标准简介
SOC 2(服务组织控制 2)Type II 是由美国注册会计师协会(AICPA)为存储、处理或传输客户数据的服务组织开发的审计标准。它基于信任服务标准(TSC)评估与安全性、可用性、处理完整性、保密性和隐私相关的组织信息系统。与评估某一时间点控制的 Type I 报告不同,Type II 报告检查这些控制在一段时间(通常为 6-12 个月)内的运营有效性。
SOC 2 Type II 合规已成为 SaaS 公司、云服务提供商、数据中心和其他技术服务组织展示其对数据安全和隐私承诺的必要条件。该框架涵盖五个信任服务标准:安全性(基础性,所有组织都需要)、可用性、处理完整性、保密性和隐私。组织根据其服务选择适用的标准。独立的注册会计师进行严格的审计,以验证控制设计合理并有效运行,为客户、合作伙伴和利益相关者提供敏感数据根据行业最佳实践得到保护的保证。
shield
范围
适用于所有规模和行业的组织,涵盖保密性、完整性和可用性的保护。
account_tree
结构
遵循高级结构(HLS),确保与其他 ISO 管理标准(如 ISO 9001)的无缝集成。
verified
认证
组织在成功完成 ISMS 的外部审核后,可以获得认可的认证。
list_alt 核心要求(第 4-10 条)
- 组织的环境
- 领导力与承诺
- 规划与风险评估
- 支持与意识
- 运营
- 绩效评估
- 持续改进