Эта статья требует дополнительных ссылок для проверки . ( март 2020 г. ) |
Контроль системы и организации (SOC) (также иногда называемый контролем обслуживающих организаций) в соответствии с определением Американского института сертифицированных бухгалтеров (AICPA) - это название набора отчетов, составляемых во время аудита. Он предназначен для использования обслуживающими организациями (организациями, которые предоставляют информационные системы в качестве услуги другим организациям) для выпуска проверенных отчетов о внутреннем контроле над этими информационными системами для пользователей этих услуг. Отчеты сосредоточены на элементах управления, сгруппированных в пять категорий, называемых принципами службы доверия . [1] Стандарт аудита AICPA Положение о стандартах выполнения заданий по аттестации №. 18 (SSAE 18), раздел 320 «Отчетность по проверке средств контроля в обслуживающей организации, относящейся к внутреннему контролю финансовой отчетности организаций-пользователей», определяет два уровня отчетности, тип 1 и тип 2. В дополнительных инструкциях AICPA указываются три типа отчетности: SOC 1, SOC 2 и SOC 3.
В отчетах SOC основное внимание уделяется средствам контроля, охватываемым пятью частично перекрывающимися категориями, называемыми принципами доверительного обслуживания, которые также поддерживают триаду информационной безопасности ЦРУ: [1]
Существует два уровня отчетов SOC, которые также указаны в SSAE no. 18: [1]
Есть три типа отчетов SOC. [2]
Кроме того, существуют специализированные отчеты SOC для кибербезопасности и цепочки поставок.
Отчеты SOC 1 и SOC 2 предназначены для ограниченной аудитории - в частности, пользователей с адекватным пониманием рассматриваемой системы. Отчеты SOC 3 содержат менее конкретную информацию и могут быть распространены среди широкой публики.