Pagsunod sa SSAE

Pagsunod sa SSAE, kilala rin bilang Statement on Standards for Attestation Engagements and Compliance, ay isang koleksyon ng mga pamantayan sa pag-audit at patnubay gamit ang mga pamantayang inilathala ng Auditing Standards Board (ASB) ng American Institute of Certified Public Accountants (AICPA).

Tinutukoy ng mga pamantayang ito kung paano nag-uulat ang mga kumpanya ng serbisyo sa kanilang mga kontrol at proseso sa pagsunod. SSAE 16 (SOC 1) ay inilathala noong Abril 2010 bilang pamantayan sa pag-uulat para sa lahat ng mga rekord ng auditor ng serbisyo at inilabas upang palitan ang Pahayag sa Mga Pamantayan sa Pag-audit Blg. 70. Kung pamilyar ka sa SOC 1 pag-audit, malamang na pamilyar ka sa SSAE 16. Sa kasamaang-palad, ang SSAE 16 ay may ilang mga puntos ng pagkabigo at pinalitan noong Mayo 1, 2017 ng SSAE 18 na idinisenyo upang matugunan ang mga puwang na iyon.

Ang SSAE 18 ay ang kasalukuyang pamantayan na ginagamit ngayon. Sinusunod ng mga auditor ang mga reseta ng SSAE 18 kapag nagsasagawa ng SOC 1 hanggang 3 na pagtatasa anuman ang Uri I (isang punto sa oras na pagtatasa ng mga kontrol) o Uri II (isang panahon ng 9 hanggang 12 buwang pagsusuri ng mga kontrol).

Ipinakilala ng SSAE 18 ang mahahalagang pagbabago sa kung paano tinatrato ang mga sub-service na organisasyon. Dati, ang mga kontrol at pagsubok ng mga organisasyon ng subservice (outsourced o subcontractor) ay wala sa saklaw para sa pag-audit na nag-iiwan ng mga kritikal na gaps sa pagsubok.

Pinagmumulan: TechTarget, Ottawa

Mga Kaugnay na Tuntunin: SOC 1, SOC 2, SOC 3

Ano ang ibig sabihin nito para sa isang SMB?

Ang mga SMB ay dapat bumuo ng isang auditable cybersecurity program na may mga kontrol sa paligid ng pamamahala sa pag-access, hindi bababa sa pribilehiyo, pananagutan, pagsasanay, pamamahala, at teknolohiya. Ang bawat isa sa mga lugar na ito ay nangangailangan ng mga kontrol at proseso na gumagawa ng mga artifact na magagamit para sa inspeksyon. Sa paggawa nito, ise-set up ng anumang SMB ang sarili nito para sa panlabas na inspeksyon sa pamamagitan ng pagtatasa ng SSAE 18. Sa una, ang mga organisasyon ay dapat makipag-ugnayan sa isang SOC 1, o Point in Time, inspeksyon ng kanilang mga kontrol. Nagbibigay ito ng oras para sa pagwawasto ng mga gaps at remediation na may mas maliit na pamumuhunan sa oras at pera. Kapag na-secure na ang isang matagumpay na pagtatasa ng SOC 1 SSAE 18, dapat na mabilis na mag-pivot ang isang SMB sa isang SOC2 upang ma-validate ang mga proseso na gumagana sa paglipas ng panahon.

Ang isang SMB na maaaring matagumpay na makapasa sa isang SSAE 18 SOC 2 Type II na pagtatasa ay dapat na maayos na nakaposisyon upang makapasa sa iba pang mga uri ng pag-audit kahit na maaaring may mga reseta na natatangi sa HIPAA, PCI, na lampas sa mga kasalukuyang kontrol.

Ang pinakamahalagang mensahe mula sa artikulong ito sa mga pag-audit ng SSAE ay ang pagkilos ng pag-inspeksyon sa mga proseso at kontrol ng negosyo ay lubos na mahalaga. Parehong inirerekomenda ng NIST at CyberHoot ang pagtatatag ng Risk Management Framework sa anumang organisasyon. Tinitiyak ng paggawa nito na ginugugol mo ang iyong limitado at mahalagang oras at pera sa pinakamahalagang aktibidad sa pagpapagaan ng panganib. Ito ay oras at pera na ginugol nang maayos.

Ang CyberHoot ay maaaring gumanap ng isang malakas na papel sa paghahanda ng mga kumpanya para sa naturang pag-audit sa pamamagitan ng patakaran at pamamahala ng proseso nito, mga programa sa pagsasanay, pagsubok sa phish, at maging ang mga pagtatasa na maaari mong gamitin sa sariling pagtatasa bago ang panlabas na pagtatasa. Email sales@cyberhoot.com upang makakuha ng karagdagang impormasyon!  

Para matuto pa tungkol sa SSAE at sa SOC audits, panoorin ang maikling video na ito:

Sapat na ba ang iyong ginagawa para protektahan ang iyong negosyo?

Mag-sign up sa CyberHoot ngayon at matulog nang mas mahusay na alam ang iyong

ang mga empleyado ay cyber trained at nakabantay!

Mag palista na ngayon!