信息系统审计报告之SOC

2.SOC

过去，SAS 70报告旨在协助服务机构的用户及其审计人员进行财务报表审计。现在，已经定义了三种类型的SOC报告，以取代SAS 70并解决更广泛的特定用户需求，例如解决安全性，隐私和可用性问题。此外，服务组织正在寻找更好的方式来提供对其控制环境的保证。

SOC报告最常见地涵盖了12个月的活动的设计和有效性，每年持续的覆盖率从财务报告或治理的角度来满足用户需求。在某些情况下，如果系统／服务没有运行一整年，或年度报告不足以满足用户需求，SOC报告可能会缩短较短的时间，例如六个月。SOC报告还可能仅涵盖新系统朋艮务的特定时间点的控制设计或系统／服务的初始检查（审核）。

告涵盖设计和运行有效性的时间段通常被称为“类型2”报告，而涉及设计的时间报告通常被称为“类型l”报告。例如，如果组织需要涵盖特定系统的安全性和可用性的一段时间报告，组织将从服务提供商请求SOC 2类型2安全和可用性报告。如果组织需要一段时间报告涵盖特定系统的ICOFR控制，组织将从服务提供商请求该系统的SOC 1类型2报告。