標準簡介
SOC 2(服務組織控制 2)Type II 是美國註冊會計師協會(AICPA)為儲存、處理或傳輸客戶資料的服務組織所制定的稽核標準。它根據信任服務準則(TSC)評估組織與安全性、可用性、處理完整性、保密性和隱私相關的資訊系統。與評估某一時間點控制的 Type I 報告不同,Type II 報告檢驗這些控制在一段時間內(通常為 6-12 個月)的營運有效性。
SOC 2 Type II 合規對於 SaaS 公司、雲端服務供應商、資料中心和其他技術服務組織而言已變得不可或缺,以展示其對資料安全和隱私的承諾。該框架涵蓋五項信任服務準則:安全性(基礎性,所有組織必備)、可用性、處理完整性、保密性和隱私。組織根據其服務選擇適用的準則。獨立的註冊會計師進行嚴格稽核,以驗證控制是否正確設計並有效運作,向客戶、合作夥伴和利害關係人保證敏感資料受到業界最佳實務的保護。
shield
適用範圍
適用於各種規模和產業的組織,涵蓋保密性、完整性和可用性的保護。
account_tree
結構
遵循高階結構(HLS),確保與 ISO 9001 等其他 ISO 管理系統標準無縫整合。
verified
認證
組織在成功完成資訊安全管理系統的外部稽核後,可取得認可的認證。
list_alt 核心要求(第 4-10 條款)
- 組織的背景
- 領導與承諾
- 規劃與風險評估
- 支援與認知
- 營運
- 績效評估
- 持續改進