您的组织最近是否因COVID-19大流行而转移到远程工作? 虽然特别休闲的着装要求和通勤可能还不错, 不要让常规的改变影响SOC 2考试的基本标准. 迁移到虚拟劳动力带来了许多挑战和新的风险,需要考虑SOC 2考试,包括:
- Standardization -迁移到一个完全的远程劳动力可能会影响你的组织控制环境的范围比你想象的要大. 美国注册会计师协会(AICPA)提供了组织应该实现逻辑访问安全软件的标准, infrastructure, 以及保护它们免受安全事件影响的体系结构(AICPA), Trust Services Criteria). 这与从组织网络外部访问组织数据的人员直接相关. 许多组织选择实现双因素身份验证, virtual private networks, 或为现有远程工作人员加密的硬盘驱动器以满足此标准. 组织必须认识到将现有的远程员工实施的当前控制扩展到整个组织,以确保他们是安全的,并且在SOC 2检查期间没有缺陷.
- Vulnerabilities -应进行风险评估,以确定远程工作人员的潜在差距. 重要的是要明白,你的员工可能不只是在家工作, 而是任何有互联网接入的地方,比如酒店和机场. 应实施或修订控制措施,以减轻已识别漏洞带来的风险, 例如禁用可移动媒体, 提供更健壮的安全意识培训, 和/或要求用户确认远程工作策略. 额外的控制包括网络内容过滤, 禁用员工计算机上的本地管理权限, 关闭VPN的分裂隧道功能. 安全意识培训应该为员工提供远离办公室保持适当网络卫生的知识.
- Documentation -远程工作提供了一个使用协作工具与团队沟通的绝佳机会. 虽然用视频电话代替面对面的董事会会议听起来不错, 执行与通常为面对面会议执行的相同级别的文档是很重要的. 这包括正式记录议程, meeting minutes, 以及所有会议批准的文件. SOC 2检查依靠文件来确保控制的运行有效性. 缺乏证明会议发生的文件或会议期间涉及的具体事项的证据可能是干净的报告和有缺陷的报告之间的区别. 应制定政策和程序,以确保适当的文件准则. Further, 应该制定保留策略,以确保文档在其使用寿命结束之前不会被移除或删除.
- Timeliness - SOC 2 II类检查需要证据来证明控制的运行有效性. 新的控制和扩展的现有控制会给约定的文档收集阶段增加相当多的时间. 对你的资源进行相应的规划,可以让约会顺利、按期进行.
了解远程劳动力对SOC 2检查的影响对于确保所有控制有效运行并与您的组织环境相关非常重要.
施耐德倒下有何帮助?
有关我们的系统和组织控制(SOC)报告bet9平台游戏的更多信息,请访问 /reporting-controls-service-organization-soc-reports-ssae-18-audits.
请访问我们的冠状病毒资源页面 thebigkahunaspokane.com/our-thoughts-on/category/Coronavirus for related content.