En checklista för ISAE 3402 | SOC 1-revision

ISAE 3402 | SOC 1 är standarden för outsourcing. De flesta organisationer outsourcar IT eller andra verksamheter till serviceorganisationer. Vid outsourcing är det avgörande att den serviceorganisation som tillhandahåller ICT-tjänster är pålitlig.

Tillförlitlighet kan delas in i flera aspekter: riskhantering, informationssäkerhet, sekretess, bedrägeribekämpning och kontinuitet. Standarden The ISAE 3402 | SOC 1 erbjuder omfattande möjligheter att rapportera om dessa aspekter och få rapporten granskad (certifierad) av en extern revisor.

Eftersom sammanställning av SOC-rapporter kan vara en komplex process där man måste jonglera med flera uppgifter, tycker många företag att det är praktiskt att använda en checklista för efterlevnad av ISAE 3402 | SOC 1 för att säkerställa att alla SOC-krav och ISAE 3402 | SOC 1-kontroller täcks:

1. Är ert företags organisationsstruktur definierad?
2. Har ni delegerat uppgiften att utarbeta policyer och rutiner till specifika medarbetare?
3. Vilka är era rutiner för bakgrundskontroll och uppförandekoder för anställda?
4. Förstår och lär sig medarbetare och andra intressenter hur de ska använda era system?
5. Finns det rutiner för att hantera förändringar i rätt tid och på ett effektivt sätt?
6. Har ni genomfört en formell riskbedömning för att identifiera, analysera och minska potentiella hot mot era system?
7. Utvärderar er organisation regelbundet leverantörsansvariga?
8. Utvärderar ni årligen alla policyer och rutiner och uppdaterar ni dem vid behov?
9. Har ni infört fysiska och logiska åtkomstkontroller?

Att ta sig tid att fylla i en checklista för ISAE 3402 | SOC 1-revision kan vara mycket användbart när ni organiserar era bevis som förberedelse för att arbeta med en revisor för er revision.