Jump to content

Системный и организационный контроль

Edit links

Средства контроля системы и организации ( SOC ; также иногда называемые средствами контроля обслуживающих организаций), как это определено Американским институтом сертифицированных бухгалтеров (AICPA), — это название набора отчетов, создаваемых во время аудита. Он предназначен для использования обслуживающими организациями (организациями, которые предоставляют информационные системы в качестве услуги другим организациям) для выпуска проверенных отчетов о внутреннем контроле над этими информационными системами пользователям этих услуг. Отчеты сосредоточены на элементах управления, сгруппированных в пять категорий, называемых «Критерии службы доверия» . [ 1 ] Критерии доверительных услуг были установлены AICPA через Исполнительный комитет по страхованию услуг (ASEC) в 2017 году (TSC, 2017). Эти критерии контроля должны использоваться практикующим специалистом/экспертом (сертифицированным бухгалтером, CPA) при аттестации или консалтинге для оценки и составления отчета о средствах контроля информационных систем, предлагаемых в качестве услуги. Задания могут выполняться в масштабах всего предприятия, дочернего предприятия, подразделения, операционного подразделения, линейки продуктов или функциональной области. Критерии трастовых услуг были смоделированы в соответствии с (COSO Framework) Комитета спонсорских организаций Комиссии Тредвея (COSO) «Интегрированной структурой внутреннего контроля» . Кроме того, критерии доверительных служб могут быть сопоставлены с критериями NIST SP 800-53 и статьями Общего регламента ЕС по защите данных (GDPR) . AICPA Стандарт аудита «Положение о стандартах заданий по аттестации» №. 18 (SSAE 18), раздел 320 «Отчетность о проверке средств контроля в обслуживающей организации, имеющих отношение к внутреннему контролю организаций-пользователей над финансовой отчетностью», определяет два уровня отчетности: тип 1 и тип 2. В дополнительных руководящих материалах AICPA указаны три уровня. типы отчетности: SOC 1, SOC 2 и SOC 3.

Критерии доверительного обслуживания

[ редактировать ]

Критерии доверительных служб были разработаны таким образом, чтобы они могли обеспечить гибкость в применении и лучше соответствовать уникальным элементам управления, реализованным организацией для устранения уникальных рисков и угроз, с которыми она сталкивается. Это отличается от других систем контроля, которые требуют применения конкретных мер контроля независимо от того, применимы они или нет. Применение критериев доверительных услуг в реальных ситуациях требует суждения о пригодности. Критерии доверительных услуг используются при «оценке пригодности конструкции и операционной эффективности средств контроля, касающихся безопасности, доступности, целостности обработки, конфиденциальности или конфиденциальности информации и систем, используемых для предоставления продуктов или услуг» – AICPA – ASEC.

Критерии организации доверительных служб приведены в соответствие с 17 принципами структуры COSO с дополнительными дополнительными критериями, организованными в элементы управления логическим и физическим доступом, системными операциями, управлением изменениями и снижением рисков. Кроме того, дополнительные дополнительные критерии являются общими для критериев доверительных служб — общих критериев (CC) и дополнительных конкретных критериев доступности, целостности обработки, конфиденциальности и конфиденциальности.

Общие критерии обозначены как «Контрольная среда» (CC1.x), «Информация и коммуникация» (CC2.x), «Оценка рисков» (CC3.x), «Мониторинг средств контроля» (CC4.x) и «Контрольная деятельность, связанная с разработкой и внедрением средств контроля». (CC5.x). Общие критерии подходят и полны для оценки критериев безопасности. Однако существуют дополнительные критерии для конкретных категорий: доступность (Ax), целостность обработки (PI.x), конфиденциальность (Cx) и конфиденциальность (Px). Критерии для каждой категории трастовых услуг, рассматриваемых в задании, считаются полными, когда рассмотрены все критерии, связанные с этой категорией.

В отчетах SOC 2 основное внимание уделяется мерам контроля, охватываемым пятью полупересекающимися категориями, называемыми критериями доверительного обслуживания , которые также поддерживают триаду информационной безопасности ЦРУ: [ 1 ]

  1. Безопасность — информация и системы защищены от несанкционированного доступа и раскрытия, а также от повреждения системы, которое может поставить под угрозу доступность, конфиденциальность, целостность и конфиденциальность системы.
    • Брандмауэры
    • Обнаружение вторжений
    • Многофакторная аутентификация
  2. Доступность – информация и системы доступны для оперативного использования.
    • Мониторинг производительности
    • Аварийное восстановление
    • Обработка инцидентов
  3. Конфиденциальность – информация защищена и доступна на законной основе необходимости знать. Применяется к различным типам конфиденциальной информации.
    • Шифрование
    • Контроль доступа
    • Брандмауэры
  4. Целостность обработки — системная обработка является полной, достоверной, точной, своевременной и разрешенной.
    • Гарантия качества
    • Мониторинг процессов
    • Принципиальность
  5. Конфиденциальность — личная информация собирается, используется, сохраняется, раскрывается и удаляется в соответствии с политикой. Конфиденциальность распространяется только на личную информацию.
    • Контроль доступа
    • Многофакторная аутентификация
    • Шифрование

Отчетность

[ редактировать ]

Уровни

[ редактировать ]

Существует два уровня отчетов SOC, которые также определены SSAE 18: [ 2 ]

  • Тип 1, который описывает системы обслуживающей организации и то, соответствует ли конструкция указанных средств управления соответствующим принципам доверия. (Могут ли проект и документация достичь целей, определенных в отчете?)
  • Тип 2, который также учитывает оперативную эффективность указанных средств контроля в течение определенного периода времени (обычно от 9 до 12 месяцев). (Уместна ли реализация?)

Типы

[ редактировать ]

Существует три типа отчетов SOC. [ 3 ]

  • SOC 1 – Внутренний контроль финансовой отчетности (ICFR) [ 4 ]
  • SOC 2 – Критерии доверительных услуг [ 5 ] [ 6 ]
  • SOC 3 – Отчет о критериях доверительных услуг для общего использования [ 7 ]

Кроме того, существуют специализированные отчеты SOC по кибербезопасности и цепочке поставок. [ 8 ]

Отчеты SOC 1 и SOC 2 предназначены для ограниченной аудитории – в частности, для пользователей, обладающих адекватным пониманием рассматриваемой системы. Отчеты SOC 3 содержат менее конкретную информацию и могут распространяться среди широкой публики.

Аудиты

[ редактировать ]

Аудит SOC 2 может проводиться только сертифицированным бухгалтером (CPA) или сертифицированным техническим экспертом, принадлежащим аудиторской фирме, имеющей лицензию AICPA.

Аудит SOC 2 предоставляет подробный отчет о внутреннем контроле организации, составленный в соответствии с 5 критериями доверительного обслуживания. Он показывает, насколько хорошо организация защищает данные клиентов и гарантирует им, что организация предоставляет услуги безопасным и надежным способом. Поэтому отчеты SOC 2 предназначены только для клиентов и других заинтересованных сторон. [ 9 ]

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ Jump up to: а б «Соответствие SOC 2» . imperva.com . Имперва . Проверено 25 февраля 2020 г.
  2. ^ «Заявление AICPA о стандартах заданий по аттестации № 18» . AICPA и CIMA . АИКПА. стр. 231–233 . Проверено 16 ноября 2023 г.
  3. ^ «Системный и организационный контроль: набор услуг SOC» . АИКПА . Проверено 06 марта 2020 г.
  4. ^ «SOC 1 – SOC для сервисных организаций: ICFR» . АИКПА . Проверено 06 марта 2020 г.
  5. ^ «SOC 2 – SOC для сервисных организаций: критерии доверительных услуг» . АИКПА . Проверено 06 марта 2020 г.
  6. ^ «Критерии описания SOC 2® 2018 года (с пересмотренными рекомендациями по внедрению – 2022 год)» . AICPA.org . Проверено 27 февраля 2023 г.
  7. ^ «SOC 3 – SOC для сервисных организаций: отчет о критериях доверительных услуг для общего использования» . АИКПА . Проверено 06 марта 2020 г.
  8. ^ «Системный и организационный контроль: набор услуг SOC» . АИКПА . Проверено 22 февраля 2023 г.
  9. ^ «Понимание SOC 2» . Адаптивный.live . Адаптивный.
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=System_and_Organization_Controls&oldid=1218124978"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 648a977ff73e45e0f5c0a9a59406725f__1712687340
URL1:https://arc.ask3.ru/arc/aa/64/5f/648a977ff73e45e0f5c0a9a59406725f.html
Заголовок, (Title) документа по адресу, URL1:
System and Organization Controls - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)