WikiDer > Системный и организационный контроль
Эта статья нужны дополнительные цитаты для проверка. (Март 2020 г.) (Узнайте, как и когда удалить этот шаблон сообщения) |
Системный и организационный контроль (SOC), определяемый Американский институт сертифицированных бухгалтеров (AICPA) - это название набора отчетов, созданных во время аудита. Он предназначен для использования обслуживающими организациями (организациями, которые предоставляют информационные системы в качестве услуги другим организациям) для выпуска проверенных отчетов о внутреннего контроля через эти информационные системы пользователям этих услуг. Отчеты сосредоточены на элементах управления, сгруппированных в пять категорий, называемых Принципы доверительного обслуживания.[1] AICPA стандарт аудита Положение о стандартах выполнения заданий по аттестации № 18 (SSAE 18), раздел 320 «Отчетность по проверке средств контроля в обслуживающей организации, имеющей отношение к внутреннему контролю финансовой отчетности организаций-пользователей», определяет два уровня отчетности, тип 1 и тип 2. В дополнительных инструкциях AICPA указываются три типа отчетности: SOC 1, SOC 2 и SOC 3.
Принципы доверительного обслуживания
Отчеты SOC сосредоточены на элементах управления, которые рассматриваются в пяти частично перекрывающихся категориях, называемых Принципы доверительного обслуживания которые также поддерживают триаду информационной безопасности ЦРУ:[1]
- Конфиденциальность
- Контроль доступа
- Многофакторная аутентификация
- Шифрование
- Безопасность
- Межсетевые экраны
- Обнаружения вторжений
- Многофакторная аутентификация
- Доступность
- Мониторинг производительности
- Аварийное восстановление
- Обработка инцидентов
- Целостность обработки
- Гарантия качества
- Мониторинг процесса
- Конфиденциальность
- Шифрование
- Контроль доступа
- Межсетевые экраны
Составление отчетов
Уровни
Существует два уровня отчетов SOC, которые также указаны в SSAE No. 18:[1]
- Тип I, который описывает системы обслуживающей организации и соответствие конструкции заданных средств управления соответствующим принципам доверия.
- Тип II, который также касается оперативной эффективности указанных средств контроля за период времени (обычно от 9 до 12 месяцев).
Типы
Есть три типа отчетов SOC.[2]
- SOC 1 - Внутренний контроль финансовой отчетности (ICFR)[3]
- SOC 2 - Критерии доверительных услуг[4]
- SOC 3 - Критерии служб доверия для отчета об общем использовании[5]
Рекомендации
- ^ а б c «Соответствие SOC 2». imperva.com. Imperva. Получено 25 февраля 2020.
- ^ «Управление системой и организацией: набор услуг SOC». AICPA. Получено 2020-03-06.
- ^ «SOC 1 - SOC для сервисных организаций: ICFR». AICPA. Получено 2020-03-06.
- ^ «SOC 2® - SOC для обслуживающих организаций: критерии доверительных услуг». AICPA. Получено 2020-03-06.
- ^ «SOC 3® SOC для обслуживающих организаций: Отчет о критериях доверительных служб для общего использования». AICPA. Получено 2020-03-06.