有兩種類型的報告,SOC 2 和 SOC 3。但有一些關鍵區別:
報告類型:SOC 2 提供 I 類和 II 類報告。 SOC 3 報告始終為 II 類報告。
I 類報告的目的是描述服務機構在特定日期時實施的系統和控制措施,但不包括對一段時間內控制措施有效運行情況的測試。
而 II 類報告則描述了服務機構在特定期間內實施的系統和控制措施,並包括對該段時間內控制措施有效運行情況的詳細測試。
SOC 2 和 SOC 3 報告均遵循 AICPA 制定的 SSAE 18 標準。 這意味著兩份報告都涉及 AICAP 註冊的 CPA 審計和對公司資訊保安控制上進行大量測試。
SOC 2 Type 1 & Type 2 報告在(Service Organisation)服務供應商中很受歡迎。 SOC 2 Type 2 報告顯示瞭如何實施控制措施來保護客戶的需求。
SOC 3 類型 2 報告僅包含審計師的意見、管理層陳述和系統描述。
SOC 2 報告稱為限制使用報告。 SOC 報告僅適用於特定受眾。 客戶、服務組織管理或其他持分者將閱讀 SOC 2 報告。
由於SOC 3 Type 2 報告可以公開發放,所以服務供應商可以將 SOC 3 審計報告用於市場營銷目的。