Súlad s SSAE, tiež známe ako Vyhlásenie o štandardoch pre overovacie zákazky a súlad s predpismi, je súbor audítorských štandardov a usmernení s použitím štandardov vydaných Radou pre audítorské štandardy (ASB) Amerického inštitútu certifikovaných verejných účtovníkov (AICPA).
Tieto normy definujú, ako spoločnosti poskytujúce služby podávajú správy o svojich kontrolných mechanizmoch a procesoch dodržiavania predpisov. SSAE 16 (SOC 1) bol publikovaný v apríli 2010 ako štandard vykazovania pre všetky záznamy audítorov služieb a bol vydaný ako náhrada za Vyhlásenie o audítorských štandardoch č. 70. Ak ste oboznámení s SOC 1 audity, s najväčšou pravdepodobnosťou poznáte SSAE 16. SSAE 16 mal bohužiaľ niekoľko nedostatkov a 1. mája 2017 bol nahradený SSAE 18, ktorý bol navrhnutý tak, aby tieto nedostatky riešil.
V súčasnosti sa používa štandard SSAE 18. Audítori dodržiavajú predpisy SSAE 18 pri vykonávaní hodnotení SOC 1 až 3 bez ohľadu na typ I (hodnotenie kontrol v určitom okamihu) alebo typ II (preskúmanie kontrol v trvaní 9 až 12 mesiacov).
Norma SSAE 18 zaviedla dôležité zmeny v spôsobe, akým sa zaobchádzalo s organizáciami poskytujúcimi subdodávateľské služby. Predtým boli kontroly a testovanie organizácií poskytujúcich subdodávateľské služby (outsourcing alebo subdodávatelia) mimo rozsahu auditu, čo spôsobovalo kritické medzery v testovaní.
Zdroje: TechTarget, Otava
Súvisiace podmienky: SOC 1, SOC 2, SOC 3
Malé a stredné podniky by mali vybudovať auditovateľný program kybernetickej bezpečnosti s kontrolami týkajúcimi sa správy prístupu, minimálnych privilégií, zodpovednosti, školení, riadenia a technológií. Každá z týchto oblastí potrebuje kontroly a procesy, ktoré produkujú artefakty dostupné na kontrolu. Týmto by sa každá malá a stredná spoločnosť pripravila na externú kontrolu prostredníctvom hodnotenia SSAE 18. Organizácie by sa mali spočiatku zapojiť do kontroly svojich kontrol v čase SOC 1 alebo Point in Time. To poskytuje čas na odstránenie nedostatkov a nápravu s menšou investíciou času a peňazí. Po úspešnom hodnotení SOC 1 SSAE 18 by sa malá a stredná spoločnosť mala rýchlo zapojiť do SOC2, aby overila fungovanie procesov v priebehu času.
Malý alebo stredný podnik, ktorý dokáže úspešne prejsť hodnotením SSAE 18 SOC 2 typu II, by mal byť v dobrej pozícii na to, aby prešiel aj inými typmi auditov, hoci môžu existovať predpisy špecifické pre HIPAA a PCI, ktoré idú nad rámec existujúcich kontrol.
Najdôležitejším posolstvom z tohto článku o auditoch SSAE je, že samotný akt kontroly obchodných procesov a kontrol je veľmi cenný. NIST aj CyberHoot odporúčajú zaviesť rámec riadenia rizík na úrovni akékoľvek organizácia. Takto zabezpečíte, že svoj obmedzený a drahocenný čas a peniaze vynaložíte na najdôležitejšie aktivity na zmiernenie rizík. Je to dobre investovaný čas a peniaze.
CyberHoot môže zohrať významnú úlohu pri príprave spoločností na takýto audit prostredníctvom riadenia politík a procesov, školiacich programov, phishingového testovania a dokonca aj hodnotení, ktoré môžete použiť na sebahodnotenie pred externým hodnotením. E-mail. sales@cyberhoot.com získať viac informácií!
Objavte a zdieľajte najnovšie trendy, tipy a osvedčené postupy v oblasti kybernetickej bezpečnosti – spolu s novými hrozbami, na ktoré si treba dať pozor.
Nové spoločnosti zaoberajúce sa benchmarkovými dátami MDASH a Claude Mythos Preview sú najlepšími agentmi umelej inteligencie, ktorí nachádzajú zraniteľnosti typu zero-day...
Čítaj viac
Jedno zabudnuté heslo, takmer katastrofa Jeden počítač so systémom Windows v maloobchodnej predajni mal vo vyrovnávacej pamäti...
Čítaj viac
Teraz máte päť dôležitých dôvodov, prečo začať konverzáciu o bezpečnosti smerovačov so svojimi klientmi z malých firiem...
Čítaj viacZískajte bystrejší pohľad na ľudské riziká s pozitívnym prístupom, ktorý prekonáva tradičné phishingové testovanie.
