الامتثال لمعايير SSAE، والمعروف أيضًا باسم بيان معايير المشاركة في الإثبات والامتثال، وهو عبارة عن مجموعة من معايير التدقيق والإرشادات باستخدام المعايير التي نشرها مجلس معايير التدقيق (ASB) التابع للمعهد الأمريكي للمحاسبين القانونيين المعتمدين (AICPA).
تحدد هذه المعايير كيفية قيام شركات الخدمات بالإبلاغ عن ضوابط الامتثال والعمليات الخاصة بها. SSAE 16 (SOC 1) تم نشره في أبريل 2010 كمعيار إعداد التقارير لجميع سجلات مدققي الخدمة وتم إصداره ليحل محل بيان معايير التدقيق رقم 70. إذا كنت على دراية بـ SOC 1 عند إجراء عمليات التدقيق، فمن المرجح أنك على دراية بمعيار SSAE 16. لسوء الحظ، كان لدى SSAE 16 عدد من نقاط الفشل وتم استبداله في 1 مايو 2017 بمعيار SSAE 18 الذي تم تصميمه لمعالجة تلك الفجوات.
معيار SSAE 18 هو المعيار المُستخدم حاليًا. يتبع المدققون إرشادات SSAE 18 عند إجراء تقييمات SOC من 1 إلى 3، بغض النظر عن النوع الأول (تقييم لحظي للضوابط) أو النوع الثاني (مراجعة للضوابط لمدة تتراوح بين 9 و12 شهرًا).
أدخل معيار SSAE 18 تغييرات مهمة في كيفية معاملة منظمات الخدمات الفرعية. في السابق، كانت عمليات الرقابة والاختبار لمنظمات الخدمات الفرعية (المتعاقدة من الباطن أو المتعاقدة من الباطن) خارج نطاق التدقيق، مما ترك فجوات حرجة في الاختبار.
مصادر: TechTarget, Otava
المصطلحات ذات الصلة: SOC 1, SOC 2, SOC 3
ينبغي على الشركات الصغيرة والمتوسطة بناء برنامج للأمن السيبراني قابل للتدقيق، مع ضوابط تتعلق بإدارة الوصول، والحد الأدنى من الامتيازات، والمساءلة، والتدريب، والحوكمة، والتكنولوجيا. يحتاج كل من هذه المجالات إلى ضوابط وعمليات تُنتج عناصر متاحة للتفتيش. وبذلك، تُعدّ أي شركة صغيرة ومتوسطة نفسها للتفتيش الخارجي من خلال تقييم SSAE 18. في البداية، ينبغي على المؤسسات إجراء فحص SOC 1 (أو نقطة زمنية محددة) لضوابطها. يتيح هذا وقتًا لتصحيح الثغرات وإصلاحها باستثمار أقل في الوقت والمال. بمجرد الحصول على تقييم SOC 1 SSAE 18 ناجح، ينبغي على الشركات الصغيرة والمتوسطة الانتقال بسرعة إلى SOC2 للتحقق من فعالية العمليات بمرور الوقت.
يجب أن تكون الشركات الصغيرة والمتوسطة الحجم التي يمكنها اجتياز تقييم SSAE 18 SOC 2 Type II بنجاح في وضع جيد لتمرير أنواع أخرى من التدقيق على الرغم من أنه قد تكون هناك وصفات فريدة لـ HIPAA و PCI والتي تتجاوز الضوابط الحالية.
الرسالة الأهم من هذه المقالة حول عمليات تدقيق SSAE هي أن عملية فحص عمليات العمل وضوابطه ذات قيمة عالية. يوصي كل من المعهد الوطني للمعايير والتكنولوجيا (NIST) وCyberHoot بإنشاء إطار عمل لإدارة المخاطر في أي وقت تنظيمك. هذا يضمن لك استثمار وقتك ومالك المحدودين والثمين في أهم أنشطة تخفيف المخاطر. هذا استثمارٌ حكيمٌ للوقت والمال.
يمكن لـ CyberHoot أن يلعب دورًا فعالًا في إعداد الشركات لمثل هذا التدقيق من خلال إدارة سياساتها وعملياتها، وبرامجها التدريبية، واختبارات التصيد الاحتيالي، وحتى التقييمات التي يمكنك استخدامها للتقييم الذاتي قبل التقييم الخارجي. البريد الإلكتروني sales@cyberhoot.com للحصول على مزيد من المعلومات!
اكتشف وشارك أحدث اتجاهات الأمن السيبراني والنصائح وأفضل الممارسات - إلى جانب التهديدات الجديدة التي يجب الحذر منها.
تُعتبر بيانات القياس المعيارية الجديدة MDASH و Claude Mythos Preview من أفضل وكلاء الذكاء الاصطناعي الذين يكتشفون ثغرات اليوم الصفر...
اقراء المزيد
كلمة مرور منسية واحدة، كارثة وشيكة: جهاز كمبيوتر يعمل بنظام ويندوز في أحد متاجر البيع بالتجزئة كان يحتوي على كلمة مرور مخزنة مؤقتًا...
اقراء المزيد
لديك الآن خمسة أسباب مهمة لبدء محادثة حول أمان جهاز التوجيه مع عملائك من الشركات الصغيرة هذا...
اقراء المزيداحصل على نظرة أكثر حدة للمخاطر البشرية، من خلال النهج الإيجابي الذي يتفوق على اختبار التصيد التقليدي.
