SSAE 규정 준수

SSAE 규정 준수, 또한 증명 참여 및 규정 준수에 대한 표준에 대한 성명서로 알려져 있으며, 미국 공인 회계사 협회(AICPA)의 감사 표준 위원회(ASB)에서 발행한 표준을 사용한 감사 표준 및 지침 모음입니다.

이러한 표준은 서비스 회사가 규정 준수 관리 및 프로세스에 대해 보고하는 방법을 정의합니다. SSAE 16(SOC 1)는 2010년 4월에 모든 서비스 감사인 기록에 대한 보고 표준으로 발표되었으며 감사 표준에 대한 성명서 제70호를 대체하기 위해 발행되었습니다. SOC 1 감사를 담당하는 사람이라면 SSAE 16에 대해 잘 알고 있을 것입니다. 안타깝게도 SSAE 16에는 여러 가지 실패 사항이 있었고, 이러한 차이점을 해결하기 위해 2017년 5월 1일에 SSAE 18로 대체되었습니다.

SSAE 18은 현재 사용되는 표준입니다. 감사인은 SOC 1부터 3까지의 평가를 수행할 때 유형 I(일시적 통제 평가) 또는 유형 II(9개월에서 12개월에 걸친 통제 검토)에 관계없이 SSAE 18 규정을 따릅니다.

SSAE 18은 하위 서비스 조직 처리 방식에 중요한 변화를 가져왔습니다. 이전에는 하위 서비스 조직(아웃소싱 또는 하청업체)에 대한 통제 및 테스트가 감사 범위에 포함되지 않아 테스트에 심각한 공백이 발생했습니다.

출처 : TechTarget, 오타 바

관련 용어: SOC 1, SOC 2, SOC 3

이는 중소기업에게 무엇을 의미할까요?

중소기업(SMB)은 접근 관리, 최소 권한, 책임, 교육, 거버넌스, 기술에 대한 통제를 통해 감사 가능한 사이버 보안 프로그램을 구축해야 합니다. 이러한 각 영역에는 검사 가능한 아티팩트를 생성하는 통제 및 프로세스가 필요합니다. 이를 통해 모든 중소기업은 SSAE 18 평가를 통해 외부 검사를 받을 수 있습니다. 조직은 초기에 통제 항목에 대한 SOC 1(Point in Time) 검사를 받아야 합니다. 이를 통해 시간과 비용을 절감하면서 취약점을 수정하고 개선할 시간을 확보할 수 있습니다. SOC 1 SSAE 18 평가를 성공적으로 완료하면, 중소기업은 신속하게 SOC 2로 전환하여 시간 경과에 따른 프로세스 작동을 검증해야 합니다.

SSAE 18 SOC 2 유형 II 평가에 합격할 수 있는 SMB는 기존 통제를 넘어서는 HIPAA, PCI에 대한 고유한 규정이 있을 수 있지만 다른 유형의 감사에도 합격할 수 있는 좋은 위치에 있어야 합니다.

SSAE 감사에 관한 이 기사에서 가장 중요한 메시지는 비즈니스 프로세스와 통제를 검사하는 행위가 매우 중요하다는 것입니다. NIST와 CyberHoot는 모두 위험 관리 프레임워크를 구축할 것을 권장합니다. 어떤 조직을 강화합니다. 그렇게 하면 한정적이고 귀중한 시간과 비용을 가장 중요한 위험 완화 활동에 투자할 수 있습니다. 이는 시간과 비용을 잘 활용한 것입니다.

CyberHoot은 정책 및 프로세스 관리, 교육 프로그램, 피싱 테스트, 심지어 외부 평가에 앞서 자체 평가에 활용할 수 있는 평가까지 통해 기업이 이러한 감사에 대비할 수 있도록 지원하는 데 중요한 역할을 할 수 있습니다. 이메일 sales@cyberhoot.com 자세한 정보를 얻으려면!  

SSAE와 SOC 감사에 대해 자세히 알아보려면 이 짧은 영상을 시청하세요.

귀하의 사업을 보호하기 위해 충분한 노력을 하고 계신가요?

오늘 CyberHoot에 가입하고 더 나은 수면을 취하세요.

직원들은 사이버 훈련을 받고 경계태세를 갖추고 있습니다!

오늘 가입하십시오!