SSAE 合规性, 又称《鉴证业务与合规准则声明》,是使用美国注册会计师协会(AICPA)审计准则委员会(ASB)发布的标准的审计准则和指南的集合。
这些标准定义了服务公司如何报告其合规控制和流程。SSAE 16 (SOC 1) 于 2010 年 70 月发布,作为所有服务审计师记录的报告准则,并取代了《审计准则声明》第 XNUMX 号。如果您熟悉 SOC 1 审核,您很可能熟悉 SSAE 16。不幸的是,SSAE 16 存在许多缺陷,并于 1 年 2017 月 18 日被旨在弥补这些缺陷的 SSAE XNUMX 所取代。
SSAE 18 是目前仍在使用的标准。审计师在执行 SOC 18 至 1 评估时,无论采用 I 类(即对控制措施进行时间点评估)还是 II 类(即对控制措施进行 3 至 9 个月的周期性审查),均须遵循 SSAE 12 的规定。
SSAE 18 对子服务机构的处理方式进行了重大修改。此前,子服务机构(外包或分包商)的控制和测试不属于审计范围,导致测试方面存在重大缺陷。
来源: TechTarget公司, 奥塔瓦
中小企业应构建可审计的网络安全方案,其中包含访问管理、最小权限、问责制、培训、治理和技术方面的控制措施。每个领域都需要控制措施和流程,以生成可供检查的成果。为此,任何中小企业都应通过 SSAE 18 评估做好接受外部检查的准备。初期,企业应进行 SOC 1(即时间点)控制措施检查。这样,企业便有时间以较少的时间和金钱投入来纠正漏洞并进行补救。一旦成功通过 SOC 1 SSAE 18 评估,中小企业应迅速转向 SOC2,以验证流程是否能够长期有效。
能够成功通过 SSAE 18 SOC 2 Type II 评估的 SMB 应该能够很好地通过其他类型的审计,尽管 HIPAA、PCI 可能存在超出现有控制范围的独特规定。
这篇关于SSAE审计的文章最重要的信息是,检查业务流程和控制措施非常重要。NIST和CyberHoot都建议在以下情况下建立风险管理框架: 任何 组织。这样做可以确保您将有限而宝贵的时间和金钱投入到最重要的风险缓解活动上。这是物有所值的。
CyberHoot 可以通过其政策和流程管理、培训计划、网络钓鱼测试,甚至在外部评估之前进行自我评估,在帮助公司做好此类审计准备方面发挥重要作用。电子邮件 sales@cyberhoot.com 获取更多信息!
发现并分享最新的网络安全趋势、技巧和最佳实践——以及需要注意的新威胁。
