SOC的网络安全

网络安全威胁正在上升, 挑战各种规模的组织——无论是公共的还是私人的.

董事会, 经理, 投资者, 客户和其他利益相关方正在向企业施压,要求它们证明自己正在管理网络安全威胁, 他们已经实施了有效的网络安全风险管理计划来预防, 检测和黄金城官网安全漏洞.

帮助组织证明他们正在管理网络安全威胁, 组织应获得网络安全报告SOC.

SOC的网络安全 审查业务是否按照AICPA明确的实体网络安全风险管理计划认证标准执行. 在网络安全风险管理审查中,独立注册会计师的意见:

(a)管理层对实体网络安全风险管理计划的描述及

(b)该计划内为实现实体的网络安全目标而进行的控制的有效性.

网络安全风险管理审查的结果是发布 一般用途网络安全报告 旨在满足各种潜在用户的需求.

 

网络安全风险管理审查报告包括以下三个关键部分:

1. 管理层的断言.

与所有SOC报告一样,断言由管理层提供. 具体来说,断言处理是否

(a)该描述是按照描述准则及

(b)实体网络安全风险管理方案中的控制对于实现实体基于控制标准的网络安全目标是有效的.

AICPA制定了控制标准,用于评估项目内的控制是否有效地实现实体的网络安全目标.

 

2. 医生的报告.

第二部分是从业者报告, 其中包含了一种观点, 哪一项涵盖了考试的两个科目. 具体来说,该意见涉及是否

(a)该描述是按照描述准则及

(b)实体网络安全风险管理方案中的控制对于实现实体基于控制标准的网络安全目标是有效的.

3. 管理的描述.

最后一个组成部分是管理层准备的实体网络安全风险管理计划的叙述性描述(描述). 当然,BRC将协助组织管理层准备该描述. 此描述旨在提供有关实体如何标识其信息资产的信息, 实体管理威胁其的网络安全风险的方式, 以及为保护实体的信息资产免受这些风险而实施和操作的关键安全策略和流程. 描述为用户理解结论提供了所需的上下文, 管理层在其断言中表达,从业人员在其报告中表达.

 

这些审计业务的报告有两种类型:

  • 类型2 - 报告管理层对实体网络安全风险管理计划描述陈述的公正性,以及为在指定期间内实现网络安全风险管理计划目标而设计的控制的适用性和运行有效性.
  • 类型1 - 报告管理层对实体网络安全风险管理计划描述陈述的公正性,以及截至指定日期为实现网络安全风险管理计划目标而设计的控制的适用性和运行有效性.

 

我们今天就开始吧.  BRC随时准备帮助您的组织展示其网络安全风险管理项目的成熟度.  联系本猎人 III, CPA/CITP, CISA, CRISC, CDPSE, CISM (336).294.4494 (bhunter@path2putt.com)今天开始学习网络安全SOC.

 

本猎人

本·亨特,三世 CISO,咨询服务负责人,CPA/CITP, CISA, CRISC, CDPSE, CISM

Ben是BRC的首席信息安全官,也是我们黄金城官网风险咨询服务实践的高级经理. 他专注于网络安全和信息技术审计和评估. 本在美国海军陆战队开始了他的网络安全黄金城官网. 成为注册会计师后,他继续从事网络安全和IT审计工作[…]