Soulad s SSAE

24. září 2020 | Cybrary

Dodržování předpisů SSAE, Také známé jako Prohlášení o standardech pro ověřovací zakázky a dodržování předpisů, je soubor auditorských standardů a pokynů s využitím standardů vydaných Radou pro auditorské standardy (ASB) Amerického institutu certifikovaných veřejných účetních (AICPA).

Tyto standardy definují, jakým způsobem poskytovatelé služeb vykazují své kontrolní mechanismy a procesy v oblasti dodržování předpisů. SSAE 16 (SOC 1) byl zveřejněn v dubnu 2010 jako standard pro vykazování záznamů všech auditorů služeb a byl vydán jako náhrada Prohlášení o auditorských standardech č. 70. Pokud jste obeznámeni s SOC 1 audity, s největší pravděpodobností znáte SSAE 16. SSAE 16 bohužel obsahoval řadu nedostatků a byl 1. května 2017 nahrazen SSAE 18, který byl navržen tak, aby tyto nedostatky řešil.

V současnosti se používá standard SSAE 18. Auditoři se řídí předpisy standardu SSAE 18 při provádění hodnocení SOC 1 až 3 bez ohledu na typ I (hodnocení kontrol v určitém okamžiku) nebo typ II (přezkoumání kontrol v délce 9 až 12 měsíců).

Norma SSAE 18 zavedla důležité změny v přístupu k organizacím poskytujícím subservisy. Dříve kontroly a testování organizací poskytujících subservisy (outsourcing nebo subdodavatelů) nespadaly do rozsahu auditu, což ponechávalo kritické mezery v testování.

Zdroje: TechTarget, Otava

Související podmínky: SOC 1, SOC 2, SOC 3

Co to znamená pro malé a střední podniky?

Malé a střední podniky by měly vytvořit auditovatelný program kybernetické bezpečnosti s kontrolními mechanismy pro správu přístupu, minimální oprávnění, odpovědnost, školení, správu a řízení a technologie. Každá z těchto oblastí potřebuje kontrolní mechanismy a procesy, které produkují artefakty dostupné pro kontrolu. Tímto způsobem by se jakýkoli malý nebo střední podnik připravil na externí kontrolu prostřednictvím hodnocení SSAE 18. Organizace by se měly nejprve zapojit do kontroly svých kontrol v čase (SOC 1). To poskytuje čas na nápravu nedostatků a nápravu s menší investicí času a peněz. Jakmile je zajištěno úspěšné hodnocení SOC 1 SSAE 18, měl by malý nebo střední podnik rychle přejít na SOC 2, aby ověřil fungování procesů v průběhu času.

Malý nebo střední podnik, který dokáže úspěšně projít hodnocením SSAE 18 SOC 2 typu II, by měl být v dobré pozici k prosazení se i v jiných typech auditů, ačkoli mohou existovat specifická pravidla HIPAA a PCI, která jdou nad rámec stávajících kontrol.

Nejdůležitějším poselstvím z tohoto článku o auditech SSAE je, že samotná inspekce obchodních procesů a kontrol je velmi cenná. NIST a CyberHoot doporučují zavedení rámce pro řízení rizik na úrovni žádný organizace. Tímto způsobem zajistíte, že svůj omezený a drahocenný čas a peníze vynaložíte na nejdůležitější aktivity ke zmírnění rizik. To je dobře vynaložený čas a peníze.

CyberHoot může hrát významnou roli v přípravě společností na takové audity prostřednictvím svých zásad a procesů, školicích programů, phishingového testování a dokonce i hodnocení, která můžete použít k sebehodnocení před externím hodnocením. E-mail sales@cyberhoot.com získat více informací!