D6-05 7–9 分钟 重要程度:中

SOC、SSAE 18 与第三方保证报告

服务组织控制报告用于减少重复第三方评估;SOC 1 关注财务报告,SOC 2 关注安全与隐私且通常保密,SOC 3 面向公开披露。

一、必须记住

  • SSAE 18 是外部鉴证标准,常作为 SOC 报告框架的一部分。
  • SOC 1 评估可能影响财务报告准确性的控制。
  • SOC 2 评估安全性、可用性、处理完整性、机密性和隐私等 Trust Services Criteria,报告通常保密并在 NDA 下共享。
  • SOC 3 关注类似信任服务主题,但报告设计为公开披露。
  • Type I 报告关注某一时间点的控制描述和设计适当性。
  • Type II 报告还关注控制运营有效性,并覆盖一段期间,通常至少六个月。
  • SOC 报告不代表服务商没有风险,仍需供应商风险管理和补充控制。

二、核心概念

为什么需要 SOC

云服务和外包服务商可能被许多客户要求审查。SOC 报告允许服务组织接受一次独立评估,再把报告分享给客户和潜在客户,减少重复审计。

SOC 1、SOC 2、SOC 3

SOC 1 与客户财务报告相关控制有关;SOC 2 适合评估安全、隐私和系统控制,通常不公开;SOC 3 是较简化、可公开传播的报告。

Type I 与 Type II

Type I 像时间点文件和设计审查,说明控制是否设计适当。Type II 更强,因为审计员还测试控制在一段期间内是否实际运行有效。

三、CISSP 判断规则

  • 问“影响财务报告”,选 SOC 1。
  • 问“安全、隐私、机密性且 NDA 下共享”,选 SOC 2。
  • 问“公开给大众的保证报告”,选 SOC 3。
  • 问“某一时间点设计适当性”,选 Type I。
  • 问“一段期间运营有效性”,选 Type II。

四、常见陷阱

  • SOC 2 不是公开营销报告;公开披露通常是 SOC 3。
  • Type I 不能证明控制在六个月内持续有效。
  • SSAE 18 不规定具体控制清单,而是提供鉴证标准和报告框架。

五、英文关键字

SSAE 18 (鉴证业务标准声明第 18 号) SOC 1 (服务组织控制一型) SOC 2 (服务组织控制二型) SOC 3 (服务组织控制三型) Type I report (第一类报告) Type II report (第二类报告) Trust Services Criteria NDA Third-party assurance Service organization

小测验

1. 客户想评估云服务商安全和隐私控制,且报告通常只在 NDA 下共享,应要求?

SOC 2 关注安全、可用性、处理完整性、机密性和隐私等主题,通常保密共享。

2. 报告只说明某一时间点控制设计是否适当,属于?

Type I 是时间点报告;Type II 还测试一段期间内的运营有效性。

3. 可公开披露、面向较广泛读者的服务组织控制报告通常是?

SOC 3 设计为公开披露;SOC 2 通常较详细且受保密限制。

本节进度

完成后会保存在当前浏览器。线上版可保存;不同手机、平板之间暂不自动同步。

尚未完成