Entry № 1183
SOC 2
SOC 2 是什么?
SOC 2由 AICPA 制定的鉴证标准,由独立审计师依据 Trust Services Criteria 评估服务型组织的控制措施。
SOC 2(System and Organization Controls 2)是美国注册会计师协会(AICPA)依据 SSAE 18 标准定义的鉴证业务。它针对 Trust Services Criteria 评估服务型组织的控制措施,五项准则包括:安全性(必选)、可用性、处理完整性、保密性和隐私。报告分为两类:Type 1(在某一时点对控制设计进行评价)与 Type 2(评估一段时期内(通常 3 至 12 个月)控制运行的有效性)。SaaS、云和托管服务厂商常以 SOC 2 报告(在 NDA 下提供给客户)来展示其控制成熟度。SOC 2 并非认证,最终结果是审计师在 SOC 2 报告中出具的意见。
● 示例
- 01
SaaS 初创公司在首个审计年完成涵盖安全性和保密性的 SOC 2 Type 1 报告。
- 02
企业级供应商每年向客户提供涵盖安全性和可用性的 SOC 2 Type 2 报告。
● 常见问题
SOC 2 是什么?
由 AICPA 制定的鉴证标准,由独立审计师依据 Trust Services Criteria 评估服务型组织的控制措施。 它属于网络安全的 合规与框架 分类。
SOC 2 是什么意思?
由 AICPA 制定的鉴证标准,由独立审计师依据 Trust Services Criteria 评估服务型组织的控制措施。
如何防御 SOC 2?
针对 SOC 2 的防御通常结合技术控制与运营实践,详见上方完整定义。
SOC 2 还有哪些其他名称?
常见的别称包括: 服务组织控制 2。