mobile-logo

รู้จัก SOC Reports ข้อมูลเชิงลึกด้านความเสี่ยงขององค์กร

SOC
27 Aug

รู้จัก SOC Reports ข้อมูลเชิงลึกด้านความเสี่ยงขององค์กร

by Monster Connect
in All, IT and Security Fundamentals, Rapid7
Comments

รู้จัก SOC Reports ข้อมูลเชิงลึกด้านความเสี่ยงขององค์กร

Providing insight into an organization’s risk

 

At a Glance:

สำหรับองค์กรที่มีการควบคุมภายใต้กรอบ SOC ซึ่งจะมีการใช้รายงานในการรายผลเพื่อเป็นวิธีใน “การตรวจสอบว่า องค์กรสามารถปฏิบัติได้ตามแนวทางของกรอบควบคุมความปลอดภัยหรือไม่” ทั้งนี้ยังเป็นการตรวจเช็คภายใต้กรอบปฏิบัติก่อนที่องค์กรจะเลือกใช้ตัวช่วยจากหน่วยงาน Outsource อีกด้วย

ซึ่งแนวทางนี้จะเป็นทางออกด้านความปลอดภัยเกี่ยวกับระบบการเงิน และการประมวลผลต่างๆได้เป็นอย่างดีเลยทีเดียว นอกจากนี้รายงานยังสามารถนำมาตรวจสอบโดยองค์กรอิสระ บุคคลที่สาม เพื่อประกอบการพิจารณาต่างๆ ไม่ว่าจะเป็นในการทำประกัน และนักลงทุน เพื่อแสดงให้เห็นถึงศักยภาพด้านความปลอดภัยขององค์กรว่ามีมากน้อยแค่ไหน

 

รายงาน SOC จะเป็นตัวแสดงถึง “ภาพรวมด้านความปลอดภัยภายในองค์กร” และรายละเอียดของกรอบการทำงานด้านความปลอดภัย ซึ่งจะสอดคล้องกับระบบการทำงานจริงที่เกิดขึ้นภายในองค์กร รวมไปถึงการประสานงานร่วมกับบรรดาพันธมิตร และความสัมพันธ์ด้านธุรกิจต่างๆอีกด้วย ซึ่งในปัจจุบันรายงาน SOC มีความสำคัญมากที่เลยทีเดียวสำหรับ “ทีมขาย” ขององค์กรที่มักจะใช้อ้างอิงถึงความปลอดภัยและเสถียรภาพภายในองค์กรแก่ลูกค้า

ก่อนที่จะไปทำความเข้าใจกันในเรื่อง “ประเภทของรายงาน” จะต้องเข้าใจก่อน “รายงาน  SOC” จะมีคำจำกัดความได้เช่นไรบ้าง ?

  • รายงานที่แสดงถึง “ความสามารถในการให้บริการ”
  • รายงานที่แสดงถึง “การบริหารงานโดยใช้ Outsource หรือใช้พันธมิตรในเครือธุรกิจ”
  • รายงานที่แสดงถึง “ขอบเขตการควบคุม กระบวนการและกลไกที่ตรวจสอบได้ รวมถึงผลกระทบที่เกิดขึ้นจากปัญหาด้านความปลอดภัย”

 

Types of Reports

รายงานของ SOC สามารถแยกออกเป็นได้หลายประเภท ทั้งนี้ก็จะขึ้นอยู่กับความหลากหลายและรูปแบบการทำงานขององค์กร รวบไปถึงข้อมูลด้านความปลอดภัยที่องค์กรต้องการอีกด้วย

 

SOC1:

รายงานที่แสดงเกี่ยวกับ “การควบคุมที่มีผลกระทบทันที หรือต่อเนื่องเกี่ยวกับงบประมาณ การเงิน ตามมาตรฐานของ SSAE16”

 

Type l

  • รายงานจะแสดงให้เห็นว่า “การควบคุมภายในได้รับการออกแบบมาเพื่อป้องกันข้อผิดพลาดเกี่ยวกับข้อมูลธุรกรรมและข้อมูลงบการเงินทำงานอย่างไร และมีประสิทธิภาพมากน้อยแค่ไหน
  • รายงานจะแสดงให้เห็นถึง “การทดสอบเริ่มต้นและเสร็จสิ้นในเวลาใด แต่จะไม่ได้ทดสอบประสิทธิภาพการทำงานของชุดควบคุมด้านความปลอดภัย”

Type ll

  • รายงานจะแสดงให้เห็นถึง “การทดสอบประสิทธิภาพของการควบคุมภายใน (ซึ่งเป็นไปตามกระบวนการทางธุรกิจและการควบคุมด้านไอทีโดยทั่วไป)” ว่าถูกออกแบบมาเพื่อลดความเสี่ยงทางด้านการเงินของผู้ใช้มากน้อยแค่ไหน
  • รายงานจะแสดงให้เห็นถึง “การทดสอบในช่วงระยะเวลาหนึ่งและมีการสุ่มตัวอย่างทดสอบเพื่อให้ทราบถึงประสิทธิผลในการปฏิบัติงานอย่างถูกต้อง”

 

SOC2:

รายงานด้านความภัยปลอดภัย ที่แสดงถึง “การควบคุมที่เกี่ยวข้องความปลอดภัยในการเก็บรักษาข้อมูลส่วนตัว และการประมวลผล” ซึ่งจะเป็นไปตามมาตรฐานข้อมูลแบบ AT101

 

Type l

  • รายงานจะแสดงให้เห็นถึง “การทดสอบและการออกแบบของตัวควบคุมด้านความปลอดภัยในส่วนนี้”
  • รายงานจะแสดงให้เห็นถึง “การทดสอบเริ่มต้นและเสร็จสิ้นในเวลาใด แต่จะไม่ได้ทดสอบประสิทธิภาพการทำงานของชุดควบคุมด้านความปลอดภัย”

Type ll

  • รายงานจะแสดงให้เห็นถึง “การทดสอบประสิทธิภาพของการควบคมภายใน โดยระบบที่ถูกออกแบบมาสามารถเก็บ และลบล้างข้อมูลส่วนตัวของลูกค้าได้ดีมากน้อยแค่ไหน
  • รายงานจะแสดงให้เห็นถึง “การทดสอบในช่วงระยะเวลาหนึ่งและมีการสุ่มตัวอย่างทดสอบเพื่อให้ทราบถึงประสิทธิผลในการปฏิบัติงานอย่างถูกต้อง”

 

SOC3:

 

  • จะเป็นรายงานแบบ SOC2 ในอีกเวอร์ชั่น ที่จะเปิดเผยต่อสาธาณะโดยไม่รวมข้อมูลส่วนตัวที่จะถูกเก็บไว้เป็นความลับ
  • รายงานเกี่ยวกับ “สรุปข้อมูลระดับสูงสำหรับลูกค้าทั่วไป โดยจะต้องไม่กระทบและเปิดภายระบบการทำงานภายในจนองค์กรเสียหาย”
  • มักจะถูกใช้ในองค์กรขนาดใหญ่ ที่มีการเก็บข้อมูลไว้เป็นจำนวนมาก รวมไปถึงมีการควบคุมในระบบที่สูงกว่าองค์กรอื่นทั่วไป

 

 

Report Components

 

รายงานการควบคุมหลักการปฏิบัติด้านความปลอดภัยในทุกฉบับที่เกิดขึ้น “จะต้องมีความเห็นของผู้ตรวจสอบ” ที่จะแสดงให้เห็นว่าข้อมูลทีเปิดเผยออกมามีความถูกต้อง และเป็นธรรม ซึ่งหากมีการตรวจพบภายหลังว่า “ข้อมูลที่ถูกเปิดเผยมาจากรายงานไม่มีความเป็นธรรม หรือผิดไปจากผลจริงที่เกิดขึ้น” ข้อมูลเหล่านี้ก็จะสูญเปล่าไปโดยทันที

รายงานทั้งหมดนี้จะ “มีการยืนยันจากองค์กร” ว่ามีการใช้ตัวควบคุมทั้งหมดในระบบระหว่างช่วงของการทดสอบ ซึ่งข้อมูลที่ออกมาจากการทดสอบจะเป็นข้อมูลที่เกิดขึ้นจริงและเชื่อถือได้ ภายใต้ขอบเขตและวัตถุประสงค์ของการทดสอบด้านความปลอดภัยอีกด้วย

 

How to Use a SOC Report

 

เมื่อได้รับรายงานขององค์กรผู้ทดสอบด้านความปลอดภัยแล้วนั้น คุณหรือตัวแทนขององค์กรที่เข้ารับการทดสอบจะต้องอ่านข้อมูลในรายงานทั้งหมดอย่างละเอียด เพื่อตรวจเช็คหา “รายงานใดที่ไม่เหมาะสม” “หรือรายงานใดที่ผิดพลาด”

อีกทั้งยังต้องพิจารณาเรื่องของ “ข้อยกเว้น” ที่ผู้ตรวจสอบจะสามารถยอมรับได้เกี่ยวกับความเสี่ยงที่เกิดขึ้น ตรวจสอบทั้งหมดให้ละเอียดรอบคอบ และพูดคุยหารือกับผู้ตรวจสอบถึงแนวทางที่จะพัฒนาและแก้ไขให้ลดระดับความเสี่ยงและข้อผิดพลาดที่เกิดขึ้นไป

ถึงแม้ว่ารายงาน SOC อาจจะไม่ส่งผลทางธุรกิจให้กับบางองค์กรเท่าที่ควร แต่ต้องยอมรับว่า ข้อมูลจากรายงาน SOC จะช่วยสร้างแผนการรับมือความเสี่ยงที่อาจจะเกิดขึ้นได้เป็นอย่างดีเลยทีเดียว

 

Reference : https://www.rapid7.com/fundamentals/soc-report/

Tags:
,,
Monster Connect
Monster Connect