SOC报告

随着萨班斯-奥克斯利法案(SOX)的出台, 对透明度的其他要求, 日益全球化和外包, SSAE 18的使用呈指数级增长. 提供关键第三方外包服务的服务组织经常需要对他们所服务的客户负责. 这些组织包括索赔处理机构, 应用服务提供商, 福利管理员, 工资的公司, 数据中心, 和许多其他人.

此外,创造 系统和组织控制报告(SOC 1, SOC 2, SOC 3报告) 为服务组织提供三种新的报告工具,以响应统一报告和审查的要求——扩展服务组织报告财务控制的能力, 非财务控制和, SOC 3, 成为经过认证的受信任的系统服务组织.

注册会计师执行 SSAE 18证词 向服务组织的客户和他们的审核员保证组织具有一定的, 适当和有效的控制措施.

  • I型审计 考虑控制在某个时间点的设计有效性
  • II型审计 检查在特定时期内控制的设计和运行效果, 通常是6到12个月.

SOC 1、SOC 2和SOC 3项目解决了当今的环境:

  • 需要更大的国际一致性
  • 解决了云计算、移动和虚拟化等较新的技术
  • 要求得到更广泛承认和理解的报告选择

LBMC信息安全的审计专业人员作为LBMC的一部分,pc -一家排名前50的美国注册会计师事务所. 我们为全国各地的客户提供SOC服务,并在我们提供证明工作的州保持适当的许可证. 作为一个结果, 我们有深入的行业知识,可以帮助不同行业的服务提供商, 包括医疗保健和索赔处理, 金融服务, 云服务提供商, 以及商业整理和托管提供商.

SOC 1

SOC 1要求管理人员提供其系统的书面描述,并断言系统描述是公正的, 适当设计并有效运作的控制目标, 并确定他们用来做出这些断言的标准.

而SOC 1检查服务组织与财务报告相关的控制, SOC 2和SOC 3审查安全性, 可用性, 处理完整性, 保密, 与AICPA信托服务标准(TSC)一致的隐私报告控制.

SOC的关键区别2报告和SOC 3是SOC 2报告包含一个详细描述服务的审计测试控制和结果的测试以及服务审计意见的描述服务组织的系统.  SOC 3报告可以自由分发,而SOC 2是为服务组织的客户准备的.

SOC 2项目

SOC 2业务使用TSC以及AT Section 101中的要求和指导, 证明活动, 的ssa (AICPA, 专业标准, 卷. 1). 一个SOC 2报告类似于一个 SOC 1 报告. 可以发布类型1或类型2的报告,该报告提供了服务组织系统的描述. 用于类型2报告, 它还包括服务审计员执行的测试和这些测试的结果的描述.

浏览服务传单(PDF)

SOC 3活动

SOC 3业务使用在SOC 2业务中使用的信任服务标准中的预定义标准. SOC 3报告是一种通用报告,仅提供审计人员关于系统是否达到信任服务标准的报告(没有对测试和结果的描述).  它还允许服务机构在其网站上使用SOC 3印章. SOC 3报告可以在一个或多个信任服务标准(安全性)上发布, 可用性, 处理完整性, 保密, 和隐私).

SOC的网络安全

网络安全检查SOC旨在为报告用户提供信息,帮助他们了解管理层处理全企业网络风险的流程. 它可以为任何类型的组织执行,无论其规模或行业如何, 报告用户不一定是当前的客户或客户审计员.

网络安全SOC提供以下内容:

  • 一种报告实体网络安全风险管理计划(CRMP)的标准、一致方法.
  • 向利益相关者传达网络安全控制有效性的有效方法, 董事会, 委员会, 客户, 并对合作伙伴进行全面的网络安全审计.

与SOC 2报告不同,网络安全SOC报告解决了以下问题:

  • 在网络安全SOC中对实体进行评估的基线是管理人员描述实体网络安全风险管理计划的描述标准.
  • 追求网络安全SOC的组织可以利用信任服务标准, 但在设计或评估其控制需求时,也可能使用另一种普遍接受的安全框架.
  • 网络安全报告中的SOC是通用报告, 报告的目标通常是由公司管理层决定的. 这些报告比SOC 2报告面向更广泛的受众,可以与组织内部或外部的任何人共享.
  • 在网络安全SOC中,控制矩阵将不包括在报告中.

LBMC信息安全团队在与AICPA合作创建和发布此评估方面发挥了重要作用,以帮助您实现遵从性,并提供做出更好业务决策所需的见解.

浏览服务传单(PDF)

哪种类型的SOC报告最适合你?

SOC报告帮助您的企业留住和吸引新客户. 每个与服务提供商共享关键数据的企业都希望确保业务合作伙伴尽其所能保护其重要信息资产. 你怎么证明你是?

您的客户和他们的审核员会使用该报告来计划和执行审计或综合审计您的客户的财务报表吗?

如果你回答是,你需要一个SOC 1.

您的客户是否会使用该报告作为他们遵守萨班斯-奥克斯利法案或类似法律/法规的一部分?

如果你回答是,你需要一个SOC 1.

您的客户或涉众是否会使用该报告来获得信任并信任服务组织的IT系统?

如果你回答是,你需要一个SOC 2或3.

您是否需要让非客户能够获得该报告?

如果你回答是,你需要一个SOC 3.

您的客户是否需要并有能力理解服务组织的处理和控制的细节, 服务审计员进行的测试和测试结果?

如果你回答是,你需要一个SOC 2. 然而,如果你回答NO,你需要一个SOC 3.

管理团队

链接到画了系统 & 服务组织控制(SOC)

画了 Hendrickson

股东,信息安全

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔
链接到罗宾系统 & 服务组织控制(SOC)

罗宾 巴顿

高级信息安全经理

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔
链接到抢劫系统 & 服务组织控制(SOC)

抢劫 斯塔德

高级经理,LBMC信息安全

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔