Répondre aux exigences de l'AICPA SOC 2 en matière de gestion des risques liés aux tiers

Comment auditer et rendre compte de la conformité à la norme SOC 2 et aux principes des services de confiance avec les solutions de gestion des risques des tiers ?
Par :
Scott Lang
,
VP, Marketing produit
16 mars 2022
Partager :
Livre blanc soc2 checklist de conformité 0322

Ce billet passe en revue les considérations relatives à la gestion des risques liés aux tiers dans le cadre de la norme AICPA SOC 2, et explique comment vous pouvez répondre aux exigences de la norme SOC en combinant l'évaluation des risques liés aux fournisseurs et la surveillance des tiers.

Critères de services fiduciaires de l'AICPA et gestion des risques par des tiers

Le comité exécutif des services d'assurance (ASEC) de l'American Institute of Certified Public Accountants (AICPA) a élaboré des critères de services de confiance que les organisations peuvent utiliser comme cadre pour démontrer la confidentialité, l'intégrité et la disponibilité des systèmes et des données.

Les organisations familiarisées avec les audits SOC (System and Organization Control) 2 reconnaîtront que ces critères de services de confiance sont utilisés pour rendre compte de l'efficacité de leurs contrôles internes et de leurs sauvegardes sur l'infrastructure, les logiciels, les personnes, les procédures et les données.

Critères des services de confiance dans SOC 2

Les audits SOC 2 fournissent une vue d'ensemble des catégories de services fiduciaires suivantes de l'AICPA :

  • Sécurité : Protection des informations et des systèmes contre les accès non autorisés, la divulgation non autorisée d'informations et les dommages aux systèmes qui pourraient compromettre la disponibilité, l'intégrité, la confidentialité et le caractère privé des informations ou des systèmes et affecter la capacité de l'entité à atteindre ses objectifs.
  • Disponibilité : Garantir la disponibilité des informations et des systèmes pour leur exploitation et leur utilisation afin de répondre aux objectifs de l'entité.
  • Intégrité du traitement : Garantir que le traitement du système est complet, valide, précis, opportun et autorisé pour atteindre les objectifs de l'entité.
  • La confidentialité : Protéger les informations désignées comme confidentielles pour atteindre les objectifs de l'entité.
  • Protection de la vie privée : Garantir que les informations personnelles collectées, utilisées, conservées, divulguées et éliminées répondent aux objectifs de l'entité.

Types de rapports SOC

Une fois l'audit des contrôles terminé, les résultats peuvent inclure deux types de rapports :

  • Rapport de type 1: examine le système d'un prestataire de services et la pertinence de la conception des contrôles à un moment donné.
  • Rapport de type 2: complète le rapport de type 1 en examinant également l'efficacité opérationnelle des contrôles sur une période donnée.

Comment les rapports SOC sont utilisés

Les organisations de divers secteurs d'activité utilisent les rapports SOC 2 pour faire preuve de diligence raisonnable auprès de leurs clients, se démarquer de leurs concurrents par leur niveau de sécurité ou être proactifs avec les auditeurs en mesurant la conformité aux réglementations sur la protection des données.

Liste de contrôle de la conformité des tiers à la norme SOC 2

Cette liste de contrôle complète vous aidera à simplifier vos évaluations des contrôles de tiers par rapport à la norme AICPA SOC 2.

Lire la suite
Liste de contrôle de conformité soc2 en vedette

Exigences SOC 2 relatives à la gestion des risques liés aux tiers

Prevalent Les solutions de gestion des risques des tiers peuvent vous permettre de répondre aux critères suivants des services de confiance :

CC2.3 : L'entité communique avec les parties externes sur les questions affectant le fonctionnement du contrôle interne.

Laplateforme de gestion des risques des tiers (TPRM) Prevalent gère de manière centralisée le dialogue sur les risques, les rapports et les mesures correctives entre les organisations et leurs vendeurs, fournisseurs et partenaires tiers.

En outre, la plate-forme permet de stocker des rapports, des documents de politique, des contrats et des preuves à l'appui en vue d'un dialogue, d'une attestation et d'un partage.

Ensemble, ces fonctionnalités permettent aux organisations de disposer d'un référentiel unique pour visualiser et gérer les risques, la documentation relative aux fournisseurs et les mesures correctives.

CC3.2 : L'entité identifie les risques pour la réalisation de ses objectifs dans l'ensemble de l'entité et analyse les risques afin de déterminer comment les gérer.

La plateforme TPRM Prevalent permet aux entreprises d'automatiser les tâches essentielles requises pour évaluer, gérer, surveiller en permanence et corriger les risques liés à la sécurité, à la confidentialité, à la conformité, à la chaîne d'approvisionnement et aux achats des tiers à chaque étape du cycle de vie des fournisseurs, de l'intégration à l'exclusion.

La solution permet d'effectuer et de gérer des évaluations ponctuelles des risques à l'aide de plus de 125 modèles différents, d'analyser les résultats et de surveiller en permanence les risques liés aux tiers ( cyber), les risques commerciaux, financiers et de réputation, afin d'obtenir une vue d'ensemble des tiers.

Des modèles de rapports intégrés permettent aux équipes de sécurité et de gestion des risques de communiquer les résultats de l'évaluation des risques aux dirigeants et aux autres décideurs et parties prenantes.

CC3.4 : L'entité identifie et évalue les changements qui pourraient avoir un impact significatif sur le système de contrôle interne.

La plateforme Prevalent s'appuie sur des enquêtes et des flux de travail personnalisables pour rendre compte de l'accès au système, de la destruction des données, de la gestion de l'accès, de la conformité à toutes les lois pertinentes, des paiements finaux, et plus encore pendant l'externalisation, afin de garantir que les responsabilités évoluent au fur et à mesure que les accords changent.

En outre, Prevalent propose Contract Essentials, une solution qui centralise la distribution, la discussion, la conservation et la révision des contrats des fournisseurs. Elle inclut des fonctionnalités de workflow pour automatiser le cycle de vie des contrats, de l'entrée à la sortie.

CC9.2 : L'entité évalue et gère les risques liés aux fournisseurs et aux partenaires commerciaux.

CC9.2 : L'entité évalue et gère les risques associés aux fournisseurs et aux partenaires commerciaux.

La plateforme Prevalent permet aux entreprises d'automatiser les tâches essentielles requises pour évaluer, gérer, surveiller en permanence et corriger les risques liés à la sécurité, à la confidentialité, à la conformité, à la chaîne d'approvisionnement et aux achats des tiers à chaque étape du cycle de vie des fournisseurs, de l'intégration à l'exclusion :

  • Recherche et sélection de fournisseurs : Prevalent Contract Essentials aide les équipes chargées de la gestion des fournisseurs, de l'approvisionnement et des affaires juridiques à simplifier le processus d'établissement et de négociation des conditions contractuelles et des accords de niveau de service, à gérer les lignes rouges et à obtenir des approbations par le biais du flux de travail. La solution est entièrement intégrée à la plateforme TPRM complète, ce qui permet aux entreprises de gérer les contrats des fournisseurs avec la même rigueur que celle dont elles font preuve pour gérer les risques liés aux fournisseurs. En savoir plus sur notre solution de sourcing et de sélection des fournisseurs.

  • Accueil et embarquement / Scoring des risques inhérents : La plateforme Prevalent propose des rapports qui révèlent les tendances en matière de risque, l'état et les exceptions au comportement habituel pour les fournisseurs individuels ou les groupes avec des informations d'apprentissage automatique intégrées. Grâce à cette fonctionnalité, les équipes peuvent rapidement identifier les valeurs aberrantes dans les évaluations, les tâches, les risques, etc. qui pourraient justifier une enquête plus approfondie. En savoir plus sur notre solution d'intégration des fournisseurs et notre solution de notation des risques inhérents.

  • Évaluation et surveillance : Grâce à la plateforme Prevalent , les équipes de gestion de la sécurité et des risques peuvent assigner manuellement les tâches liées à la gestion des évaluations, ou utiliser une bibliothèque pré-packagée d'ActiveRules pour automatiser une série de tâches normalement exécutées dans le cadre des processus d'évaluation et de révision - comme la mise à jour des profils des fournisseurs et des attributs de risque, l'envoi de notifications ou l'activation du flux de travail - en utilisant la logique "si cela, alors cela". En savoir plus sur notre solution d'évaluation des risques et notre solution de surveillance continue.

  • Gestion des SLA et des performances : La plateforme Prevalent permet aux équipes de gestion des fournisseurs d'établir des exigences à suivre et de centraliser les rapports sur les SLA et les performances par rapport à ces exigences, grâce à un tableau de bord unique de rapports et d'analyses. En savoir plus sur notre solution de gestion des SLA et des performances.

  • Désintégration et résiliation : La plateforme Prevalent s'appuie sur des enquêtes et des flux de travail personnalisables pour rendre compte de l'accès au système, de la destruction des données, de la gestion de l'accès, du respect de toutes les lois applicables, des paiements finaux, etc. lors de l'externalisation. Découvrez notre solution d'exclusion des fournisseurs.

P6.4 : L'entité obtient des engagements en matière de protection de la vie privée de la part des fournisseurs et des autres tiers qui ont accès aux informations personnelles afin d'atteindre les objectifs de l'entité en matière de protection de la vie privée. L'entité évalue la conformité de ces parties de façon périodique et selon les besoins et prend des mesures correctives, si nécessaire.

Prevalent comprend des évaluations intégrées pour les réglementations de protection des données telles que GDPR, CCPA HIPAA et NYDFS. Les résultats de ces évaluations sont mis en correspondance dans un registre central des risques où les équipes de sécurité et de gestion des risques peuvent visualiser et prendre des mesures sur les risques potentiels pour les données et comparer les actions d'un fournisseur à ses obligations contractuelles.

La plateforme Prevalent comprend des conseils et des recommandations de remédiation intégrés. Les équipes de gestion de la sécurité et des risques peuvent communiquer efficacement avec les fournisseurs et coordonner les efforts de remédiation par le biais de la plate-forme, capturer et auditer les conversations, et enregistrer les dates d'achèvement estimées.

P6.5 : L'entité obtient des fournisseurs et autres tiers ayant accès aux informations personnelles qu'ils s'engagent à l'informer en cas de divulgation non autorisée réelle ou présumée d'informations personnelles. Ces notifications sont communiquées au personnel approprié et font l'objet d'une action conformément aux procédures de réponse aux incidents établies pour atteindre les objectifs de l'entité en matière de protection de la vie privée.

Leservice de réponse aux incidents de tiers Prevalent permet aux équipes de sécurité et de gestion des risques d'identifier et d'atténuer rapidement l'impact des incidents liés à la confidentialité des données en gérant de manière centralisée les fournisseurs, en effectuant des évaluations d'événements, en notant les risques identifiés et en accédant à des conseils de remédiation.

Aligner votre programme TPRM sur les normes ISO, NIST, SOC 2, etc.

Téléchargez ce guide pour passer en revue les exigences spécifiques de 11 autorités différentes en matière de cybersécurité, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.

Lire la suite
Ressources en vedette Manuel de conformité Cybersécurité

Aborder la SOC 2 avec Prevalent

Le rapport SOC 2 de l'AICPA est un cadre normalisé permettant aux sociétés de services informatiques d'évaluer leurs contrôles sur les données de leurs clients. Étant donné que certaines organisations qui manquent de ressources internes pour répondre aux évaluations de sécurité fournissent un rapport SOC 2 à leurs clients à la place, il peut être long et complexe pour les équipes de faire correspondre les résultats du rapport SOC 2 à une solution de gestion des risques pour un suivi adéquat des risques.

Grâce à Prevalent, vous pouvez répondre aux exigences de gestion des risques liés aux tiers de la norme SOC 2 :

  • Évaluation des tiers à l'aide d'un questionnaire complet basé sur SOC 2
  • Génération automatique d'un registre des risques à l'issue de l'enquête afin d'identifier les domaines de préoccupation potentiels.
  • Création d'une piste d'audit permettant de relier la documentation et les preuves aux risques et aux fournisseurs.
  • Rapports sur la conformité à la norme SOC 2

Nous proposons également un service d'analyse des exceptions SOC 2, qui est un service géré fourni par le Risk Operations Center (ROC) de Prevalent et qui transpose les exceptions de contrôle du rapport SOC 2 en risques dans la plateforme de gestion des risques des tiers Prevalent . Le registre des risques unifié qui en résulte permet de coordonner la réponse aux risques et la remédiation selon une approche standardisée et garantit que vous disposez d'un profil complet de tous les fournisseurs - même pour ceux qui soumettent un rapport SOC 2 au lieu d'une évaluation complète de la sécurité.

Pour en savoir plus, visitez notre page sur les solutions SOC 2 ou demandez une démonstration dès aujourd'hui.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo