Faire rapport sur le programme de gestion des risques d’une entité en matière de cybersécurité

Dans un environnement de plus en plus complexe où le numérique est devenu omniprésent, la cybersécurité est un enjeu plus important que jamais.

Apprenez comment protéger l’organisation grâce au guide ne faisant pas autorité de CPA Canada sur le cadre d’information « System and Organization Controls for Cybersecurity » (SOC for Cybersecurity) de l’American Institute of Certified Public Accountants (AICPA), offert en anglais seulement sous le titre Reporting on an Entity’s Cybersecurity Risk Management Program and Controls - System and Organization Controls (SOC) for Cybersecurity. Ce guide, adapté à partir de celui de l’AICPA en vue de satisfaire aux normes canadiennes, s’adresse aux professionnels en exercice appelés à délivrer un rapport sur le programme de gestion des risques et les contrôles d’une entité en matière de cybersécurité.

Le guide comprend des critères de description et des critères de contrôle distincts, mais complémentaires, à utiliser dans le cadre de missions de certification relatives à la gestion des risques ou à l’état de préparation en matière de cybersécurité.

Parmi les sujets traités : 

• indications ne faisant pas autorité sur la réalisation d’une mission de certification relative à la gestion des risques en matière de cybersécurité, et sur la délivrance de rapports y afférents
• critères de description publiés en avril 2017 par l’Assurance Services Executive Committee (ASEC) de l’AICPA
• critères des services Trust de 2017, publiés en avril 2017 par l’ASEC (Trust Services Criteria)
• exemples de rapports sur la gestion des risques en matière de cybersécurité, y compris des exemples de rapports de mission de certification indépendante