SSAE-overholdelse

SSAE-overholdelse, også kendt som Statement on Standards for Attestation Engagements and Compliance, er en samling af revisionsstandarder og vejledninger, der bruger standarder udgivet af Auditing Standards Board (ASB) under American Institute of Certified Public Accountants (AICPA).

Disse standarder definerer, hvordan servicevirksomheder rapporterer om deres compliance-kontroller og -processer. SSAE 16 (SOC1) blev offentliggjort i april 2010 som rapporteringsstandard for alle servicerevisorers optegnelser og blev udstedt for at erstatte erklæringen om revisionsstandarder nr. 70. Hvis du er bekendt med SOC1 revisioner, er du højst sandsynligt bekendt med SSAE 16. Desværre havde SSAE 16 en række fejl og blev erstattet den 1. maj 2017 af SSAE 18, som var designet til at afhjælpe disse mangler.

SSAE 18 er den gældende standard i dag. Revisorer følger SSAE 18-forskrifterne, når de udfører SOC 1-3-vurderinger, uanset om der er tale om type I (en tidspunktsbestemt vurdering af kontroller) eller type II (en gennemgang af kontroller med en periode på 9 til 12 måneder).

SSAE 18 introducerede vigtige ændringer i, hvordan underleverandørorganisationer blev behandlet. Tidligere var kontroller og test af underleverandørorganisationer (outsourcede eller underleverandører) uden for revisionens omfang, hvilket efterlod kritiske huller i testningen.

kilder: TechTarget, Otava

Relaterede vilkår: SOC1, SOC2, SOC3

Hvad betyder dette for en SMV?

SMV'er bør opbygge et auditerbart cybersikkerhedsprogram med kontroller omkring adgangsstyring, minimumsrettigheder, ansvarlighed, træning, styring og teknologi. Hvert af disse områder har brug for kontroller og processer, der producerer artefakter, der er tilgængelige for inspektion. I den forbindelse vil enhver SMV opstille sig selv til ekstern inspektion gennem en SSAE 18-vurdering. I første omgang bør organisationer foretage en SOC 1-inspektion, eller Point in Time-inspektion, af deres kontroller. Dette giver tid til at rette huller og afhjælpe dem med en mindre investering i tid og penge. Når en vellykket SOC 1 SSAE 18-vurdering er sikret, bør en SMV hurtigt skifte til en SOC2 for at validere processernes funktion over tid.

En SMB, der kan bestå en SSAE 18 SOC 2 Type II-vurdering, bør være godt positioneret til at bestå andre typer revisioner, selvom der kan være forskrifter unikke for HIPAA, PCI, der går ud over eksisterende kontroller.

Det vigtigste budskab fra denne artikel om SSAE-revisioner er, at det er yderst værdifuldt at inspicere ens forretningsprocesser og kontroller. NIST og CyberHoot anbefaler begge at etablere en risikostyringsramme på enhver organisation. Dette sikrer, at du bruger din begrænsede og værdifulde tid og penge på de vigtigste risikoreducerende aktiviteter. Det er tid og penge, der er givet godt ud.

CyberHoot kan spille en stærk rolle i at forberede virksomheder på en sådan revision gennem sin politik- og processtyring, træningsprogrammer, phish-testning og endda de vurderinger, du kan bruge til at foretage selvevaluering inden ekstern vurdering. sales@cyberhoot.com for at få mere information!  

For at lære mere om SSAE og SOC-revisionerne, se denne korte video:

Gør du nok for at beskytte din virksomhed?

Tilmeld dig CyberHoot i dag og sov bedre med din viden om din

Medarbejderne er cybertrænede og på vagt!

Tilmeld dig i dag!