Ce billet passe en revue les considérations relatives à la gestion des risques liés aux tiers dans le cadre de la norme AICPA SOC 2, et explique comment vous pouvez répondre aux exigences de la norme SOC en combinant l'évaluation des risques liés aux fournisseurs et la surveillance des tiers.
Le comité exécutif des services d'assurance (ASEC) de l'American Institute of Certified Public Accountants (AICPA) a élaboré des critères de services de confiance que les organisations peuvent utiliser comme cadre pour démontrer la confidentialité, l'intégrité et la disponibilité des systèmes et des données.
Les organisations familiarisées avec les audits SOC (System and Organization Control) 2 reconnaîtront que ces critères de services de confiance sont utilisés pour rendre compte de l'efficacité de leurs contrôles internes et de leurs sauvegardes sur l'infrastructure, les logiciels, les personnes, les procédures et les données.
Les audits SOC 2 fournissent une vue d'ensemble des catégories de services fiduciaires suivantes de l'AICPA :
Une fois l'audit des contrôles terminé, les résultats peuvent inclure deux types de rapports :
Les organisations de divers secteurs d'activité utilisent les rapports SOC 2 pour faire preuve de diligence raisonnable auprès de leurs clients, se démarquer de leurs concurrents par leur niveau de sécurité ou être proactifs avec les auditeurs en mesurant la conformité aux réglementations sur la protection des données.
Liste de contrôle de la conformité des tiers à la norme SOC 2
Cette liste de contrôle complète vous aidera à simplifier vos évaluations des contrôles de tiers par rapport à la norme AICPA SOC 2.
Prevalent Les solutions de gestion des risques des tiers peuvent vous permettre de répondre aux critères suivants des services de confiance :
CC2.3 : L'entité communique avec les parties externes sur les questions affectant le fonctionnement du contrôle interne. |
Laplateforme de gestion des risques des tiers (TPRM) Prevalent gère de manière centralisée le dialogue sur les risques, les rapports et les mesures correctives entre les organisations et leurs vendeurs, fournisseurs et partenaires tiers. En outre, la plate-forme permet de stocker des rapports, des documents de politique, des contrats et des preuves à l'appui en vue d'un dialogue, d'une attestation et d'un partage. Ensemble, ces fonctionnalités permettent aux organisations de disposer d'un référentiel unique pour visualiser et gérer les risques, la documentation relative aux fournisseurs et les mesures correctives. |
CC3.2 : L'entité identifie les risques pour la réalisation de ses objectifs dans l'ensemble de l'entité et analyse les risques afin de déterminer comment les gérer. |
La plateforme TPRM Prevalent permet aux entreprises d'automatiser les tâches essentielles requises pour évaluer, gérer, surveiller en permanence et corriger les risques liés à la sécurité, à la confidentialité, à la conformité, à la chaîne d'approvisionnement et aux achats des tiers à chaque étape du cycle de vie des fournisseurs, de l'intégration à l'exclusion. La solution permet d'effectuer et de gérer des évaluations ponctuelles des risques à l'aide de plus de 125 modèles différents, d'analyser les résultats et de surveiller en permanence les risques liés aux tiers ( cyber), les risques commerciaux, financiers et de réputation, afin d'obtenir une vue d'ensemble des tiers. Des modèles de rapports intégrés permettent aux équipes de sécurité et de gestion des risques de communiquer les résultats de l'évaluation des risques aux dirigeants et aux autres décideurs et parties prenantes. |
CC3.4 : L'entité identifie et évalue les changements qui pourraient avoir un impact significatif sur le système de contrôle interne. |
La plateforme Prevalent s'appuie sur des enquêtes et des flux de travail personnalisables pour rendre compte de l'accès au système, de la destruction des données, de la gestion de l'accès, de la conformité à toutes les lois pertinentes, des paiements finaux, et plus encore pendant l'externalisation, afin de garantir que les responsabilités évoluent au fur et à mesure que les accords changent. En outre, Prevalent propose Contract Essentials, une solution qui centralise la distribution, la discussion, la conservation et la révision des contrats des fournisseurs. Elle inclut des fonctionnalités de workflow pour automatiser le cycle de vie des contrats, de l'entrée à la sortie. |
CC9.2 : L'entité évalue et gère les risques liés aux fournisseurs et aux partenaires commerciaux. |
CC9.2 : L'entité évalue et gère les risques associés aux fournisseurs et aux partenaires commerciaux. La plateforme Prevalent permet aux entreprises d'automatiser les tâches essentielles requises pour évaluer, gérer, surveiller en permanence et corriger les risques liés à la sécurité, à la confidentialité, à la conformité, à la chaîne d'approvisionnement et aux achats des tiers à chaque étape du cycle de vie des fournisseurs, de l'intégration à l'exclusion :
|
P6.4 : L'entité obtient des engagements en matière de protection de la vie privée de la part des fournisseurs et des autres tiers qui ont accès aux informations personnelles afin d'atteindre les objectifs de l'entité en matière de protection de la vie privée. L'entité évalue la conformité de ces parties de façon périodique et selon les besoins et prend des mesures correctives, si nécessaire. |
Prevalent comprend des évaluations intégrées pour les réglementations de protection des données telles que GDPR, CCPA HIPAA et NYDFS. Les résultats de ces évaluations sont mis en correspondance dans un registre central des risques où les équipes de sécurité et de gestion des risques peuvent visualiser et prendre des mesures sur les risques potentiels pour les données et comparer les actions d'un fournisseur à ses obligations contractuelles. La plateforme Prevalent comprend des conseils et des recommandations de remédiation intégrés. Les équipes de gestion de la sécurité et des risques peuvent communiquer efficacement avec les fournisseurs et coordonner les efforts de remédiation par le biais de la plate-forme, capturer et auditer les conversations, et enregistrer les dates d'achèvement estimées. |
P6.5 : L'entité obtient des fournisseurs et autres tiers ayant accès aux informations personnelles qu'ils s'engagent à l'informer en cas de divulgation non autorisée réelle ou présumée d'informations personnelles. Ces notifications sont communiquées au personnel approprié et font l'objet d'une action conformément aux procédures de réponse aux incidents établies pour atteindre les objectifs de l'entité en matière de protection de la vie privée. |
Leservice de réponse aux incidents de tiers Prevalent permet aux équipes de sécurité et de gestion des risques d'identifier et d'atténuer rapidement l'impact des incidents liés à la confidentialité des données en gérant de manière centralisée les fournisseurs, en effectuant des évaluations d'événements, en notant les risques identifiés et en accédant à des conseils de remédiation. |
Aligner votre programme TPRM sur les normes ISO, NIST, SOC 2, etc.
Téléchargez ce guide pour passer en revue les exigences spécifiques de 11 autorités différentes en matière de cybersécurité, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.
Le rapport SOC 2 de l'AICPA est un cadre normalisé permettant aux sociétés de services informatiques d'évaluer leurs contrôles sur les données de leurs clients. Étant donné que certaines organisations qui manquent de ressources internes pour répondre aux évaluations de sécurité fournissent un rapport SOC 2 à leurs clients à la place, il peut être long et complexe pour les équipes de faire correspondre les résultats du rapport SOC 2 à une solution de gestion des risques pour un suivi adéquat des risques.
Grâce à Prevalent, vous pouvez répondre aux exigences de gestion des risques liés aux tiers de la norme SOC 2 :
Nous proposons également un service d'analyse des exceptions SOC 2, qui est un service géré fourni par le Risk Operations Center (ROC) de Prevalent et qui transpose les exceptions de contrôle du rapport SOC 2 en risques dans la plateforme de gestion des risques des tiers Prevalent . Le registre des risques unifié qui en résulte permet de coordonner la réponse aux risques et la remédiation selon une approche standardisée et garantit que vous disposez d'un profil complet de tous les fournisseurs - même pour ceux qui soumettent un rapport SOC 2 au lieu d'une évaluation complète de la sécurité.
Pour en savoir plus, visitez notre page sur les solutions SOC 2 ou demandez une démonstration dès aujourd'hui.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024