在过去几年里,数据泄露的潜在危险和频率呈指数级增长. 根据 身份盗窃资源中心, 与2020年相比,2021年记录的数据泄露数量增加了68%以上,比2017年创下的历史新高增加了23%.
为什么这种趋势还在继续增长? 虽然有很多因素, 毫无疑问,造成这种局面的一个挑战是网络素养. 跨组织的网络风险管理有各种框架和方法, 但他们不一定都使用通用的语言,让公司可以进行衡量, 评估和沟通风险管理项目的整体有效性. 进一步, 直到最近, 组织没有机制向业务领导者和主要利益相关者证明其网络安全风险管理实践是适当和充分的. 为了解决这些问题, AICPA于2017年4月发布了新的网络安全风险管理报告框架, 被称为 网络安全SOC.
自发布以来, 这个框架一直是各个行业讨论的热门话题, 尤其是注册会计师和IT专业人士, 并已被许多组织用于评估和验证其网络安全控制态势.
在金沙乐娱app下载深入研究网络安全SOC的细节之前, 值得注意的是,许多组织已经熟悉另一个AICPA SOC报告框架和流程, SOC 2. 任何关于网络安全SOC的介绍都应该从解释SOC 2和网络安全SOC之间的区别开始.
网络安全SOC与SOC 2报告有重叠, 但它们都有不同的目的, 所以了解和理解每一个都很重要. 以下是这些检查报告的主要不同之处:
网络安全SOC涉及实体的网络安全风险管理计划(通常在企业级),旨在为有兴趣确保实体的风险管理计划得到有效设计和运行的利益相关者提供服务.
A SOC 2报告 是针对向客户提供一项或多项it相关服务的组织(作为服务提供者),并旨在向这些客户提供与服务相关的服务组织的相关控制信息.
实体在SOC中评估网络安全的基线是 描述标准, 在准备和评估实体网络安全风险管理计划描述的陈述时,应使用哪一套基准.
SOC 2报告中对服务机构进行评估的基线是一个或多个 信托服务准则, 一套用于认证或咨询业务的控制标准,用于评估和报告对所提供服务中所使用的信息和系统的控制.
追求网络安全SOC的组织可以在设计或评估其控制要求时使用信任服务标准. 但是,必须在管理层的描述中满足和处理描述标准. 公司也可以利用AICPA信托服务标准之外的其他安全框架作为其网络安全风险管理计划的基础, 如NIST 800-53或ISO 27001/2.
每个报告的预期用户都是不同的,因为这些报告服务于不同的目的和受众.
SOC 2报告是限制使用报告,适用于对服务组织及其系统有足够了解和理解的人员. 这通常包括那些希望他们所使用的平台是由一组功能充分的安全控制操作的客户. 作为一般规则,SOC 2报告只能与服务组织的客户共享.
网络安全SOC报告是通用报告, 报告的目的往往是由公司管理层决定的. 这些报告比SOC 2报告面向更广泛的受众,通常交付给可能受到实体网络安全风险管理计划影响或对其感兴趣的人. 感兴趣的各方希望确认该公司的网络安全努力正在充分降低网络安全风险. 这类人包括经理、分析师、投资者甚至客户. 网络安全SOC报告可以与组织内外的任何人共享, 由该组织自行决定.
“子服务”组织是向被评估实体提供一个或多个能力的第三方,这些能力属于特定评估的控制范围和/或评估标准. 像这样, 第三方的服务可能会对所评估的环境产生重大影响.
在SOC 2报告中, 服务组织可以包括或从报告范围中分离出子服务供应商.
组织对风险管理程序内的所有控制负责, 这意味着如果一个实体利用第三方来控制它的程序, 实体必须将该第三方(及相关控制)纳入其评估范围.
在SOC 2报告中, 完整的信任服务标准和与这些标准相对应的控制列表连同注册会计师的控制测试和结果一起包含在报告中.
在网络安全SOC中,控制矩阵将不包括在报告中. 而管理层对其网络安全计划的描述也包括在内, 以及管理层的断言和注册会计师对该描述的意见, 详细的网络安全控制和每个控制的测试结果将不包括在内. 包含关于组织控制环境的这类敏感信息可能对组织的安全状况有害, 并且可以为攻击者提供利用攻击的有用信息. 因此,这些细节未列入报告.
这里讨论的两份SOC报告都有市场需求, 因为它们的受众不同. 您选择哪种报告最终取决于您的客户和关键利益相关者的需求, 还有你的目标. 在很多情况下, 进行SOC 2业务的组织也可能投资于网络安全SOC报告, 因为它在实体层面上评估组织,并在一个日益可怕的世界中为关键利益相关者提供更广泛的保证和信心.
网络安全SOC通常导致对组织的网络安全控制态势的全面分析和评估. 这些信息通常也体现在网络安全风险评估中. 但是,在确定哪种选择最适合您的组织时,应该考虑这两种类型的报告之间的关键区别.
网络安全已成为几乎所有大公司越来越重要的优先事项, 医院, 金融机构, 律师事务所, 和当今世界的零售商. 结果是, 已经创建了许多风险管理框架,以帮助确保组织正确管理其网络安全风险. 然而, 而了解实体对HIPAA安全规则和支付卡行业数据安全标准(PCI DSS)等法规的合规性已成为许多商业领导者的普遍做法, 对于非技术利益相关者来说,适当的网络安全风险管理的想法并不是那么直观, 比如董事会成员, 董事, 分析师, 和投资者.
虽然实施网络安全控制以满足合规性阈值很重要, 遵守法规并不一定意味着实体是足够安全的. 事实上, “足够的网络安全”是一个主观的衡量标准,通常取决于许多因素, 包括实体所属行业, 它处理的数据类型, 以及它的财务状况. 所有这些因素都可能影响高管团队愿意接受的网络安全风险的程度. 事实上,每个组织的网络安全风险承受能力都是不同的,这使得评估组织的网络安全态势变得困难. 对于不是网络安全专家的商业利益相关者来说,这就更加困难了.
随着围绕网络安全SOC的讨论越来越多, 金沙乐娱app下载的许多客户和潜在合作伙伴都问金沙乐娱app下载,它与现在有什么不同 风险评估分析流程 这是许多实体每年都要经历的. 主要区别在于,风险评估是对组织对特定威胁的暴露程度的评估, 而网络安全SOC是对实体的整个风险管理计划实践(包括其风险评估过程)的独立意见。.
风险评估可以帮助实体识别公司面临的特定网络安全风险, 通过关注控制的有效性,降低特定威胁实现的可能性. 风险评估不是一份正式的意见报告——它是一份威胁和补救行动的优先级列表. 网络安全SOC是一项全面的分析,评估实体的风险评估过程及其治理活动, 以及其总体网络安全目标, 通信, 控制过程. 网络安全SOC报告在管理层关于其网络安全风险管理计划实践的断言中达到高潮, 还有附带的观点, 由注册会计师事务所和合格的网络安全专家出具, 这为管理层的断言增加了可信度.
因为金沙乐娱app下载的信息安全在国内处于领先地位 资讯科技保安公司在美国,金沙乐娱app下载有机会与AICPA合作开发网络安全SOC框架. 而网络安全分析SOC仍然是自愿的, 已经有许多企业领导人表示有兴趣了解更多关于本报告如何为其股东和企业高管提供更大的信心,这些高管希望确认他们投入网络安全的时间和金钱资源正在妥善解决网络安全风险.
虽然风险评估是任何网络安全风险管理计划的必要组成部分, 用于网络安全分析的SOC可能会成为 “好管家” 这是许多寻求网络安全工作验证的企业的认可印章.
您的组织是否可以从网络安全分析SOC中受益? 与金沙乐娱app下载的团队联系以了解更多信息.
