企业新闻

信息系统审计报告之SOC

2018-04-04 14:35:09 | 来源:中培企业IT培训网

2.SOC

过去,SAS 70报告旨在协助服务机构的用户及其审计人员进行财务报表审计。现在,已经定义了三种类型的SOC报告,以取代SAS 70并解决更广泛的特定用户需求,例如解决安全性,隐私和可用性问题。此外,服务组织正在寻找更好的方式来提供对其控制环境的保证。

SOC报告最常见地涵盖了12个月的活动的设计和有效性,每年持续的覆盖率从财务报告或治理的角度来满足用户需求。在某些情况下,如果系统/服务没有运行一整年,或年度报告不足以满足用户需求,SOC报告可能会缩短较短的时间,例如六个月。SOC报告还可能仅涵盖新系统朋艮务的特定时间点的控制设计或系统/服务的初始检查(审核)。

告涵盖设计和运行有效性的时间段通常被称为“类型2”报告,而涉及设计的时间报告通常被称为“类型l”报告。例如,如果组织需要涵盖特定系统的安全性和可用性的一段时间报告,组织将从服务提供商请求SOC 2类型2安全和可用性报告。如果组织需要一段时间报告涵盖特定系统的ICOFR控制,组织将从服务提供商请求该系统的SOC 1类型2报告。

标签: SOC报告

猜你喜欢