Conformité SSAE

Conformité SSAE, également connu sous le nom de Déclaration sur les normes pour les missions d'attestation et la conformité, est un recueil de normes et de directives d'audit utilisant les normes publiées par l'Auditing Standards Board (ASB) de l'American Institute of Certified Public Accountants (AICPA).

Ces normes définissent la manière dont les entreprises de services rendent compte de leurs contrôles et processus de conformité. SSAE 16 (SOC 1) a été publiée en avril 2010 en tant que norme de reporting pour tous les dossiers des auditeurs de services et a été émise pour remplacer la Déclaration sur les normes d'audit n° 70. Si vous connaissez SOC 1 Si vous êtes un auditeur, vous connaissez probablement la norme SSAE 16. Malheureusement, la norme SSAE 16 comportait un certain nombre de points faibles et a été remplacée le 1er mai 2017 par la norme SSAE 18, conçue pour combler ces lacunes.

La norme SSAE 18 est actuellement en vigueur. Les auditeurs suivent les prescriptions de la norme SSAE 18 lors des évaluations SOC 1 à 3, qu'elles soient de type I (évaluation ponctuelle des contrôles) ou de type II (examen des contrôles sur une période de 9 à 12 mois).

La norme SSAE 18 a apporté des changements importants dans le traitement des organismes de sous-traitance. Auparavant, les contrôles et les tests des organismes de sous-traitance (externalisés ou sous-traitants) n'étaient pas couverts par l'audit, ce qui laissait des lacunes importantes dans les tests.

Sources: TechTarget, Otava

Termes connexes: SOC 1, SOC 2, SOC 3

Qu’est-ce que cela signifie pour une PME ?

Les PME doivent mettre en place un programme de cybersécurité auditable, incluant des contrôles portant sur la gestion des accès, le moindre privilège, la responsabilité, la formation, la gouvernance et la technologie. Chacun de ces domaines nécessite des contrôles et des processus produisant des artefacts disponibles pour inspection. Ce faisant, toute PME se préparerait à une inspection externe via une évaluation SSAE 18. Dans un premier temps, les organisations devraient entreprendre une inspection SOC 1 (ou ponctuelle) de leurs contrôles. Cela leur laisse le temps de corriger les lacunes et de mettre en œuvre des mesures correctives avec un investissement réduit en temps et en argent. Une fois l'évaluation SOC 1 SSAE 18 réussie, les PME devraient rapidement passer à une inspection SOC 2 pour valider l'efficacité des processus au fil du temps.

Une PME capable de réussir une évaluation SSAE 18 SOC 2 Type II devrait être bien placée pour réussir d'autres types d'audits, même s'il peut y avoir des prescriptions propres à HIPAA, PCI, qui vont au-delà des contrôles existants.

Le message le plus important de cet article sur les audits SSAE est que l'inspection des processus et contrôles opérationnels est extrêmement précieuse. Le NIST et CyberHoot recommandent tous deux la mise en place d'un cadre de gestion des risques. tout Organisation. Cela vous permet de consacrer votre temps et votre argent précieux aux activités les plus importantes d'atténuation des risques. C'est du temps et de l'argent bien investis.

CyberHoot peut jouer un rôle important dans la préparation des entreprises à un tel audit grâce à sa gestion des politiques et des processus, ses programmes de formation, ses tests anti-hameçonnage et même ses évaluations permettant de s'auto-évaluer avant une évaluation externe. ventes@cyberhoot.com pour obtenir plus d'informations!  

Pour en savoir plus sur les audits SSAE et SOC, regardez cette courte vidéo :

Faites-vous suffisamment pour protéger votre entreprise ?

Inscrivez-vous dès aujourd'hui sur CyberHoot et dormez mieux en sachant que votre

les employés sont formés à la cybersécurité et sur leurs gardes !

Inscrivez-vous dès aujourd'hui !