Соответствие требованиям SSAE

Соответствие требованиям SSAE, Также известное как «Заявление о стандартах проведения аттестационных заданий и соблюдения требований», это сборник аудиторских стандартов и руководств с использованием стандартов, опубликованных Советом по стандартам аудита (ASB) Американского института сертифицированных общественных бухгалтеров (AICPA).

Эти стандарты определяют, как сервисные компании отчитываются о своих процессах и средствах контроля соответствия. SSAE 16 (SOC 1) был опубликован в апреле 2010 года в качестве стандарта отчетности для всех аудиторских записей, оказывающих услуги, и был выпущен для замены Заявления о стандартах аудита № 70. Если вы знакомы с SOC 1 аудитов, вы, скорее всего, знакомы со стандартом SSAE 16. К сожалению, у стандарта SSAE 16 было несколько недостатков, и 1 мая 2017 года он был заменен стандартом SSAE 18, который был разработан для устранения этих пробелов.

Действующим стандартом является SSAE 18. Аудиторы следуют предписаниям SSAE 18 при проведении оценок SOC 1–3 независимо от типа I (оценка средств контроля на определенный момент времени) или типа II (обзор средств контроля за период от 9 до 12 месяцев).

Стандарт SSAE 18 внес важные изменения в подход к организациям, предоставляющим услуги субподряда. Ранее контроль и тестирование организаций, предоставляющих услуги субподряда (аутсорсинга или субподрядчиков), не входили в сферу аудита, что приводило к существенным пробелам в тестировании.

источники: TechTarget, Отава

Связанные термины: SOC 1, SOC 2, SOC 3

Что это означает для малого и среднего бизнеса?

Малым и средним предприятиям следует разработать проверяемую программу кибербезопасности с элементами управления доступом, минимальными привилегиями, подотчётностью, обучением, управлением и технологиями. Каждая из этих областей требует контроля и процессов, создающих артефакты, доступные для проверки. Таким образом, любой малый и средний бизнес должен подготовить себя к внешней проверке, пройдя оценку SSAE 18. Первоначально организациям следует провести проверку своих средств контроля на уровне SOC 1 (точечный контроль). Это даст время для устранения пробелов и устранения проблем с меньшими затратами времени и средств. После успешного прохождения оценки SOC 1 SSAE 18 малый и средний бизнес должен быстро перейти к проверке SOC 2 для проверки эффективности процессов с течением времени.

Предприятие малого и среднего бизнеса, которое может успешно пройти оценку SSAE 18 SOC 2 Type II, должно быть готово к прохождению других типов аудита, хотя могут существовать особые предписания, присущие HIPAA и PCI, которые выходят за рамки существующих мер контроля.

Самый важный вывод из этой статьи об аудитах SSAE заключается в том, что проверка бизнес-процессов и средств контроля имеет огромную ценность. NIST и CyberHoot рекомендуют создать систему управления рисками. любое Организация. Это гарантирует, что вы тратите своё ограниченное и ценное время и деньги на самые важные мероприятия по снижению рисков. Это время и деньги, потраченные с пользой.

CyberHoot может сыграть важную роль в подготовке компаний к такому аудиту посредством управления политиками и процессами, обучающих программ, тестирования на фишинг и даже оценок, которые вы можете использовать для самооценки перед внешней оценкой. sales@cyberhoot.com чтобы получить больше информации!  

Чтобы узнать больше об аудитах SSAE и SOC, посмотрите это короткое видео:

Достаточно ли вы делаете для защиты своего бизнеса?

Зарегистрируйтесь в CyberHoot сегодня и спите лучше, зная свой

Сотрудники прошли киберподготовку и всегда начеку!

Зарегистрироваться Сегодня!