系统和组织控制 (SOC) 1 类型 2
SOC 1 类型 2 概述
服务组织的系统和组织控制 (SOC) 是由美国注册会计师协会 (AICPA) 创建的内部控制报告。 它们旨在检查服务组织提供的服务,以便最终用户能够评估和解决与外包服务相关的风险。
SOC 1 类型 2 证明是根据以下标准执行:
- SSAE 第 18 号证明标准:澄清和重新编码,其中包括 AT-C 第 320 节, 报告与用户实体对财务报告 (AICPA 的内部控制相关的服务组织的控制检查 ,专业标准) 。
- SOC 1 对与用户实体财务报告的内部控制相关的服务组织中的控制检查进行报告(AICPA 指南)。
除了 AICPA 关于证明协定标准声明 18 (SSAE 18) 外,Office 365 SOC 1 类型 2 审核是根据国际保障协定标准第 3402 号 (ISAE 3402) 进行的。 SOC 1 证明已取代 SAS 70,它适用于报告与用户实体对财务报告的内部控制相关的服务组织的控制。 类型 2 报告包括审核员对控制有效性的意见,以便在指定的监视期间实现相关的控制目标。
Microsoft 范围内的云平台和云服务
Azure SOC 1 类型 2 证明报告中显示了范围内的 Microsoft 联机服务:
- 有关详细见解的 Azure (,请参阅 Microsoft Azure 合规性产品/服务)
- Azure DevOps (请参阅单独的 Azure DevOps SOC 1 类型 2 证明报告)
- 有关详细见解Dynamics 365 (,请参阅 Azure SOC 1 类型 2 证明报告)
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Forms Pro
- Microsoft Intune
- Microsoft 托管桌面
- Microsoft Stream
- Microsoft 威胁专家
- 提名门户
- Office 365、Office 365 美国政府版、Office 365 美国政府版 - 高级、Office 365 美国政府国防部版
- Power Apps
- Power Automate
- Power BI
- Power Virtual Agents
- 更新合规性
Azure, Dynamics 365, 和 SOC 1
有关 Azure、Dynamics 365 和其他联机服务合规性的详细信息,请参阅 Azure SOC 1 产品/服务。
Office 365 和 SOC 1
Office 365环境
Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。
本部分介绍以下Office 365环境:
- 客户端软件(客户端):客户设备上运行的商业客户端软件。
- Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
- Office 365 政府社区云 (GCC):Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
- Office 365 政府社区云 - 高 (GCC High):Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
- Office 365 DoD (DoD):Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。
使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。
你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。
Office 365 适用性和范围内的服务
使用下表确定 Office 365 服务和订阅的适用性:
适用性 | 范围内服务 |
---|---|
商业 | 合规性管理器、客户密码箱、Delve、Exchange Online Protection、Exchange Online、Forms、Griffin、Identity Manager、Lockbox (Torus) 、Microsoft Teams、MyAnalytics、Office 365 Customer Portal Office 365微服务 (包括但不限于 Kaizala、ObjectStore、Sway、PowerPoint Online 文档服务、查询注释服务、学校数据同步、虹吸管、语音、StaffHub、eXtensible Application Program) 、Office Online、Office Services 基础结构、OneDrive for Business、Planner、PowerApps、Power BI Project Online、使用 Microsoft Purview 客户密钥进行服务加密、SharePoint Online Skype for Business |
GCC | Microsoft Entra ID、合规性管理器、Delve、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 高级合规版 加载项Office 365安全 & 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream |
GCC 高级 | Microsoft Entra ID、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 高级合规版加载项、Office 365 Security & Compliance Center、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online Skype for Business |
DoD | Microsoft Entra ID、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 高级合规版加载项、Office 365 Security & Compliance Center、Office Online、Office Pro Plus、OneDrive for Business、Planner、Power BI、SharePoint Online Skype for Business |
Office 365 审核日志
- Office 365 Core - SSAE 18 SOC 1 报告
- 请参阅 bridge letter 和其他审核报告
必须拥有 Office 365 或 Office 365 美国政府版的现有订阅或免费试用帐户,才能根据需要下载 SOC 1 和 SOC 2 证明报告和任何bridge letter。
常见问题解答
Office 365 SOC 报告多久发布一次?
Microsoft 每年委托对Office 365进行完整的 SOC 1 类型 2 和 SOC 2 类型 2 检查。 审计师关于这些检查的报告 (也称为审计) 在审计后准备就绪后立即发出。 同时发布基于 SOC 2 检查的 SOC 3 报告。
由于 Microsoft 不控制审查的调查范围和审核员完成的时间范围,因此在发布这些报告时没有设置的时间范围。 报告通常在审查期结束后几个月后发表。 Microsoft 不允许在从一次考试到下一次的连续考试期间出现任何差距。
Microsoft 还委托对自上次 SOC 类型 2 审核以来发布的新 Microsoft 服务Office 365进行年中 SOC 1 类型 1 和 SOC 2 类型 1 检查。 类型 1 审核不会回顾一段时间的性能。
由于Office 365的复杂性质,如果作为一个整体进行检查,则服务范围很大。 这可能会导致由于缩放而导致考试完成延迟。 Microsoft 将前面介绍的所有考试分为 2 个类别:核心服务和微服务。 Microsoft 会发布一份范围限定为每次检查的报告。
SOC 类型 2 审核检查 12 个月的滚动 运行窗口 (也称为审核期或更正式 的绩效) ,每年对下一日历年的 1-10 月到 30-9 月期间进行一次检查。 完成性能期后,检查会立即开始。
Microsoft 还会发出桥接字母 (也称为 间隙字母) 。 这些是 Microsoft 的自我证明,而不是基于审核员检查的报告。 桥牌信在当前性能期间发出,但尚未完成并准备好接受审核检查。 Microsoft 在每个季度结束时都会发出桥牌信,以证明我们在前三个月期间的表现。 由于 SOC 类型 2 审核的运行期间,桥牌通知通常在当前运营期间的 12 月、3 月、6 月和 9 月发出。
客户如何从 Office 365 SOC 1 类型 2 证明中受益?
客户在遵循自己的特定金融行业合规性要求,如 Sarbanes-Oxley (SOX)、联邦金融机构检查委员会 (FFIEC)、Gramm-Leach-Bliley Act (GLBA) 等时,可以使用 Office 365 SOC 1 类型 2 证明。
在哪里可以获取Office 365 SOC 审核文档,包括 Microsoft 的桥牌信?
有关审核文档的链接,请参阅 服务信任门户的审核报告部分。 你必须在 Office 365 或 Office 365 美国政府中拥有现有的订阅或免费试用版帐户才能登录。 然后,可以下载审核证书、评估报告和其他适用文档,以帮助你满足自己的法规要求。
在哪里可以查看针对已记录的异常的管理响应?
大多数检查对所检查的一个或多个特定控制措施有一些观察。 预期会出现一些观察结果。 管理对任何异常的响应位于 SOC 证明报告末尾。 在文档中搜索“管理响应”。
在哪里可以查看用户实体责任?
如果整个系统要满足 SOC 2 控制标准,则用户实体责任是你的控制职责。 它们位于 SOC 证明报表的末尾。 在文档中搜索“用户实体责任”。
使用 Microsoft Purview 合规性管理器评估风险
Microsoft Purview 合规性管理器是Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况,并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估。