SOC2 (ISAE3000) atesteerimine

Lisaks eelnevale on organisatsiooni infoturbe taset määrata ka usaldusväärsete rahvusvaheliste standardite abil – „Rahvusvaheline kindlustandvate töövõttude standard“ (ingl k International Standard on Assurance Engagements, ISAE) või „teenindusettevõtte kontrollimehhanismide“ (ingl k Service Organization Controls, SOC) aruanne. ISAE või SOC standarditega seotud töövõtu käigus viib välisaudiitor (nt KPMG) läbi hindamise, mille põhjal koostab ametliku, struktureeritud kindlustandva töövõtu aruande, mida organisatsioon saab edaspidi teatud nõuete piires esitada oma klientidele ja teistele huvitatud isikutele.

ISO 27001 sertifikaadiga võrreldes annavad ISAE ja SOC alusel koostatud aruanded põhjalikuma ülevaate teenusepakkujate poolt partnerite ja klientide andmete kaitsmiseks rakendatud turvameetmetest.

SOC aruandeid kasutavad peamiselt USA turul tegutsevad kliendid või partnerid, kes soovivad saada kindlust, et nende andmed on teenusepakkuja poolt nõuetekohaselt turvatud. ISAE kasutamine on rohkem levinud EL-is asuvate ettevõtete seas.

ISAE 3000-t kasutatakse kindlustandvate teenuste pakkumisel finantsilisi näitajaid mittesisaldava informatsiooni suhtes. Selle standardi alusel on võimalik käsitleda paljusid teemasid alates organisatsiooni jätkusuutlikkusest või valitsemisest kuni infoturbeni. Sõltuvalt teemast valitakse ka hindamiseks vajalikud kriteeriumid. Infoturbe seisukohast on kõige sagedasemad kontrollivaldkonnad tehnilised IT turvameetmed, teenuse kättesaadavus, toimepidevus ja konfidentsiaalsus.

ISAE 3000 alusel koostatakse kahte tüüpi aruandeid:

• ühte tüüpi aruanne annab kindluse kontrollimehhanismide kavandamise ja rakendamise kohta teatud kuupäeva seisuga ja
•  teist tüüpi aruanne annab kindluse kontrollimehhanismide kavandamise, rakendamise ja jätkuva tõhususe kohta teatud ajavahemikul, tavaliselt ühe aasta jooksul.

Infoturbe valdkonnas on kasutatakse kõige sagedamini „usaldusteenuste kriteeriume“ (ingl k Trust Services Criteria 2017, TSC), mille kehtestas aastal 2017 „Ameerika Atesteeritud Raamatupidajate Instituut“ (ingl k American Institute of Certified Public Accountants, AICPA). Nimetatud kriteeriumite valiku kõige olulisemaks põhjuseks on nende vastavus USA-s tavakasutuses olevatele SOC 2 nõuetele. Samuti ühilduvad usaldusteenuste kriteeriumid hästi muude tavaliste sisekontrolli raamistikega (nt COSO).

ISAE 3000 aruannetest on üldjuhul enim huvitatud organisatsiooni olemasolevad ja võimalikud tulevased kliendid ning äripartnerid. Samuti võivad ISAE 3000 aruannete vastu teatud juhtudel huvi tunda ka reguleerivad asutused.

Kui pakute raamatupidamis- või finantsinformatsiooniga seotud teenuseid, võib teie organisatsiooni jaoks paremini sobida ISAE 3402 – finantsaruandluse sisekontrollisüsteemi hindamiseks mõeldud standard. Nimetatud standardiga seotud töövõtud käsitlevad tavaliselt finantskontrolli valdkonda, näiteks palgaarvestust, kuid neid võib piiratud ulatuses rakendada ka infoturbele.

Sarnaselt ISAE 3000-le koostatakse ka ISAE 3402 töövõtu tulemusena kahte tüüpi aruandeid, mis annavad hinnangu olukorrale kas teatud kuupäeva seisuga või kindla ajavahemiku jooksul.

ISAE 3402 aruannete vastu tunnevad üldjuhul huvi teenusepakkuja kliendid ja nende finantsaudiitorid.

Mõne väikese erinevusega on USA-s kasutusel olev SOC aruanne samaväärne ELis rakendatava ISAE aruandega. Kindlustandva töövõtu üldine protseduur on SOC ja ISAE kindlustandvate töövõttude korral sama – välisaudiitor viib läbi hindamise ja esitab aruande. Peamine erinevus tuleneb asjaolust, et SOC aruande koostamine eeldab USA-s atesteeritud raamatupidaja (CPA) kaasamist olulisel määral, mis põhjustab märkimisväärset kulude kasvu Euroopas asuvatele ettevõtetele.

Eeldusel et töövõtu teostamiseks on valitud õiged kriteeriumid, sarnaneb ISAE 3000 või ISAE 3402 kindlustandva töövõtu aruanne suuresti SOC aruandega ja on üldjuhul piisav selle asendamiseks. KPMG eksperdid omavad kogemusi kümnete ISAE-ga seotud töövõttude teostamise ja aruannete koostamisega Soome ja Eesti ettevõtetest klientidele, kellest paljud on aruandeid edukalt kasutanud oma äritegevuses ka USA-s asuvate klientidega.

SOC 1 aruanne keskendub finantsinformatsiooni sisekontrollile, sarnanedes enim ISAE 3402-le. SOC 2 aruannet kasutatakse, sarnaselt ISAE 3000-le, finantsinformatsiooniga mitteseotud töövõttude teostamiseks. SOC 3 aruande näol on tegemist kahe eespool nimetatud töövõtu kokkuvõtliku kindlustandva aruandega, mida saab jagada ka laiema avalikkusega, näiteks organisatsiooni veebilehel.

Enne töö alustamist on oluline omada ülevaadet organisatsioonis hinnatava valdkonna küpsustasemest. Ettevõttel tuleks oma protsessid ja süsteemid infoturbe seisukohalt üle vaadata ja tuvastada neis esinevad puudused. Kui olukord jääb ebaselgeks, võib töövõttu alustada puudujääkide analüüsiga, et teha kindlaks peamised arenguvajadused enne tegeliku hindamisprotseduuri läbiviimist kolme kuni kuue kuu möödumisel.

Kindlustandev töövõtt algab põhjaliku planeerimisega, määrates kindlaks töö ulatuse ja piirangud, samuti töö peamised läbiviijad ja tähtajad. Planeerimine kestab tavaliselt üks kuni kaks nädalat.

Planeerimisele järgneb andmete kogumine, mis hõlmab teemaga seotud intervjuude läbiviimist ja dokumentatsiooni ülevaatust. Andmekogumine on töövõtu kõige aeganõudvam etapp, võttes tavaliselt aega kaks kuni kaheksa nädalat, ning eeldab ka auditeeritava organisatsiooni töötajate märkimisväärset osalust.

Andmekogumise lõppedes vormistatakse tulemused kindlustandva töövõtu aruandena, mille koostamisele koos kvaliteedi tagamiseks vajalike tegevustega kulub kaks kuni neli nädalat. See etapp nõuab ka organisatsiooni juhtkonna mõningast kaasamist, kuid vajatav panus on oluliselt väiksem kui andmekogumise etapis.

ISAE kindlustandva töövõtu peamine tulem on töövõtu aruanne, milles välisaudiitor annab hinnangu olukorrale kas juba möödunud kindla kuupäeva seisuga või teatud ajavahemiku jooksul. Seejuures on oluline mõista, et kindlustandva töövõtu aruanne ei sisalda käsitletava teema kohta mingeid prognoose ega hinnanguid tulevikuks. Samuti ei ole võimalik anda absoluutset garantiid, et aruandes ei esine väärkajastamisi või et sellest ei ole välja jäänud intsidente – infoturbe valdkonnas ei ole see lihtsalt võimalik. Põhjendatud või piiratud kindluse andmine on võtmesõnad, mis esinevad igas aruandes.

Sellest hoolimata on maineka välisaudiitori poolt põhjalikult teostatud ISAE töövõtu aruanne laialdaselt tunnustatud võimalus näidata ühtsele standardile tuginedes oma klientidele ja äripartneritele, et organisatsioonis pööratakse käsitletavale teemale küllaldast tähelepanu.

ISAE-ga seotud töövõtud haakuvad hästi ka ISO 27001 sertifitseerimisega. KPMG-l on teenuse osutamiseks ainulaadsed võimalused – tegemist on audiitorettevõttega, kes pakub ka infoturbe juhtimissüsteemi sertifitseerimise teenust vastavalt ISO 27001 standardile. Meie saame aidata teil saavutada eesmärke, mille abil täidate oma partnerite ja klientide ootusi nii ELis kui ka USAs, tehes seejuures vähem tööd väiksemate kuluga.