BÁO CÁO KIỂM SOÁT RỦI RO SOC
Báo cáo SOC là gì ?
SOC là viết tắt của Kiểm soát hệ thống và tổ chức . Việc tuân thủ SOC đảm bảo rằng tổ chức tuân theo các biện pháp thực hành tốt nhất liên quan đến việc bảo vệ dữ liệu của khách hàng trước khi giao phó chức năng kinh doanh cho tổ chức đó. Những phương pháp thực hành tốt nhất này thuộc các lĩnh vực tài chính, bảo mật, tính toàn vẹn trong quá trình xử lý, quyền riêng tư và tính khả dụng. Các báo cáo do bên thứ ba lập và phê duyệt mang lại sự đảm bảo độc lập và giúp khách hàng/đối tác hiểu được những rủi ro tiềm ẩn liên quan đến việc hợp tác với tổ chức đã được đánh giá.
Bạn có thể chọn theo đuổi việc tuân thủ SOC vì bạn đang nỗ lực ký kết với một khách hàng tiềm năng coi trọng sự bảo mật của bạn hoặc công ty của riêng bạn làm việc với dữ liệu nhạy cảm và bạn muốn chủ động triển khai sức mạnh bảo mật .
Dựa trên thông tin được yêu cầu và loại tổ chức liên quan, tồn tại nhiều phiên bản báo cáo SOC, đó là SOC 1 , SOC 2 và SOC 3 .
SOC 1 (Kiểm soát hệ thống và tổ chức 1)
Kiểm soát tổ chức và dịch vụ 1, còn được gọi là SOC 1. Đây là tài liệu được thiết kế nổi bật dành cho các tổ chức cung cấp dịch vụ công nghệ gia công phần mềm và có thể ảnh hưởng đến an ninh tài chính của khách hàng của họ. Nó mang lại lợi ích cho các công ty cung cấp dịch vụ gia công vì nó giúp họ có được đòn bẩy trong ngành. Nó đánh giá các biện pháp kiểm soát nội bộ của ngành liên quan đến báo cáo tài chính của khách hàng. Nó hoạt động như một mảnh bằng chứng và sự đảm bảo cho các khách hàng tiềm năng liên quan đến tính bảo mật và minh bạch của các hoạt động nội bộ của ngành.
Chứng nhận SOC 1 là một phần tài liệu đóng vai trò là bằng chứng cho thấy cuộc kiểm toán SOC 1 đã được thực hiện đối với các dịch vụ của tổ chức liên quan đến báo cáo và thông tin tài chính của khách hàng. Nó đảm bảo rằng công ty tuân theo các biện pháp thực hành tốt nhất để bảo vệ dữ liệu của khách hàng về tài chính, bảo mật, quyền riêng tư và tính toàn vẹn trong quá trình xử lý. Nó cũng hữu ích khi khách hàng yêu cầu kiểm toán công ty mà không có SOC 1, đây có thể là một quy trình tốn kém và tốn nhiều thời gian.
Báo cáo được chuẩn bị sau khi tiến hành kiểm tra SOC 1 được gọi là báo cáo SOC 1. Trước đây nó được gọi là SAS 70 (Tuyên bố về Chuẩn mực Kiểm toán 70), nhưng cuối cùng, nó đã được thay thế bằng SSAE 16 (Tuyên bố về Chuẩn mực cho Cam kết Chứng thực số 16)
Báo cáo SOC 1 tuân thủ Kiểm soát nội bộ đối với Báo cáo tài chính (ICFR). Đó là tài liệu về sức mạnh nội bộ có thể phù hợp khi tiến hành kiểm toán báo cáo tài chính của khách hàng.
Có hai loại báo cáo SOC 1
LOẠI 1 : Nó cho biết ngành có thể thiết kế các biện pháp kiểm soát tài chính nội bộ của mình hiệu quả đến mức nào. Nó nhấn mạnh vào việc thiết kế các biện pháp kiểm soát nhằm đạt được các mục tiêu liên quan, bao gồm ý kiến của kiểm toán viên dịch vụ, báo cáo quản lý và mô tả hệ thống. Điều này mô tả quyền lực đối với các đơn vị dịch vụ tại một thời điểm cụ thể.
LOẠI 2 : Chứng tỏ cơ chế kiểm soát của công ty hoạt động hiệu quả. Nó nhấn mạnh đến thiết kế và hiệu suất vận hành của nguồn điện trong ít nhất sáu tháng, bao gồm tất cả thông tin trong Loại 1 cùng với việc bổ sung các thử nghiệm do kiểm toán dịch vụ thực hiện. Theo các kiểm toán viên, loại hình này mang lại sự đảm bảo về khả năng kiểm soát của một tổ chức.
Chứng nhận SOC 1 đảm bảo rằng tổ chức cung cấp dịch vụ lưu giữ thông tin an toàn và bảo mật liên quan đến khách hàng của họ.
Một tổ chức phải tuân thủ SOC 1 để thể hiện sự tuân thủ mục tiêu nếu công ty thực hiện giao dịch đại chúng.
SOC 2 :Kiểm soát hệ thống và tổ chức 2
SOC 2 là một quy trình kiểm toán được phát triển bởi Viện CPA Hoa Kỳ (AICPS), cung cấp hướng dẫn cho tổ chức về cách quản lý dữ liệu khách hàng. SOC 2 chỉ tập trung vào bảo mật, trong khi SOC 1 đo lường hiệu quả của một tổ chức về kiểm soát nội bộ. Nó được thiết kế cho các tổ chức lưu trữ dữ liệu công ty và khách hàng trên đám mây hoặc các công ty cung cấp dịch vụ gia công cho các nhà cung cấp bên thứ ba như SaaS, nhà cung cấp điện toán đám mây.
Ban đầu, nó được ra mắt vào năm 2013 với mục đích chỉ sử dụng ở thị trường nội địa nhưng hiện tại nó đã được chấp nhận trên toàn thế giới.
Nó đảm bảo rằng nhà cung cấp dịch vụ của bạn xử lý an toàn dữ liệu và quyền riêng tư của khách hàng, đồng thời mang lại niềm tin rằng dữ liệu của bạn sẽ không gặp rủi ro. Chứng nhận được kiểm toán của bên thứ ba như SOC 2 là yêu cầu tối thiểu đối với các công ty cung cấp dịch vụ.
Nếu một công ty không xử lý dữ liệu tài chính nhưng xử lý các loại dữ liệu khác, thì công ty đó có thể đạt Chứng nhận SOC 2.
Nó xác định các tiêu chí để quản lý cơ sở dữ liệu được thiết lập dựa trên 'Năm nguyên tắc dịch vụ' được đổi tên thành 'Tiêu chí dịch vụ tin cậy' vào năm 2018
Báo cáo SOC 2 là duy nhất cho mỗi công ty vì mọi tổ chức đều kiểm soát và tuân theo một hoặc các tiêu chí dịch vụ tin cậy khác. Nó xác định các tiêu chí để quản lý dữ liệu của khách hàng trên cơ sở năm “nguyên tắc dịch vụ đáng tin cậy”: bảo mật, tính sẵn sàng, tính toàn vẹn khi xử lý, quyền riêng tư và bảo mật. Nó được quy định cụ thể cho từng đơn vị kinh doanh. Phù hợp với các thông lệ kinh doanh cụ thể, mỗi bên phát triển năng lực riêng của mình để tuân thủ một hoặc nhiều nguyên tắc tin cậy. Những thông tin này cung cấp cho bạn thông tin quan trọng về cách nhà cung cấp dịch vụ của bạn xử lý dữ liệu.
Các tiêu chí
Bảo mật: Nó bảo vệ hệ thống và dữ liệu khỏi bị truy cập trái phép, đồng thời ngăn chặn hành vi trộm cắp dữ liệu và lạm dụng hệ thống. Nó tập trung vào việc quản lý quyền riêng tư và tính toàn vẹn của khách hàng cũng như ngăn chặn vi phạm dữ liệu.
Tính sẵn sàng: Nó đảm bảo và bao gồm các tiêu chí liên quan đến bảo mật và đảm bảo nó phải sẵn sàng để sử dụng và vận hành.
Tính toàn vẹn của quá trình xử lý: Nó hoạt động dựa trên nguyên tắc cung cấp dữ liệu chính xác ở đúng nơi, đúng thời điểm, điều này cho thấy việc xử lý phải chính xác, được ủy quyền và kịp thời.
Tính bảo mật: Dữ liệu do tổ chức nắm giữ được bảo mật và trách nhiệm của tổ chức là giữ cho thông tin của khách hàng không bị tổn hại và được bảo vệ.
Quyền riêng tư: Các công ty cung cấp dịch vụ nắm giữ thông tin bí mật về khách hàng. Nguyên tắc đảm bảo rằng số liệu thống kê thu thập phải được sử dụng, lưu giữ, tiết lộ và xử lý một cách thích hợp.
Các báo cáo được chuẩn bị sau khi tiến hành kiểm tra SOC 2 được gọi là báo cáo SOC 2.
SOC có ý kiến của kiểm toán viên không?
Có, SOC có ý kiến của kiểm toán viên. SOC phải có ý kiến của kiểm toán viên về các lĩnh vực sau:
Nếu các biện pháp kiểm soát của tổ chức dịch vụ được mô tả một cách công bằng.
Nếu các biện pháp kiểm soát của đơn vị dịch vụ được thiết kế một cách hiệu quả.
Nếu các biện pháp kiểm soát của tổ chức dịch vụ hoạt động hiệu quả trong một khoảng thời gian nhất định (chỉ Loại 2)
Nếu tổ chức đã đạt được những yếu tố trên, kiểm toán viên sẽ đưa ra ý kiến rõ ràng. Nếu đáp ứng các yêu cầu trên nhưng kiểm toán viên phát hiện thấy những ngoại lệ đáng kể (tức là không có mục tiêu hoặc không hiệu quả), kiểm toán viên sẽ đưa ra " ý kiến sửa đổi ". Tuy nhiên, nếu tổ chức thực sự không đạt được một hoặc nhiều yếu tố trên, kiểm toán viên sẽ đưa ra ý kiến “ tiêu cực ”.
Có hai loại báo cáo SOC 2
Báo cáo loại 1- Nó đảm bảo rằng các biện pháp kiểm soát của nhà cung cấp là phù hợp, được đặt chính xác và hoạt động hiệu quả theo các tiêu chí dịch vụ tin cậy. Nó mô tả hệ thống của nhà cung cấp và liệu thiết kế của nó có phù hợp để đáp ứng các nguyên tắc tin cậy liên quan vào một ngày cụ thể hay không.
Báo cáo loại 2- Nó thu thập thông tin liên quan đến mọi hoạt động và giám sát chúng. Nó tập trung vào hiệu quả của các biện pháp kiểm soát. Nó mô tả hiệu quả hoạt động của các hệ thống như vậy trong một khoảng thời gian nhất định.
Nếu một tổ chức có chứng nhận SOC 2, điều đó mang lại sự an toàn cho khách hàng rằng dữ liệu sẽ được bảo mật, do đó họ có thể cung cấp cho bạn thông tin nhạy cảm của mình.
Đây không phải là một yêu cầu pháp lý nhưng nó mang lại đòn bẩy cho một tổ chức trong ngành. Nó bảo vệ bạn khỏi các hành vi vi phạm dữ liệu và tấn công mạng, đồng thời đảm bảo quyền riêng tư.
SOC 3 :Kiểm soát hệ thống và tổ chức 3
SOC 3, còn được gọi là Kiểm soát hệ thống và tổ chức 3, hoạt động giống như SOC 2. SOC 3 dành cho đối tượng chung và theo dõi các biện pháp kiểm soát bảo mật của tổ chức. Nó hoạt động trên Năm trụ cột, còn được gọi là tiêu chí dịch vụ Tin cậy (Các trụ cột này giống nhau đối với SOC 2).
Bảo vệ
khả dụng
Tích hợp quá trình
Bảo mật
Sự riêng tư
Các báo cáo được chuẩn bị sau khi hoàn thành quá trình kiểm tra SOC 3 được gọi là báo cáo SOC 3. Các báo cáo này có tính chất ngắn hơn và chung chung, do đó có thể được chia sẻ công khai với công chúng trên trang web của công ty bằng một chữ lồng biểu thị sự tuân thủ SOC 3.
Báo cáo SOC 3 được thiết kế cho Tiêu chí Dịch vụ Tin cậy cho Báo cáo Sử dụng Chung. Nó tóm tắt nội dung của báo cáo SOC 2 nhưng không bao gồm chi tiết về các thử nghiệm được thực hiện và kết quả của các thử nghiệm này. Báo cáo SOC 2 phải được chuẩn bị để nhận báo cáo SOC 3.
Các yêu cầu về hiệu suất và báo cáo để đánh giá chương trình quản lý rủi ro an ninh mạng của đơn vị và các biện pháp kiểm soát liên quan.
Một số câu hỏi liên quan đến SOC
Tổ chức nào yêu cầu báo cáo SOC? Bất kỳ đơn vị dịch vụ nào yêu cầu xác thực độc lập các quyền hạn liên quan đến cách thức truyền, xử lý hoặc lưu trữ dữ liệu khách hàng đều có thể yêu cầu tuân thủ SOC. Hơn nữa, do sự giám sát ngày càng tăng của các biện pháp kiểm soát của bên thứ ba, khách hàng ngày càng yêu cầu Chứng chỉ SOC từ tổ chức của họ . | |
Điều gì quyết định chi phí của báo cáo SOC? Việc đạt được sự tuân thủ SOC có thể không tốn kém, vì chi phí chứng nhận soc 1 chủ yếu phụ thuộc vào nhiều yếu tố như loại và số lượng biện pháp kiểm soát tại chỗ, độ phức tạp của hệ thống, kiểm soát môi trường liên quan, v.v. Loại 2 đắt hơn Loại 1 do đến mức độ kiểm tra và yêu cầu tài liệu. |
Cách hiệu quả nhất để chuẩn bị cho kỳ thi SOC là gì?
Trong hầu hết các trường hợp, chúng tôi khuyến nghị đánh giá mức độ sẵn sàng trước khi đơn vị kinh doanh bắt đầu đánh giá SOC lần đầu tiên. Là một phần của đánh giá mức độ sẵn sàng, chúng tôi sẽ thực hiện đánh giá cấp cao về sức mạnh trong phạm vi và ghi lại những phát hiện của chúng tôi. Điều này mang lại cho tổ chức liên quan cơ hội lấp đầy những khoảng trống trước khi chúng tôi bắt đầu quy trình báo cáo SOC. Hơn nữa, phần lớn công việc này có thể được sử dụng trong SOC.
SOC có ý kiến của kiểm toán viên không?
Có, SOC có ý kiến của kiểm toán viên. SOC phải có ý kiến của kiểm toán viên về các lĩnh vực sau:
Nếu các biện pháp kiểm soát của tổ chức dịch vụ được mô tả một cách công bằng.
Nếu các biện pháp kiểm soát của đơn vị dịch vụ được thiết kế một cách hiệu quả.
Nếu các biện pháp kiểm soát của tổ chức dịch vụ hoạt động hiệu quả trong một khoảng thời gian nhất định (chỉ Loại 2)
Nếu tổ chức đã đạt được những yếu tố trên, kiểm toán viên sẽ đưa ra ý kiến rõ ràng. Nếu đáp ứng các yêu cầu trên nhưng kiểm toán viên phát hiện thấy những ngoại lệ đáng kể (tức là không có mục tiêu hoặc không hiệu quả), kiểm toán viên sẽ đưa ra " ý kiến sửa đổi ". Tuy nhiên, nếu tổ chức thực sự không đạt được một hoặc nhiều yếu tố trên, kiểm toán viên sẽ đưa ra ý kiến “ tiêu cực ”.
Có ai có thể phân phối SOC cho mục đích tiếp thị không?
Không, không ai được phép lưu hành báo cáo SOC 1 và báo cáo SOC 2 vì mục đích tiếp thị. Trong trường hợp như vậy, chỉ báo cáo SOC 3 mới có thể được phân phối cho mục đích tiếp thị. Đây là một báo cáo sử dụng chung như đã đề cập trước đó, có nghĩa là nhà cung cấp dịch vụ được phép cung cấp báo cáo này cho bất kỳ ai.
LIÊN HỆ VỚI #TCI_VIỆT_NAM ĐỂ ĐƯỢC HỖ TRỢ VÀ CÙNG ĐỒNG HÀNH VỚI DOANH NGHIỆP TRÊN CON ĐƯỜNG PHÁT TRIỂN BỀN VỮNG
Ms. Vân Phạm
#Hotline: 0931796188
#Email: van.pham@tcivietnam.com
Ms. Lan Anh
#Hotline: 0824 647 279
#Email: anh.nguyen@tcivietnam.com
=> Hà Nội: Số 18 Tam Trinh, Quận Hai Bà Trưng, Hà Nội.
=> Đà Nẵng: 498 Bùi Trang Chước, Cẩm Lệ, Đà Nẵng.
=> Hồ Chí Minh: 8/29 Hoàng Hoa Thám, Phường 7, Bình Thạnh, Hồ Chí
|