อ่าน 3 นาที
การควบคุมระบบและองค์กร
การควบคุมระบบและองค์กร ( SOC ; บางครั้งเรียกว่า การควบคุมองค์กรผู้ให้บริการ ) ตามคำจำกัดความของ สถาบันผู้สอบบัญชีรับอนุญาตแห่งสหรัฐอเมริกา (AICPA)...
การควบคุมระบบและองค์กร
การควบคุมระบบและองค์กร ( SOC ; บางครั้งเรียกว่าการควบคุมองค์กรผู้ให้บริการ ) ตามคำจำกัดความของสถาบันผู้สอบบัญชีรับอนุญาตแห่งสหรัฐอเมริกา (AICPA) คือชื่อเรียกชุดรายงานที่จัดทำขึ้นระหว่างการตรวจสอบบัญชี มีวัตถุประสงค์เพื่อให้องค์กรผู้ให้บริการ (องค์กรที่ให้บริการระบบสารสนเทศแก่องค์กรอื่น) ใช้ในการออกรายงานที่ได้รับการตรวจสอบแล้วเกี่ยวกับการควบคุมภายในของระบบสารสนเทศเหล่านั้นแก่ผู้ใช้บริการ
รายงานมุ่งเน้นไปที่การควบคุมที่จัดกลุ่มเป็นห้าประเภทที่เรียกว่าเกณฑ์บริการความน่าเชื่อถือ[ 1 ]เกณฑ์บริการความน่าเชื่อถือได้รับการกำหนดโดย AICPA ผ่าน คณะกรรมการบริหาร บริการตรวจสอบ (ASEC) ในปี 2017 (2017 TSC) เกณฑ์การควบคุมเหล่านี้จะต้องนำไปใช้โดยผู้ปฏิบัติงาน/ผู้ตรวจสอบ (ผู้สอบบัญชีรับอนุญาต, CPA) ในการตรวจสอบหรือการให้คำปรึกษาเพื่อประเมินและรายงานเกี่ยวกับการควบคุมของระบบสารสนเทศที่ให้บริการ การตรวจสอบสามารถทำได้ในระดับองค์กรทั้งหมด บริษัทในเครือ แผนก หน่วยปฏิบัติการ สายผลิตภัณฑ์ หรือพื้นที่การทำงาน
เกณฑ์บริการความน่าเชื่อถือ (Trust Services Criteria) ได้รับการกำหนดรูปแบบให้สอดคล้องกับกรอบการควบคุมภายในแบบบูรณาการของคณะกรรมการองค์กรผู้สนับสนุนของคณะกรรมาธิการเทรดเวย์ (COSO) (COSO Framework) นอกจากนี้ เกณฑ์บริการความน่าเชื่อถือยังสามารถเชื่อมโยงกับ เกณฑ์ NIST SP 800 – 53และบทความของระเบียบการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (GDPR) ได้ อีกด้วย มาตรฐานการตรวจสอบของ AICPA แถลงการณ์เกี่ยวกับมาตรฐานสำหรับการรับรองการตรวจสอบฉบับที่ 18 (SSAE 18) มาตรา 320 “การรายงานเกี่ยวกับการตรวจสอบการควบคุมในองค์กรผู้ให้บริการที่เกี่ยวข้องกับการควบคุมภายในด้านการรายงานทางการเงินของหน่วยงานผู้ใช้” กำหนดระดับการรายงานไว้สองระดับ คือ ประเภทที่ 1 และประเภทที่ 2 เอกสารคำแนะนำเพิ่มเติมของ AICPA ระบุการรายงานไว้สามประเภท คือ SOC 1, SOC 2 และ SOC 3
เกณฑ์การให้บริการที่เชื่อถือได้
เกณฑ์บริการความน่าเชื่อถือ (Trust Services Criteria) ถูกออกแบบมาเพื่อให้มีความยืดหยุ่นในการนำไปใช้ เพื่อให้เหมาะสมกับมาตรการควบคุมเฉพาะที่องค์กรนำมาใช้เพื่อรับมือกับความเสี่ยงและภัยคุกคามเฉพาะที่องค์กรเผชิญ ซึ่งแตกต่างจากกรอบการควบคุมอื่นๆ ที่กำหนดมาตรการควบคุมเฉพาะเจาะจงโดยไม่คำนึงถึงความเหมาะสม การนำเกณฑ์บริการความน่าเชื่อถือไปใช้ในสถานการณ์จริงต้องอาศัยการพิจารณาความเหมาะสม เกณฑ์บริการความน่าเชื่อถือใช้ในการ "ประเมินความเหมาะสมของการออกแบบและประสิทธิภาพการดำเนินงานของมาตรการควบคุมที่เกี่ยวข้องกับความปลอดภัย ความพร้อมใช้งาน ความสมบูรณ์ของการประมวลผล การรักษาความลับ หรือความเป็นส่วนตัวของข้อมูลและระบบที่ใช้ในการจัดหาผลิตภัณฑ์หรือบริการ" – AICPA – ASEC
โครงสร้างของเกณฑ์บริการความน่าเชื่อถือ (Trust Services Criteria) สอดคล้องกับหลักการ 17 ข้อของกรอบงาน COSO โดยมีเกณฑ์เสริมเพิ่มเติมจัดเรียงตามการควบคุมการเข้าถึงเชิงตรรกะและเชิงกายภาพ การดำเนินงานของระบบ การจัดการการเปลี่ยนแปลง และการลดความเสี่ยง นอกจากนี้ เกณฑ์เสริมเพิ่มเติมยังใช้ร่วมกันระหว่างเกณฑ์บริการความน่าเชื่อถือ – เกณฑ์ทั่วไป (Common Criteria หรือ CC) และเกณฑ์เฉพาะเพิ่มเติมสำหรับความพร้อมใช้งาน ความสมบูรณ์ของการประมวลผล การรักษาความลับ และความเป็นส่วนตัว
เกณฑ์ทั่วไปจะถูกกำหนดชื่อไว้ดังนี้ สภาพแวดล้อมการควบคุม (CC1.x), ข้อมูลและการสื่อสาร (CC2.x), การประเมินความเสี่ยง (CC3.x), การตรวจสอบการควบคุม (CC4.x) และกิจกรรมการควบคุมที่เกี่ยวข้องกับการออกแบบและการนำการควบคุมไปใช้ (CC5.x) เกณฑ์ทั่วไปเหล่านี้เหมาะสมและครบถ้วนสำหรับการประเมินเกณฑ์ด้านความปลอดภัย อย่างไรก็ตาม ยังมีเกณฑ์เฉพาะหมวดหมู่เพิ่มเติมสำหรับ ความพร้อมใช้งาน (Ax), ความสมบูรณ์ของการประมวลผล (PI.x), การรักษาความลับ (Cx) และความเป็นส่วนตัว (Px) เกณฑ์สำหรับแต่ละหมวดหมู่บริการความน่าเชื่อถือที่กล่าวถึงในงานจะถือว่าครบถ้วนเมื่อได้พิจารณาเกณฑ์ทั้งหมดที่เกี่ยวข้องกับหมวดหมู่นั้นแล้ว
รายงาน SOC 2 มุ่งเน้นไปที่การควบคุมที่กล่าวถึงในห้าหมวดหมู่ที่ทับซ้อนกันบางส่วนที่เรียกว่าเกณฑ์บริการความน่าเชื่อถือซึ่งสนับสนุนไตรภาค CIA ของความปลอดภัยของข้อมูลด้วยเช่นกัน: [ 1 ]
- ความปลอดภัย – ข้อมูลและระบบได้รับการปกป้องจากการเข้าถึงและการเปิดเผยโดยไม่ได้รับอนุญาต รวมถึงความเสียหายต่อระบบที่อาจส่งผลกระทบต่อความพร้อมใช้งาน ความลับ ความสมบูรณ์ และความเป็นส่วนตัวของระบบ
- ไฟร์วอลล์
- การตรวจจับการบุกรุก
- การตรวจสอบสิทธิ์แบบหลายปัจจัย
- ความพร้อมใช้งาน – ข้อมูลและระบบต่างๆ พร้อมใช้งานสำหรับการปฏิบัติงาน
- การตรวจสอบประสิทธิภาพ
- การกู้คืนจากภัยพิบัติ
- การจัดการเหตุการณ์
- การรักษาความลับ – ข้อมูลจะได้รับการคุ้มครองและเปิดเผยเฉพาะในกรณีที่มีความจำเป็นอย่างถูกต้องตามกฎหมายเท่านั้น ครอบคลุมข้อมูลที่ละเอียดอ่อนหลายประเภท
- การเข้ารหัส
- การควบคุมการเข้าถึง
- ไฟร์วอลล์
- ความสมบูรณ์ของการประมวลผล – การประมวลผลของระบบเสร็จสมบูรณ์ ถูกต้อง แม่นยำ ทันเวลา และได้รับอนุญาต
- การประกันคุณภาพ
- การตรวจสอบกระบวนการ
- การยึดมั่นในหลักการ
- ความเป็นส่วนตัว – ข้อมูลส่วนบุคคลจะถูกเก็บรวบรวม ใช้ เก็บรักษา เปิดเผย และกำจัดตามนโยบาย ความเป็นส่วนตัวนี้ใช้เฉพาะกับข้อมูลส่วนบุคคลเท่านั้น
- การควบคุมการเข้าถึง
- การตรวจสอบสิทธิ์แบบหลายปัจจัย
- การเข้ารหัส
การรายงาน
ระดับ
รายงาน SOC มีสองระดับซึ่งระบุไว้ใน SSAE 18 เช่นกัน: [ 2 ]
- ประเภทที่ 1 ซึ่งอธิบายถึงระบบขององค์กรผู้ให้บริการ และพิจารณาว่าการออกแบบการควบคุมที่ระบุไว้นั้นสอดคล้องกับหลักการความน่าเชื่อถือที่เกี่ยวข้องหรือไม่ (การออกแบบและเอกสารประกอบมีแนวโน้มที่จะบรรลุเป้าหมายที่กำหนดไว้ในรายงานหรือไม่)
- ประเภทที่ 2 ซึ่งกล่าวถึงประสิทธิภาพในการดำเนินงานของมาตรการควบคุมที่ระบุไว้ในช่วงระยะเวลาหนึ่ง (โดยปกติ 9 ถึง 12 เดือน) (การดำเนินการเหมาะสมหรือไม่)
ประเภท
รายงาน SOC มีสามประเภท[ 3 ]
- SOC 1 – การควบคุมภายในเกี่ยวกับการรายงานทางการเงิน (ICFR) [ 4 ]
- SOC 2 – เกณฑ์บริการความน่าเชื่อถือ[ 5 ] [ 6 ]
- SOC 3 – เกณฑ์บริการความน่าเชื่อถือสำหรับรายงานการใช้งานทั่วไป[ 7 ]
นอกจากนี้ ยังมีรายงาน SOC เฉพาะทางสำหรับความปลอดภัยทางไซเบอร์และห่วงโซ่อุปทานอีกด้วย[ 8 ]
รายงาน SOC 1 และ SOC 2 มีไว้สำหรับกลุ่มเป้าหมายเฉพาะกลุ่ม กล่าวคือ ผู้ใช้ที่มีความเข้าใจระบบที่เกี่ยวข้องอย่างเพียงพอ ในขณะที่รายงาน SOC 3 มีข้อมูลที่ไม่เฉพาะเจาะจงมากนักและสามารถเผยแพร่สู่สาธารณชนได้
การตรวจสอบ
เฉพาะบริษัทผู้สอบบัญชีรับอนุญาตหรือบริษัทตรวจสอบบัญชีที่ได้รับการรับรองให้ทำการประเมิน SOC เท่านั้นที่จะสามารถดำเนินการตรวจสอบ SOC 2 ให้คุณได้ ผู้ตรวจสอบบัญชีเหล่านี้ต้องเป็นอิสระและปฏิบัติตามมาตรฐานของ AICPA
การตรวจสอบ SOC 2 ให้รายงานการควบคุมภายในโดยละเอียดขององค์กร ซึ่งจัดทำขึ้นตามเกณฑ์การให้บริการที่น่าเชื่อถือทั้งห้าประการ แสดงให้เห็นว่าองค์กรปกป้องข้อมูลลูกค้าได้ดีเพียงใด และสร้างความมั่นใจให้กับลูกค้าว่าองค์กรให้บริการอย่างปลอดภัยและน่าเชื่อถือ ดังนั้น รายงาน SOC 2 จึงมีไว้สำหรับลูกค้าและผู้มีส่วนได้ส่วนเสียอื่นๆ เท่านั้น การประเมินความพร้อมสำหรับ SOC 2 เป็นขั้นตอนสำคัญก่อนการตรวจสอบ ช่วยระบุช่องว่างในการควบคุม เอกสาร หรือหลักฐานตั้งแต่เนิ่นๆ ลดความประหลาดใจระหว่างการตรวจสอบ การเตรียมการที่ดีประกอบด้วยการจัดทำเอกสารให้ครบถ้วน การตรวจสอบความถูกต้องของการกำหนดค่าระบบ การมีส่วนร่วมของทีมงานข้ามสายงาน และการตรวจสอบอย่างต่อเนื่อง
ดูเพิ่มเติม
ลิงก์ภายนอก
- "แถลงการณ์เกี่ยวกับมาตรฐานสำหรับงานรับรอง 18, มาตรฐานการรับรอง: การชี้แจงและการจัดระเบียบใหม่" , AICPA
- "มาตรฐานวิชาชีพ" หมวด AT-C 320 สมาคมผู้สอบบัญชีรับอนุญาตแห่งสหรัฐอเมริกา (AICPA)
สรุปเนื้อหา
ข้อมูลสำคัญจากบทความ
ข้อมูลสำคัญเกี่ยวกับ การควบคุมระบบและองค์กร
การควบคุมระบบและองค์กร ( SOC ; บางครั้งเรียกว่า การควบคุมองค์กรผู้ให้บริการ ) ตามคำจำกัดความของ สถาบันผู้สอบบัญชีรับอนุญาตแห่งสหรัฐอเมริกา (AICPA)...
เกณฑ์การให้บริการที่เชื่อถือได้
เกณฑ์บริการความน่าเชื่อถือ (Trust Services Criteria) ถูกออกแบบมาเพื่อให้มีความยืดหยุ่นในการนำไปใช้ เพื่อให้เหมาะสมกับมาตรการควบคุมเฉพาะที่องค์กรนำมาใช้เพื่อรับมือกับความเสี่ยงและภัยคุกคามเฉพาะที่องค์กรเผชิญ ซึ่งแตกต่างจากกรอบการควบคุมอื่นๆ...
ระดับ
รายงาน SOC มีสองระดับซึ่งระบุไว้ใน SSAE 18 เช่นกัน: [ 2 ]
การตรวจสอบ
เฉพาะบริษัทผู้สอบบัญชีรับอนุญาตหรือบริษัทตรวจสอบบัญชีที่ได้รับการรับรองให้ทำการประเมิน SOC เท่านั้นที่จะสามารถดำเนินการตรวจสอบ SOC 2 ให้คุณได้ ผู้ตรวจสอบบัญชีเหล่านี้ต้องเป็นอิสระและปฏิบัติตามมาตรฐานของ AICPA