اگر مشتریان شما برای محافظت از اطلاعات مصرف کننده به شما متکی هستند، به احتمال زیاد ممکن است از شما خواسته شود که یک گزارش حسابرسی SOC 1 تهیه کنید. حسابرسی SOC 1 در مورد کنترلهای موجود در سازمان که به صورتهای مالی مشتری مرتبط است یا ممکن است بر آن تأثیر بگذارد، گزارش میدهد. این چارچوب گزارشدهی برای نشان دادن اینکه یک سازمان دارای کنترلها و فرآیندهای داخلی مناسب برای رسیدگی به خطرات امنیت اطلاعات و انطباق است، طراحی شده است. داشتن یک میلیون سوال در اولین باری که ممیزی SOC 1 را انجام می دهید غیر معمول نیست. از کجا شروع کنیم؟ SOC 1 به چه معناست؟ آیا شکست خواهیم خورد؟ در اینجا 10 کاری وجود دارد که می توانید برای آماده شدن برای ممیزی SOC 1 خود انجام دهید.
10 چیزی که باید برای حسابرسی SOC 1 خود آماده کنید
1. ارزیابی ریسک
اگر به انطباق یا چارچوب امنیت اطلاعات، ممیزی یا استاندارد نگاه کنید، همه آنها به ارزیابی ریسک نیاز دارند. همانطور که گفته شد، انجام یک ارزیابی رسمی ریسک بهترین نقطه شروع برای آماده شدن برای ممیزی SOC 1 آینده شما است. ارزیابی ریسک به شما کمک می کند تا بفهمید که به عنوان یک سازمان چه کاری انجام می دهید و می تواند به شناسایی خطرات موجود در محیط شما کمک کند. بر اساس ارزیابی شما، اجرای کنترل ها باید معقول و امکان پذیر باشد. یک ارزیابی کتبی و رسمی ریسک باید توسط بخشهای مختلف و کارمندان انجام شود.
2. ارزیابی نیازهای مشتری
به عنوان بازار به چه کسی خدمات می دهید؟ آیا به سازمان های خرده فروشی خدمات ارائه می دهید؟ سازمان های بهداشت و درمان؟ دولت فدرال؟ سازمان های خدمات مالی؟ پاسخ های شما قوانین و مقررات مربوط به شما و نحوه ارائه خدمات خود را تعیین می کند. مشتریان شما از شما چه انتظاری دارند؟ قرارداد شما چه چیزی را ارائه می دهد؟ بهعنوان یک ارائهدهنده خدمات، دامنه حسابرسی شما بر اساس روشهای ارائه خدمات شما شکل میگیرد و نیازهای مشتری باید برای درک آنچه مورد انتظار و منطقی است، ارزیابی شود. فراموش نکنید که قراردادها و بسته های خدمات را ارزیابی کنید تا مطمئن شوید که انتظارات به درستی مستند شده اند.
3. مفاهیم نظارتی
به منظور آماده شدن برای ممیزی SOC 1، باید تعیین کنید که مسئولیت های نظارتی شما بر اساس منطقه شما و مشتریانی که به آنها خدمات می دهید چیست. به عنوان مثال، اگر در حال خدمت به بازار مراقبت های بهداشتی هستید، مسئولیت پیروی از بخش های مربوطه قانون HIPAA/HITECH را بر عهده خواهید داشت. اگر در حال خدمت به بازار مالی هستید، GLBA مرتبط است. اگر به شرکت های سهامی عام خدمات می دهید، SOX مرتبط است. اگر در حال خدمت به دولت فدرال هستید، باید FISMA را رعایت کنید. در نظر گرفتن هر چارچوب نظارتی که برای شما اعمال می شود، به تعیین آنچه مهم است در هنگام آماده شدن برای ممیزی SOC 1 خود در نظر بگیرید کمک می کند.
4. کنترل های تحویل خدمات
احتمالاً یکی از بزرگترین خطراتی که کسبوکارها ممکن است نادیده بگیرند (از آنجایی که یک نقض امنیتی نیست) ریسکهای عملیاتی هستند. به عنوان حسابرسان، ما به دنبال چیزهایی هستیم که با کارایی عملیاتی، خطاهای شناسایی و تضمین کیفیت سروکار دارند. همه اینها عوامل مهمی هستند که به ایجاد مجموعه ای از کنترل های ارائه خدمات کمک می کنند. چه کنترل هایی را در طول فرآیند ارائه خدمات تنظیم کرده اید؟ یک راه مفید برای مدیریت کنترل های ارائه خدمات، ایجاد نمودار جریان داده از چرخه عمر مدل ارائه خدمات شما است. ما را گام به گام در کل فرآیند راهنمایی کنید.
5. خط مشی ها و رویه های مکتوب
این اولین باری نیست که این حرف را از ما می شنوید و آخرین بار هم نخواهد بود. مهمترین چیزی که باید هنگام تدوین خط مشی ها و رویه ها برای آماده شدن برای هر حسابرسی به خاطر بسپارید این است:اگر نوشته نشده باشد، این اتفاق نیفتاده است.» داشتن مجموعهای از خطمشیها و رویهها بهطور رسمی مکتوب و کاملاً مستند برای حسابرسی SOC 1 بسیار مهم است، زیرا این مواردی است که ما بر اساس آن حسابرسی میکنیم. اگر خطمشی شما میگوید شما X، Y، Z را انجام میدهید، آزمایشی را در برابر آن خطمشی انجام میدهیم تا تأیید کنیم که در واقع X، Y، Z را انجام میدهید. داشتن مجموعهای رسمی از خطمشیها و رویههای مکتوب همچنین به راهنمایی کارکنان در این زمینه کمک میکند. انتظارات و پیامدهای شرکت، و راهنمایی در مورد اجرای صحیح ارائه خدمات ارائه می دهد. خطمشیها و رویهها باید بهطور کامل توسط مدیریت ارشد تأیید شده و توسط فرد مجاز حداقل سالیانه بهروزرسانی شود.
6. آموزش
هنگام تلاش برای آماده شدن برای ممیزی SOC 1، خط مشی ها و رویه ها با آموزش همراه می شوند. ضروری است که کارکنان برای اطمینان از انطباق کامل با تمام خط مشی ها و رویه های شرکت، آموزش های خاص شغلی را دریافت کنند. آیا همه کارکنان شرکت کردند؟ آیا همه کارمندان متوجه شدند؟ آیا نوعی فرم قدردانی وجود دارد که امضا شده باشد مبنی بر اینکه به آنها ارائه شده است و درک می کنند که از آنها به عنوان یک کارمند چه انتظاری می رود؟ از آنجایی که، به عنوان مثال، منابع انسانی، فناوری اطلاعات و تولید همگی مسئول جنبه های مختلف کسب و کار هستند، آموزش باید تا حد امکان مختص شغل باشد. نوع دیگری از آموزش که در چشم انداز تهدید کنونی ما حیاتی است، آموزش آگاهی امنیتی است. کارکنان باید سالانه آموزش ببینند تا آنها را در درک انواع تهدیدهایی که در خارج وجود دارد، هوشیار نگه دارند.
7. مدیریت فروشنده
فروشندگان یک خطر برای هر سازمانی هستند. الزامات فروشنده شما برای هر فروشنده ممکن است بر اساس خطری که فروشنده برای سازمان شما ایجاد می کند متفاوت باشد. به عنوان مثال، یک فروشنده متصل به VPN خطرات متفاوتی را نسبت به یک سرویس تمیز کردن معرفی می کند. تا آنجایی که فروشندگان خود را مدیریت می کنید، رویه های ورود و خروج به همان اندازه برای فروشندگان حیاتی است که برای کارمندان. برای فرآیند ورود به هواپیما به چه چیزی نیاز دارید؟ عدم افشای امضا شده؟ بخواهید تأیید کنید که آنها یک بررسی پیشینه کارمندان را انجام می دهند؟ بررسی کنید که آنها با هر گونه الزامات مربوط به امنیت اطلاعات و انطباق مقرراتی مطابقت دارند؟ سیاست ها، آموزش و نظارت موثر می تواند ریسک فروشنده شما را تا حد زیادی کاهش دهد. حتماً بند حق حسابرسی را در قرارداد خود لحاظ کنید.
8. کنترل های فیزیکی
کنترل های فیزیکی شما در مورد محدود کردن دسترسی به محیط فیزیکی شما صحبت می کنند. این کنترلها مواردی مانند کنترل نحوه ورود و خروج شخصی به مرکز شما، ردیابی بازدیدکنندگان و ثبت گزارش را پوشش میدهند. کنترلهای دسترسی میتوانند گزارشهایی را برای تأیید دسترسی اعطا یا رد شده ایجاد کنند. فیلم ویدئویی می تواند پس از یک حادثه برای تعیین تاثیر مفید باشد. رویه های بازدیدکننده برای مستندسازی رویدادهای تاریخی مهم هستند. آیا پست های بازرسی اضافی یا دسترسی محدود یک بار در داخل وجود دارد؟ مناطق حساس باید برای محدود کردن دسترسی بر اساس توجیه تجاری کاملاً کنترل شوند. هنگامی که برای ممیزی SOC 1 آماده می شوید، ارزیابی کنترل های فیزیکی شما مهم است.
9. کنترل های امنیتی
وقتی در مورد کنترلهایی صحبت میکنیم که بر «امنیت» تأثیر میگذارند، در مورد سیا صحبت میکنیم: محرمانگی، صداقت و در دسترس بودن. اگر یک سند مهم حاوی اطلاعات حساس به سرقت رفته باشد، محرمانه بودن آن سند به خطر افتاده است. اگر یک سند چاپی مهم را ذخیره می کنید که خیس شده و اکنون قابل خواندن نیست، یکپارچگی آن سند به خطر افتاده است. اگر چیزی گم شده باشد، مانند یک بایگانی مهم پر از اسناد حساس، اما توسط افراد غیرمجاز گرفته نشده باشد، در این صورت در دسترس بودن آن اسناد در داخل کابینت بایگانی به خطر افتاده است. قرار دادن کنترلهای اداری، فنی و فیزیکی میتواند به شما در رسیدگی به هر یک از آن حوزههای امنیتی کمک کند.
10. کنترل های در دسترس بودن
کنترل های در دسترس بودن شامل مواردی مانند تداوم کسب و کار و طرح های بازیابی فاجعه است. اینها برای حفظ در دسترس بودن برای مشتریان شما حیاتی هستند. سایر کنترلهای در دسترس بودن که باید هنگام آماده شدن برای ممیزی SOC 1 در نظر بگیرید، پشتیبانگیری از دادهها، نظارت بر شبکه، و آموزش متقابل کارکنان است.
شرکت ها به دنبال تجارت با فروشندگانی هستند که این مسائل را درک می کنند. فعال بودن در مورد انجام ممیزی SOC 1 می تواند به معنای تفاوت در برنده شدن معامله بزرگ بعدی شما و جلب اعتماد و احترام مشتریانی باشد که به آنها خدمات می دهید.
KirkpatrickPrice تلاش می کند تا شریک شما باشد. درگیر شدن در ممیزی SOC 1 لازم نیست چیز ترسناکی باشد و ما اینجا هستیم تا در هر مرحله از راه با توصیهها و منابعی برای کمک به تقویت محیط شما کمک ارائه دهیم. اگر آماده دریافت کمک هستید، همین امروز با یکی از کارشناسان ما ارتباط برقرار کنید.
منابع بیشتر
15 سیاست امنیت اطلاعات ضروری
الزامات انطباق با آموزش آگاهی امنیتی: SOC 2، PCI، HIPAA، و موارد دیگر
مبانی حسابرسی: آزمون کنترل های حسابرس
درباره نویسنده
توری تورموند