SOC 2®-服务组织的SOC:信任服务标准

服务组织的控制报告 安全性、可用性、处理完整性、机密性或私密性

这些报告旨在满足广大用户的需求,这些用户需要关于服务组织与安全相关的控制的详细信息和保证, 可用性, 服务组织用于处理用户数据的系统的处理完整性以及由这些系统处理的信息的保密性和私密性.

 

这些报告可以在以下方面发挥重要作用:

面向的用户:

  • 组织的监督
  • 供应商管理程序
  • 公司内部管治及风险管理程序
  • 监管
那些具备理解报告所需知识的人,例如.g.:

  • 服务组织的管理
  • 用户实体
  • 用户审计
  • 监管机构

 

SOC 2是一个 评价 而且 报告 框架.  它是 合规框架.  这意味着SOC 2报告为管理层提供了很大的灵活性,以便识别和呈现关于系统和客户所需的控制的信息, 而不是遵从性框架所要求的.  这就是SOC 2检查报告在市场上如此独特和重要的原因.

 

SOC 2检查报告包括以下三个关键部分:

1. 管理层的断言

与所有SOC报告一样,断言由管理层提供. 具体来说,断言处理是否

(a)系统及控制的描述是按照描述准则提出及

(b)组织的系统描述内的控制对于实现基于控制目标的组织的系统目标是有效的.

2. 医生的报告

第二部分是从业者报告, 其中包含了一种观点, 哪一项涵盖了考试的两个科目. 具体来说,该意见涉及是否

(a)系统及控制的描述是按照描述准则提出及

(b)根据基于准则的控制目标,组织的系统描述内的控制对实现组织的系统目标是有效的.

3. 管理层对服务组织的服务体系的描述

管理描述提供所报告系统的详细信息,并包括边界, 基础设施, 控制, 承诺, 和其他系统信息. 本节所包含的任何内容都应该能够通过审计来实现基于标准的服务承诺和系统需求.

描述为用户理解结论提供了所需的上下文, 管理层在其断言中表达,从业人员在其报告中表达.

4. 信任服务标准、控制、审计人员对控制的测试和测试结果

通常显示以下信息列:

适用于范围内类别的信任服务标准
在服务组织中实施控制,以实现基于标准的服务承诺和系统需求
审计人员对控件的测试(仅为类型2)
测试结果(仅第2类)

 

SOC 2报告有两种类型:

  • 2型 -报告管理层对服务组织系统的描述的陈述是否公正,以及控制的设计和运作有效性是否适宜,以在整个指定期间内实现描述中所列的有关控制目标.
  • 1型 -报告管理层对服务组织系统的描述的陈述是否公正,以及控制设计是否适宜,以在指定日期前实现描述中所列的有关控制目标.

这些报告的使用仅限于服务组织的管理, 用户实体, 用户审计, 和监管机构.

 

完美体育今天就开始吧.  完美体育随时准备帮助您的组织完成SOC 2考试.  联系本猎人 III, CPA/CITP, CISA, CRISC, CDPSE, CISM (336).294.4494 (bhunter@nitcointernational.com)开始今天的工作.

 

本猎人

本·亨特,三世 CISO,咨询服务负责人,CPA/CITP, CISA, CRISC, CDPSE, CISM

Ben是完美体育的首席信息安全官,也是完美体育公司风险咨询服务实践的高级经理. 他专注于网络安全和信息技术审计和评估. 本在美国海军陆战队开始了他的网络安全职业生涯. 成为注册会计师后,他继续从事网络安全和IT审计工作[…]