D6-05 7–9 分钟 重要程度:中
SOC、SSAE 18 与第三方保证报告
服务组织控制报告用于减少重复第三方评估;SOC 1 关注财务报告,SOC 2 关注安全与隐私且通常保密,SOC 3 面向公开披露。
一、必须记住
- SSAE 18 是外部鉴证标准,常作为 SOC 报告框架的一部分。
- SOC 1 评估可能影响财务报告准确性的控制。
- SOC 2 评估安全性、可用性、处理完整性、机密性和隐私等 Trust Services Criteria,报告通常保密并在 NDA 下共享。
- SOC 3 关注类似信任服务主题,但报告设计为公开披露。
- Type I 报告关注某一时间点的控制描述和设计适当性。
- Type II 报告还关注控制运营有效性,并覆盖一段期间,通常至少六个月。
- SOC 报告不代表服务商没有风险,仍需供应商风险管理和补充控制。
二、核心概念
为什么需要 SOC
云服务和外包服务商可能被许多客户要求审查。SOC 报告允许服务组织接受一次独立评估,再把报告分享给客户和潜在客户,减少重复审计。
SOC 1、SOC 2、SOC 3
SOC 1 与客户财务报告相关控制有关;SOC 2 适合评估安全、隐私和系统控制,通常不公开;SOC 3 是较简化、可公开传播的报告。
Type I 与 Type II
Type I 像时间点文件和设计审查,说明控制是否设计适当。Type II 更强,因为审计员还测试控制在一段期间内是否实际运行有效。
三、CISSP 判断规则
- 问“影响财务报告”,选 SOC 1。
- 问“安全、隐私、机密性且 NDA 下共享”,选 SOC 2。
- 问“公开给大众的保证报告”,选 SOC 3。
- 问“某一时间点设计适当性”,选 Type I。
- 问“一段期间运营有效性”,选 Type II。
四、常见陷阱
- SOC 2 不是公开营销报告;公开披露通常是 SOC 3。
- Type I 不能证明控制在六个月内持续有效。
- SSAE 18 不规定具体控制清单,而是提供鉴证标准和报告框架。
五、英文关键字
SSAE 18 (鉴证业务标准声明第 18 号) 定义:SOC 报告常用的外部鉴证标准。 SOC 1 (服务组织控制一型) 定义:关注可能影响客户财务报告的控制。 SOC 2 (服务组织控制二型) 定义:关注安全、可用性、处理完整性、机密性和隐私,通常保密共享。 SOC 3 (服务组织控制三型) 定义:面向公开披露的服务组织控制报告。 Type I report (第一类报告) 定义:说明某一时间点控制描述和设计适当性。 Type II report (第二类报告) 定义:测试一段期间内控制运营有效性。 Trust Services Criteria NDA Third-party assurance Service organization
小测验
1. 客户想评估云服务商安全和隐私控制,且报告通常只在 NDA 下共享,应要求?
SOC 2 关注安全、可用性、处理完整性、机密性和隐私等主题,通常保密共享。
2. 报告只说明某一时间点控制设计是否适当,属于?
Type I 是时间点报告;Type II 还测试一段期间内的运营有效性。
3. 可公开披露、面向较广泛读者的服务组织控制报告通常是?
SOC 3 设计为公开披露;SOC 2 通常较详细且受保密限制。
本节进度
完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。
尚未完成