-鑑證、鑑證和審計(Assurance, Attestation, and Audit)
組織內的審計職能和大客戶或一流客戶可能會根據專有或公共標准進行審計,並向有限的受眾提供保證。
ISO標準
ISO 標準由國際標準化組織 (ISO) 制定,該組織成立於 1947 年 2 月 23 日,總部位於瑞士日內瓦。它們是全球公認的公共標準,通常定義特定的控制目標和控制。例如,ISO 27001 的認證機構(例如 SGS、BSI 和 TUV)是根據 ISO 17021 標准進行審核的審核員,以證明被審核方是否符合 ISO 27001 標準中規定的要求。
-CB、AB 和國際認證論壇 (IAF)
-ISO 27000 系列標準
服務組織的 SOC
-服務組織控制 (SOC)
與提供強制性要求、控制目標和控制的 ISO 標準不同,SOC 參與需要服務組織描述其係統、設置控制目標並設計控制以滿足它們。
美國註冊會計師協會 (AICPA) 指定的註冊會計師 (CPA) 可以根據 AICPA 指南進行 SOC 考試,並證明 1)管理層對服務組織系統的描述的陳述的公平性和 2)控制的設計和運行有效性(以實現描述中包含的相關控制目標)。
服務組織的 SOC 報告旨在幫助向其他實體提供服務的服務組織,通過獨立註冊會計師的報告,建立對所執行的服務和與服務相關的控制的信任和信心。每種類型的服務組織 SOC 報告旨在幫助服務組織滿足特定的用戶需求:
SOC 1®– 服務組織的 SOC:ICFR
服務組織與用戶實體財務報告內部控制相關的控制報告
這些報告是根據AT-C 第 320 節“對與用戶實體對財務報告的內部控制相關的服務組織的控制檢查的報告”編寫的,專門用於滿足使用服務組織的實體(用戶實體)的需求) 和審計用戶實體財務報表的註冊會計師(用戶審計師)在評估服務組織的控制對用戶實體財務報表的影響時。
這些約定有兩種類型的報告:
這些報告的使用僅限於服務組織、用戶實體和用戶審計員的管理。
SOC 2® – 服務組織的 SOC:信任服務標準
報告服務組織中與安全性、可用性、處理完整性、機密性或隱私相關的控制
這些報告旨在滿足廣大用戶的需求,這些用戶需要有關服務組織用於處理用戶數據的系統的安全性、可用性和處理完整性的控制的詳細信息和保證,以及這些系統處理的信息的機密性和隱私性。這些報告可以在以下方面發揮重要作用:
與 SOC 1 報告類似,有兩種類型的報告:
第 2 類報告,關於管理層對服務組織系統的描述和適用性控制的設計和運行有效性;以及關於管理層對服務組織系統的描述和控制設計的適用性的第 1 類報告。這些報告的使用受到限制。
資料來源:AICPA
參考
. 誰有資格獲得 ISO 9001 認證?
. SOC 報告綜合指南
. 服務組織控制 (SOC) 報告概述
. SOC 報告概述和好處
. 系統和組織控制:SOC 服務套件
. 服務組織的 SOC:服務組織信息
資料來源: Wentz Wu QOTD-20211104
My Blog: https://choson.lifenet.com.tw/
要抄襲要也不要把開頭省略掉啊,我相信你是吳老師的學生
我就不檢舉了,但也不要斷文截字吧,這對吳老師很不尊重
那就整篇翻過來啊,我相信你有經過授權
所以就不檢舉了,至少你比其他人好,
把出處寫清楚有所交代,但沒頭沒尾的,
我還要去看出處才知道喔,這是 CISSP 的文章
感謝你的指導。