系统与组织控制

美国注册会计师协会（英语：American Institute of Certified Public Accountants）（AICPA）定义的系统与组织控制（英语：System and Organization Controls，简称SOC；有时也称服务组织控制）是指随审计过程制成的一套报告。这套报告旨在供将信息系统作为服务提供给其他组织的组织（这被称为“服务组织”）向这些系统所服务的用户发布经过验证的这些信息系统之内部控制的报告。报告侧重的五类原则被称为信任服务原则（或准则）。^[1]AICPA审计标准《关于鉴证业务标准的声明第18号（英语：Statement on Standards for Attestation Engagements no. 18）》（SSAE 18），第320节，定义了类型1与类型2两个级别的报告。其他AICPA指南中则规定了三种报告类型：SOC 1、SOC 2和SOC 3。

信任服务原则

SOC报告重点关注被称为“信任服务原则”的五大类问题（其中问题有所重叠），以满足“CIA triad（机密性、完整性、可用性）”这三大要素的目标：^[1]

1. 安全性
   • 防火墙
   • 入侵检测
   • 多因素身份验证
2. 可用性
   • 性能监控
   • 灾难恢复
   • 事件处理
3. 机密性
   • 加密
   • 访问控制
   • 防火墙
4. 加工完整性
   • 质量保证
   • 过程监控
5. 隐私
   • 访问控制
   • 多因素身份验证
   • 加密

报告

级别

SSAE 18规定了两种SOC报告的级别：^[1]

• 类型I，描述了服务组织的系统以及特定的控制设计是否满足相关的信任原则。（设计和文档是否可能实现报告中定义的目标）
• 类型II，报告还涉及到特定的控制在一段时间（通常为9到12个月）内的运行有效性。（实施是否得当）

类型

SOC报告也被分为三种类型。^[2]

• SOC 1 — 财务报告内部控制（ICFR）^[3]
• SOC 2 — 信任服务指标^[4]
• SOC 3 — 一般用途的信任服务指标报告^[5]

此外，还有专门针对网络安全和供应链的SOC报告。

SOC 1和SOC 2报告是面向有限受众，尤其是对相关系统有充分了解的用户。SOC 3报告则较少包含具体信息，可以向一般公众分发。

参考资料

1. SOC 2 Compliance. imperva.com. Imperva. [25 February 2020]. （原始内容存档于2021-11-06）.
2. System and Organization Controls: SOC Suite of Services. AICPA. [2020-03-06]. （原始内容存档于2021-10-08） （英语）.
3. SOC 1 - SOC for Service Organizations: ICFR. AICPA. [2020-03-06]. （原始内容存档于2021-10-06） （英语）.
4. SOC 2® - SOC for Service Organizations: Trust Services Criteria. AICPA. [2020-03-06]. （原始内容存档于2021-10-12） （英语）.
5. SOC 3® SOC for Service Organizations: Trust Services Criteria for General Use Report. AICPA. [2020-03-06]. （原始内容存档于2021-10-11） （英语）.

外部链接

• "Statement on Standards for Attestation Engagements 18, Attestation Standards: Clarification and Recodification" （页面存档备份，存于互联网档案馆）（英文）, AICPA
• "Professional Standards", section AT-C 320 （页面存档备份，存于互联网档案馆）（英文）, AICPA