有关服务机构的控制报告 安全性,可用性,处理完整性,保密性或隐私
这些报告旨在满足广泛用户的需求,这些用户需要有关服务组织中与安全相关的控制的详细信息和保证, 可用性, 服务机构用于处理用户数据的系统的处理完整性以及这些系统处理的信息的保密性和隐私性.
这些报告可以在以下方面发挥重要作用: |
面向的用户: |
|
那些有必要的知识来理解报告的人,e.g.:
|
SOC 2是一个 评价 和 报告 框架. 它是 不 遵从性框架. 这意味着SOC 2报告为管理层提供了很大的灵活性,可以识别和呈现有关系统和客户所需控制的信息, 而不是遵从性框架所要求的. 这就是为什么SOC 2测试报告在市场上如此独特和重要.
SOC 2检查报告包括以下三个关键部分:
1. 管理层的断言
与所有SOC报告一样,断言是由管理层提供的. 具体地说,断言处理是否
(a)系统和控制的描述符合描述标准,并且
(b)组织体系描述中的控制是有效的,以实现组织基于控制目标的体系目标.
2. 医生的报告
第二部分是从业者的报告, 它包含了一个观点, 哪个在考试中涉及两个主题. 具体来说,该意见涉及是否
(a)系统和控制的描述符合描述标准,并且
(b)组织体系描述内的控制是有效的,以实现基于准则的控制目标为基础的组织体系目标.
3. 管理层对服务机构服务体系的描述
管理描述提供了所报告的系统的细节,并包括边界, 基础设施, 控制, 承诺, 以及其他系统信息. 本节中包含的任何内容都应该能够进行审计,以实现基于标准的服务承诺和系统要求.
描述提供了用户理解结论所需的上下文, 由管理层在其断言中表达,由从业者在其报告中表达.
4. 信托服务标准、控制措施、审计员对控制措施的测试和测试结果
通常显示以下几列信息:
范围内类别的适用信托服务标准
在服务机构中实施控制,以实现基于标准的服务承诺和系统要求
核数师对控制的测试(仅限第2类)
测试结果(仅限第2类)
1. 管理层的断言
与所有SOC报告一样,断言是由管理层提供的. 具体地说,断言处理是否
(a)系统和控制的描述符合描述标准,并且
(b)组织体系描述中的控制是有效的,以实现组织基于控制目标的体系目标.
2. 医生的报告
第二部分是从业者的报告, 它包含了一个观点, 哪个在考试中涉及两个主题. 具体来说,该意见涉及是否
(a)系统和控制的描述符合描述标准,并且
(b)组织体系描述内的控制是有效的,以实现基于准则的控制目标为基础的组织体系目标.
3. 管理层对服务机构服务体系的描述
管理描述提供了所报告的系统的细节,并包括边界, 基础设施, 控制, 承诺, 以及其他系统信息. 本节中包含的任何内容都应该能够进行审计,以实现基于标准的服务承诺和系统要求.
描述提供了用户理解结论所需的上下文, 由管理层在其断言中表达,由从业者在其报告中表达.
4. 信托服务标准、控制措施、审计员对控制措施的测试和测试结果
通常显示以下几列信息:
范围内类别的适用信托服务标准
在服务机构中实施控制,以实现基于标准的服务承诺和系统要求
核数师对控制的测试(仅限第2类)
测试结果(仅限第2类)
SOC 2报告有两种类型的报告:
- 2型 -报告管理层对服务机构体系描述的公平性,以及控制设计的适宜性和运行有效性,以在指定期间实现描述中包含的相关控制目标.
- 1型 -报告管理层对服务组织体系描述的公平性,以及控制设计的适用性,以在规定日期内实现描述中包含的相关控制目标.
这些报告的使用仅限于服务组织的管理, 用户实体, 用户审计, 和监管机构.
让十大堵博正规信誉网址从今天开始. BRC随时准备帮助您的组织完成SOC 2考试. 联系本猎人 III, CPA/ ctp, CISA, CRISC, CDPSE, CISM,电话:(336).294.4494 (bhunter@oj-motomachi.com)作为今天的开始.
本·亨特,三岁 CISO、咨询服务主管、CPA/ ctp、CISA、CRISC、CDPSE、CISM
Ben是BRC的首席信息安全官,也是十大堵博正规信誉网址公司风险咨询服务实践的负责人. 他专门从事网络安全和信息技术审计和评估. Ben在美国海军陆战队开始了他的网络安全生涯. 成为注册会计师后, 他继续他的网络安全和IT审计培训[…]