یک گزارش بازرسی سازمانهای خدماتی یا SOC ( که نباید با مرکز عملیات امنیت یا SOC اشتباه گرفته شود) راهی است برای تأیید اینکه یک سازمان از بهترین شیوههای خاص پیش از برون سپاری یک کار تجاری به آن سازمان، پیروی میکند. این بهترین راهکارها با بخش مالی، امنیتی، یکپارچگی پردازشی، حریم خصوصی و دسترسپذیری مرتبط هستند. گزارشاتی که توسط مسئولین ممیزی Third-Party ایجاد و بررسی میشوند برای این ساخته شدهاند که تضمین مستقلی را فراهم کرده و به مشتریان و شرکای احتمالی کمک کنند ریسکهای احتمالی کار کردن با با سازمان در حال ارزیابی را درک نمایند.
گزارشات SOC نماهای کاملی از کسبوکار را ارائه میدهند که در یک چارچوب متداول و ثابت ارائه شده و سیستمهای سازمان را به شیوهای منطقی نمایش میدهد. فارغ از اینکه شما میخواهید وارد یک شراکت جدید شوید یا ارتباطات کسبوکار کنونی خود را ارزیابی کنید، این گزارش بیطرف، اطلاعات ارزشمندی را فراهم میکند که در مراحل زیادی از چرخهی عمر Vendor، کاربردی خواهد بود. این گزارشات بررسیها و موازنههایی که یک شرکت اعمال میکند را بیان مینمایند تا ناسازگاریها را از بین ببرد و به مشتریان این پیام را بفرستد که شما به اجرا شدن سیاستها و فرایندها توجه میکنید. هیچ تصمیمی هرگز خالی از ریسک نیست، اما یک گزارش SOC به شما اطلاعات لازم را برای تعیین کردن مقدار ریسک میدهد.
قبل از اینکه به سراغ انواع مختلف گزارشات برویم، باید چند تعریف را بشناسیم:
- سازمان خدمات: سازمانی که تست میشود.
- نهاد کاربر: سازمانی که به دنبال برونسپاری یک عملکرد کسبوکار به سازمان خدماتی یا شراکت با آن است.
- کنترل: فرایند یا مکانیزمی با قابلیت ممیزی که برای پیشگیری از نتایج ناخواسته (کلاهبرداری، گزارش اشتباه و غیره) یا شناسایی آنها طراحیشده است.
انواع گزارش
بسته به اطلاعات موردنیاز و انواع سازمانهای دخیل، چندین نسخه از گزارشات SOC وجود دارد.
گزارشات SOC 1:
گزارشاتی در مورد کنترلهایی که تأثیر بلافاصله یا متعاقبی روی اظهارات مالی یک نهاد کاربر دارند، برمبنای استاندارد گزارشگیری SSAE 16.
نوع ۱· نشان میدهد که کنترلهای داخلی چقدر خوب برای پیشگیری از مشکلات در مورد دادههای مربوط به تراکنش و اظهارات طراحی شدهاند. · تست در زمان خاصی انجام میشود و کارآمدی عملیاتی مجموعه کنترل را تست نمیکند. |
نوع ۲· کارآمدی عملیاتیِ کنترلهای داخلی (فرایند کسبوکار و کنترلهای کلی IT) را تست میکند و برای کاهش ریسک اشتباهات مالی نهاد کاربر طراحی شده است. · تست در طول یک دوره زمانی انجام میگردد و برای نمایش دقیق کارآمدی عملیاتی از یک روش نمونهبرداری استفاده میشود. |
گزارشات SOC 2:
گزارشاتی در مورد کنترلهای مربوط به امنیت، دسترسپذیری، یکپارچگی پردازش، محرمانگی و حریم خصوصی. تست کنترلهای امنیتی اجباری است، درحالیکه باقی تستها (یکپارچگی پردازش، محرمانگی و حریم خصوصی) اختیاری هستند. برمبنای استاندارد گزارشگیری AT 101.
نوع ۱ |
نوع ۲ |
| · طراحی این کنترلها را تست میکند.
· تست در زمان خاصی انجام میشود و کارآمدی عملیاتی مجموعه کنترل را تست نمیکند. |
· کارآمدی عملیانی این کنترلها را تست میکند و برای کاهش ریسک استفادهی اشتباه از دادههای مشتری طراحی شده است.
· تست در طول یک دوره زمانی انجام میگردد و برای نمایش دقیق کارآمدی عملیاتی از یک روش نمونهبرداری استفاده میشود. |
گزارشات SOC 3:
| · یک نسخه از نوع دوم SOC 2 که عمومی بوده و حاوی اطلاعات محرمانه نیست.
· بدون نقض کنترلهای داخلی یا افشای جزئیاتی در مورد آنها، خلاصهای سطح بالا را برای مشتریان عمومی فراهم میکند. · معمولاً فقط توسط سازمانهایی مورد استفاده قرار میگیرد که گزارشات SOC زیادی را درگذشته ایجاد کردهاند و دارای یک محیط کنترلی قدرتمند و بالغ هستند. |
اجزای گزارش
هر گزارش Security Operations Control حاوی نظر مسئول ممیزی خواهد بود که بیان میکند آیا توصیف سازمان خدماتی، منصفانه ارائه شده و بهطور کارآمدی طراحی شده است یا خیر. اگر گزارشی فاقد شاریط لازم باشد، بدین معنا است که مسئول ممیزی متوجه شده است که شرکت، طراحی و کارآمدی عملیاتی خود را بهطور منصفانهای نمایش داده است، درحالیکه یک نظر دارای شرایط لازم باشد یعنی این مسئول مغایرتهای قابلتوجهی را بین اظهارات شرکت و واقعیت پیدا کرده است. اگر چندین کنترل درست کار نکنند و موجب شوند که یک هدف کلی به انجام نرسد، نظر آن فرد نامطلوب محسوب میشود.
این گزارش شامل اظهارنامهای از سوی سازمان خدماتی است مبنی بر اینکه تمام کنترلهای مورد آزمایش، در طول بررسیهای مسئول ممیزی فعال بودهاند و همچنین توصیفی از خود سیستم و آنچه مسئول ممیزی در زمان استفاده از سیستم دیده بود، ارائه میگردد. عملاً فردی که گزارش را مطالعه میکند باید ببیند که ادعا شده بود سیستم چه کاری انجام دهد و در حقیقت چه کاری انجام داد. این گزارش باید حوزه و هدف تست انجام شده را نشان دهد، از جمله دادههای مربوط به ساختار مدیریت، سیاستهای ارتباطی، مدیریت ریسک، مانیتورینگ، فرایندهای ثبت اسناد، عملیات سیستم و دسترسی فیزیکی به کنترلها.
نحوهی استفاده از گزارش SOC
وقتیکه گزارش SOC را از سازمان دیگری دریافت میکنید، باید تمام اطلاعات را با دید انتقادی بخوانید. صرفاً به این دلیل که یک گزارش فاقد شرایط لازم را دریافت کردید بدین معنی نیست که هیچ استثنایی وجود ندارد که نهایتاً نشاندهندهی علامت خطر برای سازمان باشد؛ فاقد شرایط لازم یعنی یک هدف بهطور کامل مردود نشده است. پاسخهای مدیریتی را نسبت به هر کنترلی که نتوانست مشخص کند آیا کنترلهایی جبرانکننده وجود دارند یا نه و اینکه چه اصلاحی انجام شده است، مرور کنید.
هر استثنا یا انحرافی را که مسئول ممیزی پیدا کرده است مورد بررسی قرار دهید تا ببینید که آیا میتوانید ریسکهای مربوطه را قبول کنید یا خیر. اطمینان حاصل کنید که همهچیز را درک کردهاید و حس میکنید که درک کاملی از نحوهی کار تمام کنترلها دارید. نگرانیهای خود را با شرکت در میان بگذارید و ببینید که آیا پس از گزارش، اقداماتی را برای حل مشکلات احتمالی انجام دادهاند یا خیر. از این اطلاعات برای بحثهایی داخلی درمورد ریسکهای احتمالی که ممکن است در نتیجهی برونسپاری یک عملکرد کسبوکار به سازمان خدمات ایجاد شود استفاده کنید.
بااینکه حقیقتاً هیچ تصمیمی نمیتواند جلوی تمام ریسکها را بگیرد، گزارشات SOC به سازمانها کمک میکنند درک بهتری از ریسک احتمالیِ تصمیمات مهم کسبوکار و امنیت داشته باشند. بهترین روش حمله، یک روش دفاعی عالی است و اینجاست که برنامهریزی و آمادهسازی و بینشهایی که گزارشات SOC فراهم