รู้จัก SOC Reports ข้อมูลเชิงลึกด้านความเสี่ยงขององค์กร

SOC

รู้จัก SOC Reports ข้อมูลเชิงลึกด้านความเสี่ยงขององค์กร

รู้จัก SOC Reports ข้อมูลเชิงลึกด้านความเสี่ยงขององค์กร

Providing insight into an organization’s risk

 

At a Glance:

สำหรับองค์กรที่มีการควบคุมภายใต้กรอบ SOC ซึ่งจะมีการใช้รายงานในการรายผลเพื่อเป็นวิธีใน “การตรวจสอบว่า องค์กรสามารถปฏิบัติได้ตามแนวทางของกรอบควบคุมความปลอดภัยหรือไม่” ทั้งนี้ยังเป็นการตรวจเช็คภายใต้กรอบปฏิบัติก่อนที่องค์กรจะเลือกใช้ตัวช่วยจากหน่วยงาน Outsource อีกด้วย

ซึ่งแนวทางนี้จะเป็นทางออกด้านความปลอดภัยเกี่ยวกับระบบการเงิน และการประมวลผลต่างๆได้เป็นอย่างดีเลยทีเดียว นอกจากนี้รายงานยังสามารถนำมาตรวจสอบโดยองค์กรอิสระ บุคคลที่สาม เพื่อประกอบการพิจารณาต่างๆ ไม่ว่าจะเป็นในการทำประกัน และนักลงทุน เพื่อแสดงให้เห็นถึงศักยภาพด้านความปลอดภัยขององค์กรว่ามีมากน้อยแค่ไหน

 

รายงาน SOC จะเป็นตัวแสดงถึง “ภาพรวมด้านความปลอดภัยภายในองค์กร” และรายละเอียดของกรอบการทำงานด้านความปลอดภัย ซึ่งจะสอดคล้องกับระบบการทำงานจริงที่เกิดขึ้นภายในองค์กร รวมไปถึงการประสานงานร่วมกับบรรดาพันธมิตร และความสัมพันธ์ด้านธุรกิจต่างๆอีกด้วย ซึ่งในปัจจุบันรายงาน SOC มีความสำคัญมากที่เลยทีเดียวสำหรับ “ทีมขาย” ขององค์กรที่มักจะใช้อ้างอิงถึงความปลอดภัยและเสถียรภาพภายในองค์กรแก่ลูกค้า

ก่อนที่จะไปทำความเข้าใจกันในเรื่อง “ประเภทของรายงาน” จะต้องเข้าใจก่อน “รายงาน  SOC” จะมีคำจำกัดความได้เช่นไรบ้าง ?

  • รายงานที่แสดงถึง “ความสามารถในการให้บริการ”
  • รายงานที่แสดงถึง “การบริหารงานโดยใช้ Outsource หรือใช้พันธมิตรในเครือธุรกิจ”
  • รายงานที่แสดงถึง “ขอบเขตการควบคุม กระบวนการและกลไกที่ตรวจสอบได้ รวมถึงผลกระทบที่เกิดขึ้นจากปัญหาด้านความปลอดภัย”

 

Types of Reports

รายงานของ SOC สามารถแยกออกเป็นได้หลายประเภท ทั้งนี้ก็จะขึ้นอยู่กับความหลากหลายและรูปแบบการทำงานขององค์กร รวบไปถึงข้อมูลด้านความปลอดภัยที่องค์กรต้องการอีกด้วย

 

SOC1:

รายงานที่แสดงเกี่ยวกับ “การควบคุมที่มีผลกระทบทันที หรือต่อเนื่องเกี่ยวกับงบประมาณ การเงิน ตามมาตรฐานของ SSAE16”

 

Type l

  • รายงานจะแสดงให้เห็นว่า “การควบคุมภายในได้รับการออกแบบมาเพื่อป้องกันข้อผิดพลาดเกี่ยวกับข้อมูลธุรกรรมและข้อมูลงบการเงินทำงานอย่างไร และมีประสิทธิภาพมากน้อยแค่ไหน
  • รายงานจะแสดงให้เห็นถึง “การทดสอบเริ่มต้นและเสร็จสิ้นในเวลาใด แต่จะไม่ได้ทดสอบประสิทธิภาพการทำงานของชุดควบคุมด้านความปลอดภัย”

Type ll

  • รายงานจะแสดงให้เห็นถึง “การทดสอบประสิทธิภาพของการควบคุมภายใน (ซึ่งเป็นไปตามกระบวนการทางธุรกิจและการควบคุมด้านไอทีโดยทั่วไป)” ว่าถูกออกแบบมาเพื่อลดความเสี่ยงทางด้านการเงินของผู้ใช้มากน้อยแค่ไหน
  • รายงานจะแสดงให้เห็นถึง “การทดสอบในช่วงระยะเวลาหนึ่งและมีการสุ่มตัวอย่างทดสอบเพื่อให้ทราบถึงประสิทธิผลในการปฏิบัติงานอย่างถูกต้อง”

 

SOC2:

รายงานด้านความภัยปลอดภัย ที่แสดงถึง “การควบคุมที่เกี่ยวข้องความปลอดภัยในการเก็บรักษาข้อมูลส่วนตัว และการประมวลผล” ซึ่งจะเป็นไปตามมาตรฐานข้อมูลแบบ AT101

 

Type l

  • รายงานจะแสดงให้เห็นถึง “การทดสอบและการออกแบบของตัวควบคุมด้านความปลอดภัยในส่วนนี้”
  • รายงานจะแสดงให้เห็นถึง “การทดสอบเริ่มต้นและเสร็จสิ้นในเวลาใด แต่จะไม่ได้ทดสอบประสิทธิภาพการทำงานของชุดควบคุมด้านความปลอดภัย”

Type ll

  • รายงานจะแสดงให้เห็นถึง “การทดสอบประสิทธิภาพของการควบคมภายใน โดยระบบที่ถูกออกแบบมาสามารถเก็บ และลบล้างข้อมูลส่วนตัวของลูกค้าได้ดีมากน้อยแค่ไหน
  • รายงานจะแสดงให้เห็นถึง “การทดสอบในช่วงระยะเวลาหนึ่งและมีการสุ่มตัวอย่างทดสอบเพื่อให้ทราบถึงประสิทธิผลในการปฏิบัติงานอย่างถูกต้อง”

 

SOC3:

 

  • จะเป็นรายงานแบบ SOC2 ในอีกเวอร์ชั่น ที่จะเปิดเผยต่อสาธาณะโดยไม่รวมข้อมูลส่วนตัวที่จะถูกเก็บไว้เป็นความลับ
  • รายงานเกี่ยวกับ “สรุปข้อมูลระดับสูงสำหรับลูกค้าทั่วไป โดยจะต้องไม่กระทบและเปิดภายระบบการทำงานภายในจนองค์กรเสียหาย”
  • มักจะถูกใช้ในองค์กรขนาดใหญ่ ที่มีการเก็บข้อมูลไว้เป็นจำนวนมาก รวมไปถึงมีการควบคุมในระบบที่สูงกว่าองค์กรอื่นทั่วไป

 

 

Report Components

 

รายงานการควบคุมหลักการปฏิบัติด้านความปลอดภัยในทุกฉบับที่เกิดขึ้น “จะต้องมีความเห็นของผู้ตรวจสอบ” ที่จะแสดงให้เห็นว่าข้อมูลทีเปิดเผยออกมามีความถูกต้อง และเป็นธรรม ซึ่งหากมีการตรวจพบภายหลังว่า “ข้อมูลที่ถูกเปิดเผยมาจากรายงานไม่มีความเป็นธรรม หรือผิดไปจากผลจริงที่เกิดขึ้น” ข้อมูลเหล่านี้ก็จะสูญเปล่าไปโดยทันที

รายงานทั้งหมดนี้จะ “มีการยืนยันจากองค์กร” ว่ามีการใช้ตัวควบคุมทั้งหมดในระบบระหว่างช่วงของการทดสอบ ซึ่งข้อมูลที่ออกมาจากการทดสอบจะเป็นข้อมูลที่เกิดขึ้นจริงและเชื่อถือได้ ภายใต้ขอบเขตและวัตถุประสงค์ของการทดสอบด้านความปลอดภัยอีกด้วย

 

How to Use a SOC Report

 

เมื่อได้รับรายงานขององค์กรผู้ทดสอบด้านความปลอดภัยแล้วนั้น คุณหรือตัวแทนขององค์กรที่เข้ารับการทดสอบจะต้องอ่านข้อมูลในรายงานทั้งหมดอย่างละเอียด เพื่อตรวจเช็คหา “รายงานใดที่ไม่เหมาะสม” “หรือรายงานใดที่ผิดพลาด”

อีกทั้งยังต้องพิจารณาเรื่องของ “ข้อยกเว้น” ที่ผู้ตรวจสอบจะสามารถยอมรับได้เกี่ยวกับความเสี่ยงที่เกิดขึ้น ตรวจสอบทั้งหมดให้ละเอียดรอบคอบ และพูดคุยหารือกับผู้ตรวจสอบถึงแนวทางที่จะพัฒนาและแก้ไขให้ลดระดับความเสี่ยงและข้อผิดพลาดที่เกิดขึ้นไป

ถึงแม้ว่ารายงาน SOC อาจจะไม่ส่งผลทางธุรกิจให้กับบางองค์กรเท่าที่ควร แต่ต้องยอมรับว่า ข้อมูลจากรายงาน SOC จะช่วยสร้างแผนการรับมือความเสี่ยงที่อาจจะเกิดขึ้นได้เป็นอย่างดีเลยทีเดียว

 

Reference : https://www.rapid7.com/fundamentals/soc-report/

Monster Connect
No Comments

Post a Comment

Comment
Name
Email
Website

This site uses Akismet to reduce spam. Learn how your comment data is processed.