2.SOC

過去，SAS 70報告旨在協(xié)助服務(wù)機構(gòu)的用戶及其審計人員進行財務(wù)報表審計。現(xiàn)在，已經(jīng)定義了三種類型的SOC報告，以取代SAS 70并解決更廣泛的特定用戶需求，例如解決安全性，隱私和可用性問題。此外，服務(wù)組織正在尋找更好的方式來提供對其控制環(huán)境的保證。

SOC報告最常見地涵蓋了12個月的活動的設(shè)計和有效性，每年持續(xù)的覆蓋率從財務(wù)報告或治理的角度來滿足用戶需求。在某些情況下，如果系統(tǒng)／服務(wù)沒有運行一整年，或年度報告不足以滿足用戶需求，SOC報告可能會縮短較短的時間，例如六個月。SOC報告還可能僅涵蓋新系統(tǒng)朋艮務(wù)的特定時間點的控制設(shè)計或系統(tǒng)／服務(wù)的初始檢查（審核）。

告涵蓋設(shè)計和運行有效性的時間段通常被稱為“類型2”報告，而涉及設(shè)計的時間報告通常被稱為“類型l”報告。例如，如果組織需要涵蓋特定系統(tǒng)的安全性和可用性的一段時間報告，組織將從服務(wù)提供商請求SOC 2類型2安全和可用性報告。如果組織需要一段時間報告涵蓋特定系統(tǒng)的ICOFR控制，組織將從服務(wù)提供商請求該系統(tǒng)的SOC 1類型2報告。