什麼是 SOC 2?
SOC 2 的要求由美國註冊會計師協會制定。 SOC 2 定義了基於五項“信任服務原則”的客戶數據管理標準—安全性、可用性、處理完整性、機密性和隱私性。
SOC 2 是系統和組織控制 2 報告。 一份 SOC 2 報告表明服務供應商通用的資訊保安控制已到位以保護所提供的服務。
SOC 2 不是認證
SOC 2 不是認證,而是由註冊會計師根據 AICPA(美國註冊會計師協會)編制的審計報告。 會計師事務所證明控制措施到位並且設計有效。
SOC 2 報告結構
- 獨立審計報告
- 管理層的主張
- 系統說明
- 審計師的控制測試和測試結果
SOC 2 Type1 報告和 SOC 2 Type 2 報告有什麼區別?
SOC 2 Type I 報告強調對服務組織的系統、相關控制目標以及控制在特定日期實現這些目標的適用性的描述,並代表審核員當時對您的系統的審查和批准;
SOC 2 Type 2報告不僅表明您了解必要的安全程序,而且還對控制措施的運行有效性進行了評估,以在幾個月的時間內實現控制目標。
