“为什么我不能分享我的SOC 2报告?” 这是一个被问到很多次的问题, 考虑到获得SOC 2报告的时间和费用, 这是可以理解的, 但实际上你可以分享它, 但它是受限制的,而且这种限制背后有充分的理由.

SOC 2是一份限制使用报告

SOC 2报告是, 通过定义, 受限使用报告, ,因此, 这是不能公开的. 如果你仔细想想, SOC 2报告包括详细的系统描述和特定于贵公司的控制矩阵,通常具有专有信息.  从流程和安全的角度, 从商业上讲,不向你的竞争对手或其他有恶意意图的人公布这些信息是有意义的. 这就是为什么如果你在谷歌中搜索“SOC 2报告示例”,你很难找到一个.

假设您使用AWS或Microsoft Azure作为您的子m88体育组织,并需要一份他们的SOC 2报告的副本. 在这种情况下, 您将注意到他们要求您通过一个特定的流程来验证是否应该允许您访问这些信息. 进一步, AICPA标准着眼于报告的“预期读者”,以及该读者是否有足够的知识和理解来理解报告.

恰当的例子, 以下摘录是出现在所有SOC 2报告中详细说明“限制使用”的标准审计意见语言。. 你会注意到它强化了AICPA的“目标读者”标准:

这个报告, including the description of tests of controls 和 results thereof in the section of our report titled “Description of Test of Controls 和 Results Thereof” is intended solely for the information 和 use of [Service Organization Name]; user entities of [Service Organization Name]’s [insert title of the description] during some or all of the period [Month XX, 至XX月XX日, 20XX], business partners of [Service Organization Name]’s subject to risks arising from interactions with [Service Organization Name]’s processing system; practitioners providing services to such user entities 和 business partners; prospective user entities 和 business partners; 和 regulators who have sufficient knowledge 和 underst和ing of the following:

  • m88体育组织提供的m88体育的性质.
  • m88体育组织的系统如何与用户实体交互, subservice组织, 和其他各方.
  • 内部控制及其局限性.
  • 互补用户实体控制和互补子m88体育组织控制,以及这些控制如何与m88体育组织中的控制交互,以实现m88体育组织的m88体育承诺和系统需求.7
  • 用户实体的职责以及它们如何影响用户实体有效使用m88体育组织的m88体育的能力.
  • 适用的信任m88体育标准.
  • 可能威胁到m88体育组织的m88体育承诺和系统需求的实现的风险,以及如何控制这些风险.

 

本报告不打算也不应该被除上述指定方之外的任何人使用.

SOC 2与. SOC 3

对于更一般的用途, SOC 3报告是SOC 2报告的可选附件,它省略了详细的控制清单和敏感信息,并采用了修改后的系统描述. 实际上,它是SOC 2型报告的总结版本. 因此,它被定义为一个通用的使用报告,并且可以自由分发.

相比之下,你必须经过重重考验才能获得 亚马逊微软的 SOC 2报告,都公开分享他们的SOC 3报告.

如果您想要一份更通用的文件,我希望这篇文章能够帮助您了解为什么SOC 2报告的使用受到限制,以及其他替代方案. 有关更多信息,请参阅 AICPA的 不同SOC报告的指导,如果你在考虑 SOC 2报告,不要犹豫,去寻求帮助 我们的团队 或者访问我们的网页.