Pematuhan SSAE

24hb September 2020 | Cybrary

Pematuhan SSAE, juga dikenali sebagai Penyata Standard untuk Penglibatan dan Pematuhan Pengesahan, ialah koleksi piawaian dan panduan pengauditan menggunakan piawaian yang diterbitkan oleh Lembaga Piawaian Pengauditan (ASB) Institut Akauntan Awam Bertauliah Amerika (AICPA).

Piawaian ini menentukan cara syarikat perkhidmatan melaporkan kawalan dan proses pematuhan mereka. SSAE 16 (SOC 1) telah diterbitkan pada April 2010 sebagai piawaian pelaporan untuk semua rekod juruaudit perkhidmatan dan telah dikeluarkan untuk menggantikan Penyata Piawaian Pengauditan No. 70. Jika anda biasa dengan SOC 1 audit, anda berkemungkinan besar biasa dengan SSAE 16. Malangnya, SSAE 16 mempunyai beberapa titik kegagalan dan telah digantikan pada 1 Mei 2017 oleh SSAE 18 yang direka bentuk untuk menangani jurang tersebut.

SSAE 18 ialah standard semasa yang digunakan hari ini. Juruaudit mengikut preskripsi SSAE 18 apabila melaksanakan SOC 1 hingga 3 penilaian tanpa mengira Jenis I (titik dalam penilaian masa kawalan) atau Jenis II (tempoh 9 hingga 12 bulan semakan kawalan).

SSAE 18 memperkenalkan perubahan penting dalam cara organisasi subperkhidmatan dilayan. Sebelum ini, kawalan dan ujian organisasi subperkhidmatan (sumber luar atau subkontraktor) berada di luar skop untuk audit meninggalkan jurang kritikal dalam ujian.

Sumber: TechTarget, Ottawa

Terma Berkaitan: SOC 1, SOC 2, SOC 3

Apakah maksud ini untuk SMB?

SMB harus membina program keselamatan siber yang boleh diaudit dengan kawalan di sekitar pengurusan akses, keistimewaan paling rendah, akauntabiliti, latihan, tadbir urus dan teknologi. Setiap kawasan ini memerlukan kawalan dan proses yang menghasilkan artifak yang tersedia untuk diperiksa. Dengan berbuat demikian, mana-mana SMB akan menyediakan dirinya untuk pemeriksaan luar melalui penilaian SSAE 18. Pada mulanya organisasi harus terlibat dalam SOC 1, atau Point in Time, pemeriksaan kawalan mereka. Ini membolehkan masa untuk membetulkan jurang dan pemulihan dengan pelaburan yang lebih kecil dalam masa dan wang. Setelah penilaian SOC 1 SSAE 18 yang berjaya diperolehi, SMB harus berputar dengan cepat kepada SOC2 untuk mengesahkan proses berfungsi dari semasa ke semasa.

SMB yang berjaya melepasi penilaian SSAE 18 SOC 2 Jenis II harus berada pada kedudukan yang baik untuk lulus jenis audit lain walaupun mungkin terdapat preskripsi unik untuk HIPAA, PCI, yang melangkaui kawalan sedia ada.

Mesej paling penting daripada artikel mengenai audit SSAE ini ialah tindakan memeriksa proses dan kawalan perniagaan adalah sangat berharga. NIST dan CyberHoot kedua-duanya mengesyorkan mewujudkan Rangka Kerja Pengurusan Risiko di mana-mana organisasi. Melakukannya memastikan anda menghabiskan masa dan wang yang terhad dan berharga untuk aktiviti pengurangan risiko yang paling penting. Ini adalah masa dan wang yang dibelanjakan dengan baik.

CyberHoot boleh memainkan peranan yang kuat dalam menyediakan syarikat untuk pengauditan sedemikian melalui pengurusan dasar dan prosesnya, program latihan, ujian phish dan juga penilaian yang boleh anda gunakan untuk menilai sendiri sebelum penilaian luaran. E-mel sales@cyberhoot.com untuk mendapatkan maklumat lanjut!