SSAE Uyumluluğu

24 Eylül 2020 | Cybrary

SSAE Uyumluluğu, Ayrıca, Amerikan Sertifikalı Mali Müşavirler Enstitüsü'nün (AICPA) Denetim Standartları Kurulu (ASB) tarafından yayınlanan standartları kullanan denetim standartları ve kılavuzlarının bir koleksiyonu olan, Denetim Görevleri ve Uyumluluk Standartları Beyanı olarak da bilinir.

Bu standartlar, hizmet şirketlerinin uyumluluk kontrolleri ve süreçleri hakkında nasıl rapor vereceğini tanımlar. SSAE 16 (SOK 1) Nisan 2010'da tüm hizmet denetçilerinin kayıtları için raporlama standardı olarak yayınlanmış ve 70 No'lu Denetim Standartları Beyanı'nın yerine çıkarılmıştır. Eğer aşina iseniz SOK 1 Denetimler sırasında büyük olasılıkla SSAE 16'ya aşinasınızdır. Ne yazık ki, SSAE 16'nın bir dizi başarısız noktası vardı ve 1 Mayıs 2017'de bu boşlukları gidermek üzere tasarlanan SSAE 18 ile değiştirildi.

SSAE 18, günümüzde kullanılan güncel standarttır. Denetçiler, Tip I (kontrollerin belirli bir noktada değerlendirilmesi) veya Tip II (kontrollerin 9 ila 12 aylık bir süre boyunca incelenmesi) fark etmeksizin, SOC 1 ila 3 değerlendirmelerini gerçekleştirirken SSAE 18 yönergelerini takip eder.

SSAE 18, alt hizmet kuruluşlarına nasıl davranılacağı konusunda önemli değişiklikler getirmiştir. Daha önce, alt hizmet kuruluşlarının (dış kaynaklı veya taşeron) kontrolleri ve testleri denetim kapsamı dışındaydı ve bu da testlerde kritik boşluklara yol açıyordu.

kaynaklar: Teknik Hedef, Otava

İlgili terimler: SOK 1, SOK 2, SOK 3

Bu bir KOBİ için ne anlama geliyor?

KOBİ'ler, erişim yönetimi, en az ayrıcalık, hesap verebilirlik, eğitim, yönetişim ve teknoloji etrafında kontroller içeren denetlenebilir bir siber güvenlik programı oluşturmalıdır. Bu alanların her biri, incelemeye açık eserler üreten kontrollere ve süreçlere ihtiyaç duyar. Bunu yaparken, herhangi bir KOBİ, bir SSAE 18 değerlendirmesi aracılığıyla kendisini dış denetime hazırlamış olur. Kuruluşlar başlangıçta, kontrollerinin bir SOC 1 (Anlık Nokta) denetimine tabi tutulmalıdır. Bu, daha az zaman ve para harcayarak boşlukların giderilmesi ve iyileştirmeler için zaman kazandırır. Başarılı bir SOC 1 SSAE 18 değerlendirmesi sağlandıktan sonra, bir KOBİ, süreçlerin zaman içinde nasıl işlediğini doğrulamak için hızla bir SOC2'ye geçmelidir.

SSAE 18 SOC 2 Tip II değerlendirmesini başarıyla geçebilen bir KOBİ, mevcut kontrollerin ötesine geçen HIPAA, PCI'ye özgü reçeteler olsa da diğer denetim türlerini de geçme konusunda iyi bir konumda olmalıdır.

SSAE denetimleriyle ilgili bu makalenin en önemli mesajı, kişinin iş süreçlerini ve kontrollerini denetleme eyleminin son derece değerli olduğudur. NIST ve CyberHoot, her ikisi de bir Risk Yönetimi Çerçevesi oluşturulmasını önermektedir. herhangi Bunu yapmak, sınırlı ve değerli zamanınızı ve paranızı en önemli risk azaltma faaliyetlerine harcamanızı sağlar. Bu, iyi harcanmış zaman ve paradır.

CyberHoot, politika ve süreç yönetimi, eğitim programları, kimlik avı testleri ve hatta harici değerlendirme öncesinde kendi kendinizi değerlendirmenize olanak tanıyan değerlendirmeler aracılığıyla şirketleri bu tür denetimlere hazırlamada güçlü bir rol oynayabilir. satış@cyberhoot.com daha fazla bilgi almak için!