Kontrola systemu i organizacji

Kontrole systemu i organizacji (SOC) (czasami określane również jako kontrole organizacji usługowych), zgodnie z definicją Amerykańskiego Instytutu Biegłych Księgowych (AICPA), to nazwa zestawu raportów tworzonych podczas audytu. Jest przeznaczony do użytku przez organizacje usługowe (organizacje, które dostarczają systemy informatyczne jako usługi dla innych organizacji) do wydawania użytkownikom tych usług zatwierdzonych raportów kontroli wewnętrznej nad tymi systemami informatycznymi. Raporty koncentrują się na kontrolach pogrupowanych w pięć kategorii zwanych Zasadami usług zaufania . AICPA standard rewizji finansowej Oświadczenie w sprawie standardów dla zleceń atestacyjnych nr. 18 (MSB 18), sekcja 320, „Sprawozdanie z badania kontroli w organizacji usługowej istotnej dla kontroli wewnętrznej jednostek korzystających z usług nad sprawozdawczością finansową”, definiuje dwa poziomy sprawozdawczości, typ 1 i typ 2. Dodatkowe materiały zawierające wytyczne AICPA określają trzy rodzaje raportowania: SOC 1, SOC 2 i SOC 3.

Zasady usługi zaufania

Raporty SOC 2 koncentrują się na kontrolach objętych pięcioma częściowo nakładającymi się kategoriami zwanymi zasadami usług zaufania , które również wspierają triadę bezpieczeństwa informacji CIA:

1. Bezpieczeństwo
   • Zapory ogniowe
   • Wykrywanie włamań
   • Uwierzytelnianie wieloskładnikowe
2. Dostępność
   • Monitoring wydajności
   • Odzyskiwanie po awarii
   • Obsługa incydentów
3. Poufność
   • Szyfrowanie
   • Kontrola dostępu
   • Zapory ogniowe
4. Integralność przetwarzania
   • Zapewnienie jakości
   • Monitorowanie procesu
   • Przestrzeganie zasady
5. Prywatność
   • Kontrola dostępu
   • Uwierzytelnianie wieloskładnikowe
   • Szyfrowanie

Raportowanie

Poziomy

Istnieją dwa poziomy raportów SOC, które są również określone przez SSAE 18:

• Typ I, który opisuje systemy organizacji usługowej oraz czy projekt określonych kontroli spełnia odpowiednie zasady zaufania. (Czy projekt i dokumentacja mają szansę osiągnąć cele określone w raporcie?)
• Typ II, który dotyczy również skuteczności operacyjnej określonych kontroli w pewnym okresie czasu (zwykle od 9 do 12 miesięcy). (Czy implementacja jest odpowiednia?)

typy

Istnieją trzy rodzaje raportów SOC.

• SOC 1 – Kontrola wewnętrzna nad sprawozdawczością finansową (ICFR)
• SOC 2 – Kryteria usług zaufania
• SOC 3 – Raport o kryteriach usług zaufania dla ogólnego użytkowania

Dodatkowo dostępne są specjalistyczne raporty SOC dotyczące Cyberbezpieczeństwa i Łańcucha Dostaw.

Raporty SOC 1 i SOC 2 są przeznaczone dla ograniczonej grupy odbiorców — w szczególności dla użytkowników posiadających odpowiednią wiedzę na temat danego systemu. Raporty SOC 3 zawierają mniej szczegółowe informacje i mogą być rozpowszechniane wśród ogółu społeczeństwa.

Linki zewnętrzne

• „Oświadczenie w sprawie standardów dotyczących zleceń zaświadczających 18, Standardy zaświadczające: wyjaśnienie i ponowna kodyfikacja” , AICPA
• „Standardy zawodowe”, sekcja AT-C 320 , AICPA