来自 资讯 2021-06-15 14:04 的文章

海外高防ip_高防ip段_零元试用

海外高防ip_高防ip段_零元试用

在过去的一年中,SOC 2在未来报告的提交方式上发生了相当大的变化。美国注册会计师协会(AICPA)将旧的SSAE 16标准替换为SSAE 18,发布了2017年信托服务准则、新的描述准则(DC-200)和新的SOC 2指南。这在很短的时间内就发生了很大的变化!许多这些变化将有助于澄清报告并使SOC检查更强大;Coalfire将帮助您了解这些变化,并了解它将如何影响您的报告。系统说明(第3节)以前的系统描述中包含的大部分内容都将包含在DC-200的要求中。例如,用于提供服务的系统组件仍然存在于DC-200中,ddos防御平台,并且没有改变。以下是新的DC-200部分的摘要,以及您之前的SOC 2系统描述可能会转移的内容(注意:SOC 2系统描述可能因客户而异,1g带宽防御ddos,因此您之前的描述元素可能会有所不同)。提供的服务类型-应与贵公司概况和/或所提供服务的比例为1:1。主要服务承诺和系统要求——应从先前提供的承诺和系统要求转移(见下文更多详细信息)。用于提供服务的系统组件-包括您之前的组件部分(基础设施、软件、人员、过程、数据)以及系统边界的讨论。系统事故-这不是以前要求的,是一个新的披露。详见下文。适用的信托服务标准和相关控制措施——包括之前的"控制环境的相关方面、风险评估、监控、信息和通信"以及"信托服务原则、标准和相关控制措施"补充用户实体控制(CUEC)–从旧的CUEC转移。子服务组织和补充子服务组织控制(CSOC)–应与先前讨论的CSOC以及您如何监控其合规性(供应商管理)类似。与系统无关的特定标准-如果您有此项,则与之前相同。这是为了向读者解释为什么某些标准对你的系统来说是不适用的,cc攻击防御方法,如果你有的话。系统的重大变化-与之前相同:描述在2型交战期间系统或控制环境的任何重大变化。现在人们更加关注承诺和系统要求,以及增加重大系统事故披露。将承诺和系统需求视为您向使用该服务的客户承诺的内容。很多时候,这些类型的承诺都包含在MSA、SLA或其他合同安排中。例如,如果您的服务保证99.9%的正常运行时间,那就是可用性承诺。系统需求是您为满足所述承诺而准备的(在我们的示例中,数据中心的物理和环境保护、冗余等)。对于系统事故,AICPA将重大事故定义为:(a)控制措施设计不当或运行不有效,无法实现一个或多个承诺和系统要求;或(b)在实现一个或多个承诺和系统时导致重大失败要求。系统事故应根据具体情况进行披露。AICPA声明,如果对事件的讨论会给您的组织带来更高的安全风险,则不应进行披露。一个好的经验法则是,如果你有一个新闻稿或大规模电子邮件通知客户的事件,高防cdn能防御ddos攻击吗,它可能需要披露。标准和控制(第4节)与系统描述一样,高防cdn代理,第4部分之前的许多标准将非常顺利地映射到新的标准上—合作伙伴可以帮助您确定如何将此应用于您的业务。以下是2017年信托服务标准的摘要,以及如何从旧标准映射的相关信息:CC1系列–控制环境:主要是从旧的CC1系列继承而来。新的CC1.2中有一个具体的标准,遵循COSO原则2——董事会的监督和独立于管理层(尤其是内部控制的执行)。如果你已经有了一个有监督的董事会,新的标准应该不是问题。如果没有,或者您没有董事会,您需要记录管理层如何监督内部控制的绩效。这种监督也应该独立于管理层。CC2系列-通信和信息:继承了之前的CC2系列。CC3系列-风险评估:从上一个CC3系列继承而来。CC4系列-监测活动:从上一个CC4系列延续下来。CC5系列-控制活动:主要是从以前的CC3系列的部分延续下来的。CC6系列-逻辑和物理访问控制:从以前的CC5系列的各个部分携带。CC7系列-系统操作:主要是从以前的CC6系列继承而来。CC8系列-变更管理:继承了之前的CC7系列。CC9系列-风险缓解:从先前的保密和CC3系列的部分继承。可用性:与以前的系列没有变化。保密性:大多数旧的保密标准现在都包含在安全性中;但是,旧的C1.7和C1.8现在是2017年修订版中仅有的两个保密标准。结论在很大程度上,从旧标准到2017年新标准的过渡应该是一个相当平稳的过程,只需要添加一些现在需要报告的信息。对于2018年12月15日或之后具有"截止"日期(类型1)或"期间结束"日期(类型2)的SOC 2,2017标准(AICPA官方TSC-100)和新DC-200描述标准是必需的。如果您对新标准或如何将之前的SOC 2转换为新要求有任何疑问,请随时联系我jcook@coalfire.com或703-935-2242。