网络安全威胁正在上升, 挑战各种规模的组织,无论是公共的还是私人的.
董事会, 经理, 投资者, 客户和其他利益相关者正在向组织施压,要求他们证明自己正在管理网络安全威胁, 他们已经实施了有效的网络安全风险管理计划,以防止, 检测并响应安全漏洞.
帮助组织证明他们正在管理网络安全威胁, 组织应获得网络安全报告SOC.
面向网络安全的SOC 考试业务是否按照AICPA对实体网络安全风险管理计划的明确认证标准进行. 在网络安全风险管理审核中,独立注册会计师提出以下意见:
(a)管理层对实体网络安全风险管理计划的描述
(b)该计划中实现实体网络安全目标的控制措施的有效性.
网络安全风险管理审查结果为 通用网络安全报告 旨在满足各种潜在用户的需求.
网络安全风险管理审核报告包括以下三个关键部分:
1. 管理层的断言.
与所有SOC报告一样,断言是由管理层提供的. 具体地说,断言处理是否
(a)描述是按照描述标准提出的,并且
(b)实体网络安全风险管理计划中的控制措施对于实现基于控制标准的实体网络安全目标是有效的.
美国注册会计师协会制定了控制标准,用于评估项目中的控制是否有效地实现实体的网络安全目标.
2. 医生的报告.
第二部分是从业者的报告, 它包含了一个观点, 哪个在考试中涉及两个主题. 具体来说,该意见涉及是否
(a)描述是按照描述标准提出的,并且
(b)实体网络安全风险管理计划中的控制措施对于实现基于控制标准的实体网络安全目标是有效的.
3. 管理的描述.
最后一个组成部分是管理层准备的实体网络安全风险管理计划的叙述性描述(描述). 当然,BRC将协助组织管理层准备这一描述. 该描述旨在提供有关实体如何标识其信息资产的信息, 实体管理威胁其的网络安全风险的方式, 以及为保护实体的信息资产免受这些风险而实施和操作的关键安全策略和流程. 描述提供了用户理解结论所需的上下文, 由管理层在其断言中表达,由从业者在其报告中表达.
这些业务的报告有两种类型:
- 第二类- 关于管理层对实体网络安全风险管理计划描述的公平性,以及控制措施设计的适宜性和运行有效性,以在指定期间实现网络安全风险管理计划目标的报告.
- 第一类- 呈报管理层对实体网络安全风险管理计划描述的公平性,以及截至指定日期实现网络安全风险管理计划目标的控制措施设计和运行有效性的适宜性.
让银河国际官网App下载从今天开始. BRC随时准备帮助您的组织展示其网络安全风险管理计划的成熟度. 联系本猎人 III, CPA/ ctp, CISA, CRISC, CDPSE, CISM,电话:(336).294.4494 (bhunter@tyrantofterror.com),从今天开始着手开发网络安全SOC.
本·亨特,三岁 CISO、咨询服务主管、CPA/ ctp、CISA、CRISC、CDPSE、CISM
Ben是BRC的首席信息安全官,也是银河国际官网App下载公司风险咨询服务实践的负责人. 他专门从事网络安全和信息技术审计和评估. Ben在美国海军陆战队开始了他的网络安全生涯. 成为注册会计师后, 他继续他的网络安全和IT审计培训[…]