服务类别有关的全面的内部控制系统.
作者附言: 这篇文章反映了作者的个人观点,并不一定反映他所在的任何组织的观点.
