向下一家SOC 2审计公司提出的20个合同前问题
在SOC 2审核之前,您需要了解哪些信息?
到了SOC 2报告的时候, 在选择一家公司之前,有几件事你必须知道. 在签订合同前未能建立共同的期望可能会导致沟通不畅, 处理错误和, ultimately, 审计效率低下.
这就是为什么事先确定公司的方法是否适合你的组织是很重要的. 以下是20个问题和子问题,你可以在签约前问任何潜在的审计公司:
- 经验: 你们公司在SOC报告方面有什么经验? 在过去的一年里,你做了多少次,你能提供我们行业的推荐信吗?
- 行业经验: 你了解我们行业的细微差别吗?
- Scope: 你能帮我界定一下报告的范围吗? 哪些区域应该/不应该被覆盖,哪些控制将被测试?
- Team: 谁将领导这次订婚? 他们的资格、证书和经验是什么? 他/她会在整个订婚过程中成为专门的联系人吗?
- Resources: 你会利用任何分包商来执行合同吗? 如果是,它们位于何处,它们是否保持相同级别的安全控制?
- Timeline: 报告的预计时间是什么时候? 你能有多大的灵活性来满足我们的需求?
- 远程/现场你能远程执行整个订婚吗? 在效率和成本方面,这与现场工作相比如何?
- 沟通你最喜欢的通讯协议是什么? 如何传达调查结果?
- 问题解决: 如果在聘用过程中出现问题,你将如何帮助解决这些问题?
- Cost哪些因素决定了审计业务的成本? 是否有我们需要注意的潜在额外费用? 该报告在随后几年的成本是多少?
- 利益冲突你或你公司的任何人是否有任何利益冲突会损害你的独立性?
- 持续的监控:您是否提供任何持续监控bet9平台游戏或与任何工具/解决方案合作,以帮助我们保持合规性并有效地运行控制?
- Technology:贵公司如何跟上我们拥有或可能采用的新兴技术,以确保您能够胜任测试我们的控制?
- 数据保护你们公司是如何确保安全的, 可用性, 保密, Privacy, 以及数据处理的完整性? 你能提供处理我们数据的系统的SOC 2 Type 2报告吗?
- Approach你能给我们介绍一下你们的方法论和方法吗?
- 调查问卷这份报告最终会减少我们收到的安全调查问卷的数量吗?
- Results:当你也执行准备评估时,你发布带有保留意见或反对意见的报告的频率是多少?
- Future这份报告的有效期是多长? 你能帮我们写结业信吗? 续签手续是怎样的?
- Contract当前位置你能在合同中加入上述条款吗?
- The Closer有什么问题我们应该问而没有问?
一个伟大的SOC 2审计事务所应该是一个合作伙伴关系-不断发展的合作,以提高您的bet9平台游戏的安全性和可信度. 这些前期问题将帮助您建立成功的合作伙伴关系,并确保审计过程的彻底和有效.
这些问题大多适用于其他网络安全风险和合规bet9平台游戏, too, 如ISO 27001/2, PCI-DSS, NIST 800系列, CMMC, HIPAA, HITRUST, 隐私框架, 以及介于两者之间的一切.
施耐德倒下有何帮助?
如果您对SOC合规性、评估和准备情况有任何疑问,请bet9平台游戏 (电子邮件保护) 或浏览我们的 SOC page.
关于施耐德唐斯IT风险咨询
施耐德唐斯经验丰富的风险咨询专业团队专注于与您的组织合作,以识别并有效降低风险. 我们的目标不仅是了解与组织潜在损失相关的风险, 而是要推动为您的组织增加价值的解决方案,并就机会提供建议,以确保对您的业务造成最小的干扰.
要了解更多信息,请访问我们专门的 IT风险咨询 和第三方风险管理页面.