" SOC新框架2报告讨论新出现的风险:cliftonlarsonallen(500万彩票网)

      <kbd id="zttgzn9c"></kbd><address id="aen1vsry"><style id="v83ckq2q"></style></address><button id="kqfgr5au"></button>

          Man in Server Room Looking at Tablet

          新的和更复杂的风险出现,中注协显着改变系统的组织和控制(SOC)的报告中使用的标准。

          降低风险

          SOC新框架2报告讨论新出现的风险

          • 迈克·尼曼
          • 2019年7月3日

          在2017年,注册500万彩票网师美国学院(AICPA)公布重大变化CON SUS信任服务标准(TSC),这将影响包含在该控件必须 SOC 2,以及SOC 3SOC的网络安全报告.

          新标准将要求SOC为最终期限有了2018年12月15日当天或之后有近2个报告如果您尚未实施的新框架到您的SOC 2报告,整个报告的概念类似于现有很大程度上框架,但结构本身和详细程度是更加透明。这里就是变化是一回事。

          • 中注协的综合信托服务标准,随着特雷德韦委员会发起组织的广泛使用,并深受尊重委员会(COSO)框架
          • 澄清通过更新框架名称更新的困惑。该 信托服务原则和标准 现在简单 信托服务标准
          • 更新更好的满足不断变化的网络安全风险
          • 该框架允许更大的灵活性,如何应用信任准则

          对于SOC 2的新的信任服务标准

          一般情况下,TSC控制标准是在鉴证业务在安全性,可用性使用或咨询,评估和报告的控制,处理完整性,保密性,以及信息和系统的保密性。

          新标准提供更灵活,框架。现在它能够适用的(a)在整个实体; (B)在一个子公司,除法,或单元操作级别; (C)在与该实体相关的业务,报告,或遵医嘱目标的功能;或(d)要由实体使用的特殊类型的信息。

          随着对准科索

          对于SOC两份报告整合了2013年的框架科索其中2017年的TSC更新适用于内部控制框架的整个实体或实体的部分。这种公推崇集成到框架TSC有道理的,因为,科索等时,的TSC用于评估内部控制 - 特别是,在安全性,可用性,加工完整性,机密性,和隐私控制。

          COSO框架使用17个原则是指内部控制的元件必须存在或为实体的内部监测即运作,以被认为是有效。 2016年更新没有使用相同的术语。

          为了避免混淆,总体框架及其注册500万彩票网师协会更名为“信赖的服务标准。”引用单个组件(安全性,可用性和处理完整性,机密性和隐私)时,它们被称为“信托业务类别。”

          17个原则科索

          COSO的17个原则被并入TSC共同标准和分类为以下类别:

          • 控制环境(CC1系列)
          • 通信和信息(CC2系列)
          • 风险评估(CC3系列)
          • 监测活动(CC4系列)
          • 控制活动(CC5系列)

          正如TSP以前的版本看到的,也有共同的标准,所有五个类别的信托服务,避免了一些冗余的。包括全套的共同标准的安全类别,然后有附加条件的具体情况而定,处理完整性,机密性和隐私性。

          风险网络安全地址

          在SOC更好地解决网络安全风险随着两份报告中,美国注册500万彩票网师协会进一步修改的17项原则为四组:

          • 物理和逻辑访问控制 - 在实体限制如何访问逻辑和物理,并删除提供访问,未授权的访问,并阻止(CC6系列)。
          • 系统操作 - 一个实体如何管理处理系统中的(一个或多个),并检测和减轻偏差的操作,物理和逻辑安全性,包括偏差(CC7系列)。
          • 更换管理层 - 实体标识需要如何变化,使用受控的变更管理流程,使更改,从正在进行(CC8系列)防止未经授权的更改。
          • 风险缓解措施 - 实体标识,选择,以及如何发展风险缓解活动从潜在的业务中断和使用的供应商和业务合作伙伴(CC9系列)所产生。

          灵活的应用,为SOC 2个报告

          COSO框架已经有“焦点点,”重要的该标准的特点,但点是新的TSC和SOC报告。随着每个标准提出了重点的几个点,以帮助组织评估是否在控制适当设计和有效运行。 2017年TSC包括33个共同标准随着近200点聚焦。对于所有五类,有61个标准随着近300点聚焦。

          不要担心上面列出的数字,审计师或医生因(即500万彩票网师事务所)的审查已经多数重点点的服务。聚焦点以这种方式阐述了从先前的更新茶匙区分开来。

          在应用现状的TSC要求组织利用判定当应用标准的基础上,理解组织及其在当前形势下环境的事实和情况。另外,不是焦点的所有点都适合或与该实体相关或接合。在100.04茶匙指导也提到重点的所有点得到解决是不管的评估 需要。

          焦点示例的点

          焦点的点可以与物理和逻辑接入控制(cc6.2)的一个例子进行说明。这个标准说:

          “之前发出凭证并授予系统接入系统,所述实体寄存器并授权新的外部和内部用户访问谁是由实体管理。对于那些用户访问由实体管理,被删除系统用户凭据当用户访问不再被授权“。

          然后,信托服务标准,列出重点的以下几点:

          • 控制访问受保护的资产凭证 - 信息资产的访问凭据是基于从系统的资产所有者或授权托管人的授权创建。
          • 删除,以保护资产获得适当的时 - 处理到位,以移除访问凭据当不再需要单独这样的访问。
          • 访问凭据审查得体 - 访问证书的适当性与凭证不必要和不适当的个人定期审查。

          在哪里可以找到你的SOC 2报告的新的信托服务标准

          中注协有一个免费网站 映射准则文件,这说明了每个新的标准和重点点涉及到2016年的信托服务原则和标准。每个组织的情况是独一无二的,并绘制出来将提供2016年和2017年的TSC茶匙之间的关系的总体思路。 2017年的信托服务标准就可以买到本身(下载或硬拷贝) 从AICPA店.

          你的下一个步骤

          如果已经发放给SOC 2或3的SOC报告或者是为未来的SOC 2 SOC 3或SOC网络安全报告的规划,你需要标准来评估该组织的电流控制,以获得新的信任服务的理解姿势,确定潜在的差距增量和必要的控制,建立完成,安全的资源和组织承诺一个时间表下的TSC条件的下一个检查。

          我们如何能够帮助

          升级和不断发展的风险正在发生变化上报方式进行的。我们可以帮助如果内部安全符合修订后的办法AICPA信托服务的标准框架,它适用于无论你为新的SOC准备报告要求,以确定 SOC SOC 2或3报告SOC的网络安全检查.

          看我们如何验证您的SoC 2网络安全考试与时并进风险研讨会。