网络安全SOC

网络安全威胁正在上升, 挑战各种规模的组织——无论是公共的还是私人的.

董事会, 经理, 投资者, 客户和其他利益相关者正在向组织施压,要求他们证明自己正在管理网络安全威胁, 他们已经实施了有效的网络安全风险管理计划,以防止, 检测并黄金城官网安全漏洞.

帮助组织证明他们正在管理网络安全威胁, 组织应获得网络安全报告SOC.

网络安全SOC 审查业务是否按照AICPA对实体网络安全风险管理计划的明确认证标准执行. 在网络安全风险管理考试中,独立注册会计师对以下事项发表意见:

(a)管理层对实体网络安全风险管理计划的描述以及

(b)该计划内为实现实体网络安全目标而进行的控制的有效性.

网络安全风险管理审查的结果是发布 通用网络安全报告 旨在满足各种潜在用户的需求.

 

网络安全风险管理审查报告包括以下三个关键组成部分:

1. 管理层的断言.

与所有SOC报告一样,断言是由管理层提供的. 具体来说,断言处理是否

(a)描述是按照描述准则提出的,并且

(b)该实体网络安全风险管理计划内的控制有效地实现了该实体基于控制标准的网络安全目标.

AICPA已制定控制标准,用于评估项目内的控制是否有效实现实体的网络安全目标.

 

2. 医生的报告.

第二部分是从业者报告, 它包含了一个观点, 这两个科目都涉及到. 具体而言,该意见涉及是否

(a)描述是按照描述准则提出的,并且

(b)该实体网络安全风险管理计划内的控制有效地实现了该实体基于控制标准的网络安全目标.

3. 管理的描述.

最后一个组成部分是管理层准备的实体网络安全风险管理计划的叙述性描述(描述). 当然,BRC将协助组织的管理层准备这个描述. 此描述旨在提供关于实体如何识别其信息资产的信息, 实体管理对其构成威胁的网络安全风险的方式, 以及为保护实体的信息资产免受这些风险而实施和操作的关键安全政策和流程. 描述提供了用户理解结论所需的上下文, 由管理层在其断言中表示,由从业者在其报告中表示.

 

这些审计业务有两种类型的报告:

  • 第2类- 报告管理层对实体网络安全风险管理计划描述的公正性,以及控制措施的设计和运行有效性,以在指定时期内实现网络安全风险管理计划的目标.
  • 第一类- 报告管理层对实体网络安全风险管理计划描述的公正性,以及控制措施的设计和运行有效性,以在指定日期前实现网络安全风险管理计划的目标.

 

让我们今天开始.  BRC随时准备帮助您的组织展示其网络安全风险管理计划的成熟度.  联系本猎人 III, CPA/CITP, CISA, CRISC, CDPSE, CISM (336).294.4494 (bhunter@path2putt.com)来开始今天的网络安全SOC.

 

本猎人

本·亨特三世 CISO,咨询服务负责人,CPA/CITP, CISA, CRISC, CDPSE, CISM

Ben是BRC的首席信息安全官,也是我们黄金城官网风险咨询服务实践的负责人. 他专注于网络安全和信息技术审计和评估. Ben在美国海军陆战队开始了他的网络安全生涯. 成为注册会计师后, 他继续他的网络安全和IT审计培训[…]