SOC 2

SOC 2 是服務組織的自願合規標準,由美國註冊會計師協會 (AICPA) 制定,規
定了組織應如何管理客戶資料。該標準基於以下信任服務條件:安全性、可用性、
處理完整性、機密性、隱私。 SOC 2 報告是根據每個組織的獨特需求量身定制。
根據其特定的業務實踐,每個組織都可以設計遵循一個或多個信任原則的控制項。
這些內部報告為組織及其監管機構、業務合作夥伴和供應商提供有關組織如何管
理其資料的重要資訊。 SOC 2 報告有兩種類型:
• 類型 I 描述組織的系統,以及系統設計是否符合相關信任原則。
• 類型 II 詳細說明這些系統的運營效率。

為什麼 SOC 2 合規性很重要?
符合 SOC 2 要求的合規表示組織保持高水準的資訊安全。嚴格的合規性要求
(透過現場審核進行測試)有助於確保敏感資訊得到負責任的處理。

符合 SOC 2 提供:
• 改進的資訊安全實踐—透過 SOC 2 指南,組織可以更好地防禦網路攻擊
並防止違規。
• 競爭優勢– 因為客戶更喜歡與能夠證明他們擁有可靠資訊安全實踐的服
務提供者合作,特別是在 IT 和雲端服務方面。

誰可以執行 SOC 稽核?
SOC 審計只能由獨立的會計師(註冊會計師)或會計公司進行。

AICPA 制定了專業標準,旨在規範 SOC 審計師的工作。 此外,必須遵守與審
計的規劃,執行和監督有關的某些指導方針。 所有 AICPA 稽核都必須經過同
行審核。

CPA 組織可以聘請具有相關信息技術(IT)和安全技能的非 CPA 專業人員來準
備 SOC 審計,但最終報告必須由會計師提供和披露。

如果 CPA 進行的 SOC 審計成功,服務組織可以將 AICPA 標誌添加到其網站。

SOC 2 安全性標準:四步驟檢查清單
安全性是 SOC 2 合規性的基礎,也是所有五個信任服務標準通用的廣泛標準。

SOC 2 安全原則專注於防止未經授權使用組織處理的資產和數據。 此原則要求
組織實施存取控制,以防止惡意攻擊、未經授權刪除數據、濫用、未經授權的修
改或披露公司信息。

以下是基本 SOC 2 合規性檢查表,其中包括涵蓋安全標準的控制措施:
1. 存取控制 — 對資產的邏輯和實體限制,以防止未經授權人員存取。
2. 變更管理 — 管理 IT 系統變更的受控流程,以及防止未經授權變更的方
法。
3. 系統作業-可監控持續作業、偵測並解決組織程序中的任何偏差的控制項。
4. 降低風險-可讓組織識別風險,以及回應和減輕風險,同時處理任何後續
業務的方法和活動。