本文介绍了SOC认证的起源和发展,包括从SAS70到SSAE16的变化,以及SOC1、SOC2和SOC3三种不同类型的认证的区别。着重解释了它们在数据中心运营、安全和财务报告中的应用。
知名的搜索引擎搜关键字 soc认证,结果都是企业获取soc认证的新闻或者认证公司的介绍,很少能找到什么是soc认证的信息, 因此整理记录下:
2010年4月,美国注册会计师协会AICPA发表声明SSAE 16 (Statement on Standards for Attestation Engagements) 代替SAS 70 (Statement on Auditing Standard),虽然SAS 70 最初用户财务和会计审计,但SSAE 16的建立却是为了数据中心运营和安全的。
除了 SSAE 16 之外, 还建立了三个新的作为审查服务组织的控制的框架报告,命名为服务组织控制Service Organization Control (SOC) 报告。soc1 主要关注财务报告、 soc 2 和 soc 3 报告更关注于与安全、处理完整性、机密性或数据中心系统和信息的保密性相关的控件的预定义的标准化基准。SOC 2 检查数据中心测试和操作有效性的详细信息。
据 AICPA.org, 这些报告在以下方面时非常深入和有用的:
对本组织的监督
供应商管理计划
内部公司治理和风险管理流程
监管监督
SOC 3 是供公众使用的, 它提供了数据中心可以接收的最高级别的认证和操作卓越的保证。soc 2 报告包括审核员测试和结果, 而 soc 3 提供了系统描述和审核员的意见。每个报表类型的详细信息和使用情况如下:
| 报告 | 报告内容 | 使用者 |
| SOC1 | 财务报告的内部控制 | 用户审计员、用户控制办公室 |
| soc2 | 安全性、可用性、完整性、保密或者私有控制 | 监管机构和其他NDA |
| soc3 | 安全性、可用性、完整性、保密或者私有控制 | 公众 |
了解了soc1,soc2,soc3是什么之后,就可以理解阿里云获取了soc2认证的意思了,http://www.csdn.net/article/a/2016-06-30/15839124
扫一扫
823
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
