Системный и организационный контроль

Эта статья требует дополнительных ссылок для проверки . Пожалуйста, помогите улучшить эту статью , добавив цитаты из надежных источников . Материал, не полученный от источника, может быть оспорен и удален. Поиск источников:  «Управление системой и организацией»  -  новости  · газеты  · книги  · ученый  · JSTOR ( март 2020 г. ) ( Узнайте, как и когда удалить это сообщение-шаблон )

Контроль системы и организации (SOC) (также иногда называемый контролем обслуживающих организаций) в соответствии с определением Американского института сертифицированных бухгалтеров (AICPA) - это название набора отчетов, составляемых во время аудита. Он предназначен для использования обслуживающими организациями (организациями, которые предоставляют информационные системы в качестве услуги другим организациям) для выпуска проверенных отчетов о внутреннем контроле над этими информационными системами для пользователей этих услуг. Отчеты сосредоточены на элементах управления, сгруппированных в пять категорий, называемых принципами службы доверия . ^[1] Стандарт аудита AICPA Положение о стандартах выполнения заданий по аттестации №. 18 (SSAE 18), раздел 320 «Отчетность по проверке средств контроля в обслуживающей организации, относящейся к внутреннему контролю финансовой отчетности организаций-пользователей», определяет два уровня отчетности, тип 1 и тип 2. В дополнительных инструкциях AICPA указываются три типа отчетности: SOC 1, SOC 2 и SOC 3.

Принципы доверительного обслуживания

В отчетах SOC основное внимание уделяется средствам контроля, охватываемым пятью частично перекрывающимися категориями, называемыми принципами доверительного обслуживания, которые также поддерживают триаду информационной безопасности ЦРУ: ^[1]

1. Безопасность
   • Межсетевые экраны
   • Обнаружения вторжений
   • Многофакторная аутентификация
2. Доступность
   • Мониторинг производительности
   • Аварийное восстановление
   • Обработка инцидентов
3. Конфиденциальность
   • Шифрование
   • Контроль доступа
   • Межсетевые экраны
4. Целостность обработки
   • Гарантия качества
   • Мониторинг процесса
5. Конфиденциальность
   • Контроль доступа
   • Многофакторная аутентификация
   • Шифрование

Составление отчетов

Уровни

Существует два уровня отчетов SOC, которые также указаны в SSAE no. 18: ^[1]

• Тип I, который описывает системы обслуживающей организации и соответствие конструкции заданных средств управления соответствующим принципам доверия. (Достигнут ли дизайн и документация целей, определенных в отчете?)
• Тип II, который также касается оперативной эффективности указанных средств контроля за период времени (обычно от 9 до 12 месяцев). (Соответствует ли реализация?)

Типы

Есть три типа отчетов SOC. ^[2]

• SOC 1 - Внутренний контроль финансовой отчетности (ICFR) ^[3]
• SOC 2 - Критерии доверительных услуг ^[4]
• SOC 3 - Отчет о критериях служб доверия для общего использования ^[5]

Кроме того, существуют специализированные отчеты SOC для кибербезопасности и цепочки поставок.

Отчеты SOC 1 и SOC 2 предназначены для ограниченной аудитории - в частности, пользователей с адекватным пониманием рассматриваемой системы. Отчеты SOC 3 содержат менее конкретную информацию и могут быть распространены среди широкой публики.

использованная литература

внешние ссылки

• «Положение о стандартах выполнения заданий по аттестации 18, Стандарты аттестации: разъяснение и перекодификация» , AICPA
• «Профессиональные стандарты», раздел AT-C 320 , AICPA