厂商SOC报告如何降低第三方风险?
供应商和其他第三方商业伙伴造成了一些大数据泄露.
这个场景听起来是不是很熟悉? 您正在寻找一个新的供应商. 带着一份供应商尽职调查清单,你遇到了一个很有前途的候选人.
供应商告诉你他们有SOC1报告, 因此,您在“执行的常规安全评估”旁边打上复选标记,然后继续检查清单中的下一项.
你做完了,对吧? 不完全是这样.
根据Verizon的2022年数据泄露调查报告, 61%的中小型企业在过去一年中遭受过网络攻击, 不仅让他们自己,也让他们拥有强大安全基础设施的业务合作伙伴面临风险.
黑客更容易渗透到规模较小的第三方供应商,从而接触到拥有强大安全控制的大型业务合作伙伴.
供应商风险是真实存在的. 而第三方带来的价值很快就会被相关风险所侵蚀.
如何降低SOC报告中的第三方风险
降低第三方风险首先要有一个战略性的供应商采购流程,并采用稳健的方法 风险管理.
在我们与客户的合作中,我们会进行内部审计和安全评估, 我们建议他们寻找那些通过定期认证审核的供应商,例如SOC1和SOC2报告.
然而,你的工作不会止步于一个复选框.
降低第三方风险需要问的问题:
1. 是SOC1还是SOC2报告?
- SOC1报告评估财务报告的内部控制, 而SOC2报告则评估与安全相关的组织信息系统, 有效地, 处理完整性, 保密和/或隐私.
- 如果您只对评估影响您财务报告的供应商内部控制感兴趣,那么SOC1报告就足够了.
- 如果你正在考虑持有一个供应商, 存储甚至处理您的信息,如数据中心, IT管理服务, SaaS供应商, 云提供商, 以及其他技术, 您应该寻找有SOC2报告的供应商.
2. 是第一类报告还是第二类报告?
- 第一类报告简单地提供了组织在某个时间点上实施的控制的报告. 与此形成鲜明对比的是, 第2类报告有一个审计期(通常是六个月到一年),并提供一个组织在一段时间内控制运作情况的证据.
- 第一类评估是供应商达到成功的第二类评估的最终目标的一个很好的起点. 最终, 第二类报告将显示这些内部控制在组织中的实际运作情况. 记住,有II类报告的供应商绝对是加分项.
如何处理SOC报告中的控制
既然您已经确定了哪个报告最适合您的需求,那么就该考虑控件了.
在进行第三方尽职调查时要问的问题:
1. 报告是否涵盖了软件供应商或数据托管中心的控制?
- 软件应用程序的基础设施通常托管在第三方数据中心. 因此, 确保您获得涵盖软件供应商和数据中心的SOC报告非常重要. 软件供应商的报告涵盖了有关其人员的控制, 政策和程序, 在供应商处进行数据管理.g. 用户访问、变更管理、操作等.).
- 来自数据中心的报告将涵盖物理和环境(如果适用的话), 适当的技术控制. 如果供应商仅为您提供数据中心的报告,请要求供应商提供报告. 如果他们没有, 准备好对供应商进行尽职调查, 这需要额外的努力, 成本, 和时间.
2. 贵公司要求的所有内部控制是否都在供应商处到位?
- 一定要确认 内部控制 在您的组织中也存在于供应商中. 验证这一点的最佳方法是将公司的内部控制映射到报告中包含的供应商控制. 如果有差距, 在报告中寻找其他可能降低风险的控制措施,并确保识别并解决任何剩余的差距. 除了, 检查报告中列出的例外情况(如果有的话), 并确保报告显示异常是由供应商处理的.
- 报告中一个经常被忽略的部分是补充用户实体控件部分. 这是一个控制列表,供应商认为这些控制是实现其控制目标所必需的. 如果这些控制在您的组织中没有正确实现和操作, 供应商相应的控制目标将失败. 出于这个原因, 确保您将这些控制映射到您的内部控制,以识别和解决控制环境中的任何差距.
确保更安全的科技环境 & 除了
你的安全和你最薄弱的环节一样牢固.
监控第三方数据安全和隐私风险需要一个强大而有效的供应商管理流程,该流程早在合同签署之前就开始了.
通过提前进行尽职调查, 您将更好地了解供应商的安全状况,并能够确保他们的控制至少与您的控制一样强大,并满足您的安全需求.
