了解SOC 2审计

系统和组织控制(SOC) 2检查或“SOC 2审计”与支持关键业务流程或存储或处理客户信息的软件公司和服务组织相关. 以下是对SOC 2审核过程的概述，以及对常见问题的回答. Contact us 了解更多信息或安排一个免费的30分钟yibo亿博体育App与我们经验丰富的IT安全 & 合规团队..

谁需要SOC 2审计?

虽然法律上并不要求对SOC 2进行审计, 为企业客户提供软件或服务的公司, 收集敏感客户信息, 或者在高度监管的行业中，经常发现SOC 2审计对于面向潜在客户是必要的. 来自声誉良好的公司的SOC 2报告建立了与客户的信任和信心, 为寻求吸引广泛的高价值客户的公司提供市场差异化服务.

企业SaaS, FinTech, HealthTech, EdTech, 和人工智能公司, 以及安全运营中心, 主机提供商, 和数据中心是SOC 2审计的常见候选对象. Other signs that your company should consider a SOC 2 audit include: frequent requests to complete vendor security questionnaires; customer agreements that reference SOC 2, SSAE 18, or SSAE 16; difficulty navigating customer vendor management requirements; direct customer requests; or applicability of other security frameworks.

什么是SOC 2审核?

SOC 2审计流程的创建是为了通过建立一个可发布给最终用户的标准化报告，减轻服务提供商的审计负担. SOC 2的审核过程是基于 美国注册会计师协会(AICPA) 并根据行业、公司规模和IT架构为您的公司量身定制.

SOC 2审计重点关注您向客户提供的软件或服务的技术细节，以及支持平台安全性和可用性的信息技术控制, 底层基础设施, 和支持系统, 以及数据的安全性和保密性. Unlike SOC 1审计, 包括对财务控制和流程的评估, SOC 2审计在本质上更具技术性，并专门解决安全性问题, 可用性, integrity, privacy, 和机密性.

SOC 2报告涵盖了美国公共会计师协会(AICPA)定义的一个或多个信托服务类别-安全, 可用性, 处理完整性, 保密, and privacy. SOC 2考试总是包括安全性, 虽然可用性, 处理完整性, 保密, 隐私可以根据所提供的特定软件或服务以及客户的期望单独添加. 我们的IT安全 & 法规遵循团队还可以帮助您确定对您的组织最有意义的类别. 信托服务类别包括:

1. Security: Protection of information and systems against unauthorized access; disclosure of information; compromise of 可用性, integrity, 保密, or privacy; or other risks impacting the ability to support customer and meet company objectives
2. 可用性:根据客户合同和服务水平协议获取信息和系统
3. 处理完整性:完整、准确、及时和授权的系统处理
4. 保密:根据法律和客户要求对机密信息进行保护
5. Privacy:集合, use, retention, disclosure, 以及根据隐私政策处理个人信息, laws, 和客户需求

提供定期SOC 2审计的证据，告诉您的客户，他们的敏感信息是根据最新的信息安全标准保护的. 成功完成SOC 2审核后，公司可以轻松获得 SOC 3报告 更广泛地传达他们对安全的关注.

SOC 2审计流程

因为一个充满控制缺陷和失败的SOC 2报告弊大于利, SOC 2审计过程通常从SOC 2准备评估开始，以评估您的公司对接受SOC 2审计的准备情况. SOC 2就绪性评估提供了一种比较公司当前政策的方法, procedures, 和针对SOC 2要求的控制，并实施专门设计以满足SOC要求的内部控制，而不会过于繁重或耗时. 评估通常需要两周的时间，包括与相关团队成员的讨论, 内部业务审查, 观察系统构型.

每个信任服务类别包括一个标准列表，必须满足SOC 2要求. 例如，通过标准8在安全类别中处理变更管理.要求“实体授权”, designs, 开发或获得, configures, documents, tests, approves, 并实现对基础设施的更改, data, software, 以及实现其目标的程序.来确定你的组织是否遵守这些标准, SOC 2的审核过程包括与各小组成员进行讨论, 观察与安全相关的过程和程序, 以及控制活动的测试，以支持客户并保护他们的信息.

我们的团队成员精通冗长的SOC 2要求，并创建了针对每个组织定制的精简审计方法. 证据收集和协作软件以及简化的报告流程减少了过程中的浪费时间——让我们和您的团队专注于真正重要的活动.

SOC 2 Type 1和SOC 2 Type 2报告的区别

类型1和类型2报告之间的区别通常归结于时间框架和测试范围.

SOC 2第1类报告仅限于指定日期的设计测试(通常称为“一个测试”)，通常作为第一个SOC报告执行. 首先发布类型1报告并不是必需的，但通常是可取的，因为它允许公司更快地向客户或潜在客户发布SOC报告，并在完成类型2审计之前作为一个有效的“试运行”. 该报告详细说明了您组织的控制的设计，并确认了适用的过程, procedures, 控制是在某一特定日期实施的. SOC 2类型1报告不包括运行有效性测试, 您的组织控件的设计.

SOC 2类型2报告评估在一段时间内的相关过程和控制, 一般是6或12个月, 而不是具体日期. 这些报告包括对业务效力的测试, 包括在报告涵盖的时间范围内对相关控制进行基于样本的测试.  预计各公司将定期发布SOC 2 Type 2报告, 因为它们在性质上比SOC 2 Type 1报告更全面. ML的大部分&R SOC客户端通过以下服务获得SOC合规:

• SOC准备评估
• 1型报告
• 类型2 6或12个月后报告
• 类型2其后每年报告一次

它的安全 & 合规团队可以帮助您导航成为SOC 2认证的时间和过程.

多久进行一次SOC 2审核

一般而言，SOC 2 Type 1和SOC 2 Type 2报告有效期为12个月，自报告日期起计算. 至少每年应进行一次SOC 2审核. 在SOC 2 Type 1之后，公司也可以在更短的时间内发布SOC 2 Type 2报告, 比如6个月或9个月, 如果SOC 2 Type 2报告需要更快.

谁可以执行SOC 2审计

而SOC准备可以由一系列ITyibo亿博体育App公司执行, SOC审计只能由注册yibo亿博的持牌审计和IT专业人员执行, AICPA指定的认证.

SOC报告受到利益相关者的信任, customers, 以及审计员，因为他们遵循美国注册会计师协会(AICPA)建立的高标准，并且只由持有执照的个人执行, trained, 和独立. As a 提供全面服务的yibo亿博麦克斯韦洛克 & Ritter能够执行准备评估和审计/考试服务.

接触麦克斯韦洛克 & 里特了解更多信息

在Maxwell Locke经验丰富的团队的帮助下，确保有效的SOC 2审核过程 & Ritter. 今天yibo亿博 如欲了解更多信息，或与团队安排30分钟的免费yibo亿博体育App.