認識 SOC 不同類型的審計報告

SSAE 是由美國會計師協會（AICPA）制定的一組審計和鑒證標準。最常見的是 SSAE 18，這是一個用於制定和執行審計過程的指導標準。

SSAE 是制定審計標準的一組規範，而 SOC 報告則是根據這些標準執行審計後生成的報告。SOC 1 報告通常基於 SSAE 18 標準進行，專注於內部控制和財務報告；SOC 2 和 SOC 3 報告則基於 AICPA 的信任服務原則，專注於資訊安全和數據保護。

SOC 1、SOC 2 和 SOC 3 有什麼不同？

它們各自適用於不同的場景和需求。

• SOC 1: 針對內部控制對用戶組織的財務報告的影響。
• SOC 2: 專注於一個或多個由 AICPA 定義的信任服務準則，如安全性、可用性、處理完整性、機密性或隱私。
• SOC 3: 是一種簡化的 SOC 2 報告，主要用於營銷目的。它同樣基於信任服務準則，但不提供詳細的控制描述或測試結果。

SOC 3 報告更適合公開分發，而 SOC 1 和 SOC 2 報告通常僅限於特定的利益相關方。如果您希望對外展示您的合規性但不願提供過多細節，SOC 3 是一個不錯的選擇。

跟 ISO 認證的不同之處

ISO（國際標準組織）認證和 SOC（Service Organization Control）報告在目的和性質上有所不同。

ISO 認證：持續的認證標準

• ISO 是一種國際標準，如 ISO 27001 針對資訊安全管理系統（ISMS）。
• 組織會通過外部審核來獲得 ISO 認證，這證明了其符合特定標準的要求。
• 一旦獲得認證，它通常會在一定期限（例如三年）內有效，但需要定期審核以維持認證狀態。

SOC 報告：特定時間點的審計報告

• SOC 是一種由第三方會計師或審計機構提供的審計報告，評估服務組織在某一特定時間點或時間範圍內的控制環境。
• SOC 報告不會發出認證或標誌，它是一份詳細的報告，用於評價和確認組織的內部控制狀態。
• SOC 報告通常是一次性的或定期更新的，但它不是一個持續有效的“認證”。

Type 1 以及 Type 2 報告的主要區別

SOC Type 1

• 時間點：評估組織在某一特定日期的內部控制設計。
• 焦點：主要關注控制是否已妥善設計，以達到預定的目標。

SOC Type 2

• 時間範圍：評估組織在一段時間（通常至少 6 個月）內的控制設計和操作效果。
• 焦點：不僅考慮控制是否妥善設計，還會評估這些控制是否在評估期間內一直運作有效。

選擇哪種報告類型取決於您的業務需求，包括客戶需求、合規需求，以及您希望報告達到的目的。

為什麼多數報告是 SOC2 Type2？

主要是出於以下幾個原因：

1. 深度和廣度： SOC 2 Type 2 不僅評估一個特定時間點的控制設計，而且評估控制在一段時間（通常至少 6 個月）內的操作有效性。這提供了更全面的安全和合規保證。
2. 市場需求：客戶和監管機構越來越要求更嚴格的安全性和合規性證明，尤其在處理敏感數據的情況下。SOC 2 Type 2 能提供這種長期的保證。
3. 泛用性：與 SOC 1 相比，SOC 2 適用於所有類型的服務組織，不僅僅是那些影響財務報告的組織。這使得 SOC 2 Type 2 更具泛用性。
4. 行業標準：在多數情況下，SOC 2 Type 2 已經成為資訊安全和合規的事實標準，尤其是對於雲服務提供商、數據中心和其他技術服務提供商。
5. 資料保護法律和規定：隨著 GDPR、CCPA 和其他數據保護法的出台，有一個越來越強烈的需求，要求組織證明它們的安全控制不僅設計得當，而且實際運作有效。

綜上所述，SOC 2 Type 2 提供了一種全面和深入的方式來評估組織的安全性和合規性，這也是為什麼它比其他類型的 SOC 報告更受歡迎。

SOC 報告會過期嗎？多久要做一次？

SOC 報告沒有到期日。任何超過一年的報告都會變得過時。業界的最佳實踐是每年進行一次審計，以測試控制的設計和運作有效性。並且定期發送過渡函（Bridge Letter）給客戶由管理階層（通常是 CISO）簽署。該會計師事務所不參與過渡函的簽發。過渡函可以分發給客戶，以就內部控制的重大變更提供保證。

讓我們透過一個例子來理解這一點 — — 一個組織World-Backup 聘請了一家會計師事務所在2023 年1 月進行了SOC2 Type 2 業務。審計師將在接下來的2–3 個月內繼續進行審計。報告期間涵蓋12個月。由於該報告是回顧報告，涵蓋 2022 年 1 月至 2022 年 12 月期間。CPA 公司於 2023 年 4 月向他們發布了 SOC2 Type2 報告。

需要注意的是，該報告為回顧性報告（報告期間為2022年1月至2022年12月）。在 2024 年 1 月之前，組織可以根據 NDA 與其客戶分享此報告。雖然它沒有到期日期，但可以使用一年。由於業務性質、資料安全以及控制環境的變化，組織需要在一年後再次進行審核。

World-backup 必須在 2024 年 1 月再次邀請會計師事務所進行 SOC2 Type 2 業務。此審計的報告期間為2023年1月至2023年12月。

不同類型的報告之間有相依關係嗎？是否要按照順序取得？

除了 SOC 3 需要先完成 SOC 2，不同類型的 SOC（Service Organization Control）報告之間沒有強制的相依關係或順序要求。也就是說，您不需要首先取得 SOC 1 報告才能進行 SOC 2 審核，或者不需要先完成 SOC 2 Type 1 才能進行 Type 2 審核。每種報告都有其特定的適用場景和目的，因此您可以根据業務需求選擇最合適的報告類型。

但是，以下幾點可能是考慮的因素：

1. 基礎建設：通常，組織會先確定其內部控制和政策是否足夠堅固，然後再考慮進行更詳細的審核。這可能意味著先進行一個較為基礎的 SOC 2 Type 1 審核，然後再過渡到更全面的 SOC 2 Type 2 審核。
2. 財務與運營需求：如果您的服務直接影響客戶的財務報表，則可能需要先取得 SOC 1 報告。
3. 客戶要求：根据客戶或合作夥伴的需求，有時可能需要先取得某一種類型的報告。
4. 合規要求：某些法律或監管要求可能會指定需要某種特定類型的報告。
5. 逐步過渡：一些組織選擇先從 SOC 2 Type 1 開始，因為它只評估某一特定時間點的控制設計。一旦達到這一水平，他們可能會選擇過渡到 SOC 2 Type 2，以評估控制的操作有效性。