SOC 2®-服务机构SOC:信任服务标准

有关服务机构控制的报告 安全性,可用性,处理完整性,机密性或隐私

这些报告旨在满足广泛用户的需求,这些用户需要关于服务组织与安全相关的控制的详细信息和保证, 可用性, 服务机构用于处理用户数据的系统的处理完整性,以及这些系统处理的信息的保密性和私密性.

 

这些报告可以在以下方面发挥重要作用:

面向的用户:

  • 组织监督
  • 供应商管理程序
  • 内部公司治理和风险管理流程
  • 监管
那些有必要的知识来理解报告,例如.g.:

  • 服务机构的管理
  • 用户实体
  • 用户审计
  • 监管机构

 

SOC 2是一个 评价 而且 报告 框架.  它是 遵从性框架.  这意味着SOC 2报告为管理层提供了很大的灵活性,以识别和呈现客户所需的系统和控制信息, 而不是遵从性框架所要求的.  这就是SOC 2检查报告在市场上如此独特和重要的原因.

 

SOC 2检查报告包括以下三个关键部分:

1. 管理层的断言

与所有SOC报告一样,断言是由管理层提供的. 具体来说,断言处理是否

(a)系统及控制的描述是按照描述准则及

(b)组织体系描述内的控制是有效的,能够实现组织基于控制目标的体系目标.

2. 医生的报告

第二部分是从业者报告, 它包含了一个观点, 这两个科目都涉及到. 具体而言,该意见涉及是否

(a)系统及控制的描述是按照描述准则及

(b)组织体系描述内的控制是有效的,能够实现组织基于准则的控制目标的体系目标.

3. 管理层对服务组织的服务系统的描述

管理描述提供了所报告系统的详细信息,并包括边界, 基础设施, 控制, 承诺, 和其他系统信息. 本节中包含的任何内容都应该能够进行审计,以实现基于标准的服务承诺和系统需求.

描述提供了用户理解结论所需的上下文, 由管理层在其断言中表示,由从业者在其报告中表示.

4. 信托服务准则、控制、审计控制测试和测试结果

通常显示以下列的信息:

适用于范围内类别的信任服务标准
在服务组织实施控制,以实现基于标准的服务承诺和系统需求
核数师对控制措施的测试(只适用于第二类)
测试结果(仅第二类)

 

SOC 2报告有两种类型:

  • 2型 -报告管理层对服务组织体系描述的公正性,以及控制措施的设计和运行有效性,以在指定时期内实现描述中所包含的相关控制目标.
  • 1型 -报告管理层对服务组织体系描述的公正性,以及在指定日期前为实现描述中所包含的相关控制目标而设计的控制的适宜性.

这些报告的使用仅限于服务组织的管理, 用户实体, 用户审计, 和监管机构.

 

让银河国际官网App下载今天开始.  BRC随时准备帮助您的组织完成SOC 2考试.  联系本猎人 III, CPA/CITP, CISA, CRISC, CDPSE, CISM (336).294.4494 (bhunter@tyrantofterror.com)来开始今天的工作.

 

本猎人

本·亨特三世 CISO,咨询服务负责人,CPA/CITP, CISA, CRISC, CDPSE, CISM

Ben是BRC的首席信息安全官,也是银河国际官网App下载公司风险咨询服务实践的负责人. 他专注于网络安全和信息技术审计和评估. Ben在美国海军陆战队开始了他的网络安全生涯. 成为注册会计师后, 他继续他的网络安全和IT审计培训[…]