Системный и организационный контроль 1 (тип 2)

  • Статья

Обзор SOC 1 (тип 2)

Системный и организационный контроль (SOC) для обслуживающих организаций — это отчеты о внутреннем контроле, созданные Американским институтом дипломированных общественных бухгалтеров (AICPA). Они предназначены для проверки служб, предоставляемых служебной организацией, чтобы конечные пользователи могли оценить и устранить риск, связанный с аутсорсинговой службой.

Аудит SOC 1 (тип 2) выполняется при следующих условиях.

  • SSAE No. 18, Стандарты аттестации: уточнение и перекодификация, которая включает в себя раздел 320 AT-C, Отчетность о проверке средств контроля в организации обслуживания, имеющих отношение к внутреннему контролю за финансовой отчетностью субъектов-пользователей (AICPA, профессиональные стандарты).
  • Представление отчетов SOC 1 об анализе средств контроля в обслуживающей организации, актуальных для внутреннего контроля финансовой отчетности организаций-пользователей (руководство AICPA).

Помимо заявления AICPA о стандартах аттестации 18 (SSAE 18), аудит Office 365 SOC 1 типа 2 проводится в соответствии с Международным стандартом по обязательствам по обеспечению гарантий No 3402 (ISAE 3402). Аттестация SOC 1 заменила SAS 70, и она подходит для отчетности об элементах управления в организации обслуживания, относящихся к внутреннему контролю за финансовой отчетностью сущностей пользователей. Отчет типа 2 включает мнение аудитора об эффективности средства контроля в достижении соответствующих целей контроля в течение указанного периода мониторинга.

Затрагиваемые облачные платформы и службы Майкрософт

Затрагиваемые веб-службы Майкрософт указаны в отчете о результатах аудита SOC 1 (тип 2) Azure:

  • Azure (подробные сведения см. в разделе Предложения по соответствию требованиям Microsoft Azure)
  • Azure DevOps (см. отдельный отчет об аттестации AZURE DevOps SOC 1 типа 2)
  • Dynamics 365 (подробные сведения см. в отчете об аттестации Azure SOC 1 типа 2)
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender для конечной точки
  • Microsoft Defender для удостоверений
  • Microsoft Forms Pro
  • Microsoft Intune
  • Компьютеры, управляемые Майкрософт
  • Microsoft Stream
  • Эксперты Майкрософт по угрозам
  • Портал назначения
  • Office 365, Office 365 для государственных организаций США, Office 365 для государственных организаций США — высокий уровень, Office 365 для министерства обороны США
  • Power Apps
  • Power Automate
  • Power BI
  • Power Virtual Agents
  • Поддержка обновлений

Azure, Dynamics 365 и SOC 1

Дополнительные сведения о соответствии Azure, Dynamics 365 и других веб-служб требованиям см. в разделе Предложение Azure SOC 1.

Office 365 и SOC 1

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость Затрагиваемые службы
Коммерческий сектор Диспетчер соответствия требованиям, Клиентский блокировок, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Teams, MyAnalytics, Office 365 клиентский портал, Office 365 Микрослужбы (включая, помимо прочего, Kaizala, ObjectStore, Sway, Службу документов PowerPoint Online, Службу заметок запросов, Синхронизацию данных школы, Siphon, Речь, StaffHub, eXtensible Application Program), Office Online, Инфраструктуру служб Office, OneDrive для бизнеса, Планировщик, PowerApps, Power BI, Project Online, Шифрование служб с помощью ключа клиента Microsoft Purview, SharePoint Online Skype для бизнеса
GCC Microsoft Entra ID, диспетчер соответствия требованиям, Delve, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics, надстройка Office 365 Advanced Compliance, Office 365 Центр соответствия требованиям безопасности &, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса, Stream
GCC High Microsoft Entra ID, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, надстройка Office 365 Advanced Compliance, Office 365 Центр соответствия требованиям безопасности &, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса
DoD Microsoft Entra ID, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, надстройка Office 365 Advanced Compliance, Office 365 Центр соответствия требованиям безопасности &, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, Power BI, SharePoint Online, Skype для бизнеса

Отчеты аудита Office 365

Для скачивания отчетов о результатах аудита SOC 1 и SOC 2, а также любых писем об увязке условий у вас должна быть существующая подписка или бесплатная пробная учетная запись в Office 365 или Office 365 для государственных организаций США.

Вопросы и ответы

Как часто выпускаются отчеты SOC для Office 365?

Корпорация Майкрософт ежегодно проводит полное обследование SOC 1 типа 2 и SOC 2 типа 2 Office 365. Отчеты аудитора об этих экзаменах (также известных как аудиты) выдаются сразу после того, как они будут готовы после этого аудита. В то же время выдается отчет SOC 3, основанный на экспертизе SOC 2.

Так как корпорация Майкрософт не контролирует следственные область экзамена и сроки завершения аудитором, сроки выдачи этих отчетов не установлены. Как правило, эти отчеты выдаются через несколько месяцев после окончания рассматриваемого периода. Корпорация Майкрософт не допускает никаких пробелов в последовательных периодах экзамена от одного экзамена к другому.

Корпорация Майкрософт также проводит в середине года проверку soc 1 type 1 и SOC 2 Type 1 Office 365 для новых служб Майкрософт, выпущенных с момента последнего аудита SOC Type 2. Аудит типа 1 не оглядывается на период производительности.

Из-за сложной природы Office 365 область службы является большим, если рассматривать как единое целое. Это может привести к задержкам в завершении экзамена из-за масштабирования. Корпорация Майкрософт объединяет все описанные ранее экзамены в 2 категории: основные службы и микрослужбы. Корпорация Майкрософт выдает отчет по каждому экзамену.

Аудиты SOC типа 2 проверяют последовательное 12-месячное окно выполнения (также известное как период аудита или более формальный период производительности) с экзаменами, проводимыми ежегодно в период с 1 октября по 30 сентября следующего календарного года. Экзамен начинается сразу после завершения периода выполнения.

Корпорация Майкрософт также выпускает буквы моста (также известные как пробелы). Это самозаверения майкрософт, а не отчеты, основанные на экзаменах аудитора. Письма моста выдаются в течение текущего периода работы, который еще не завершен и готов к аудиторской экспертизе. Корпорация Майкрософт выдает мостовые письма в конце каждого квартала, чтобы подтвердить нашу производительность за предыдущий трехмесячный период. В связи с периодом выполнения аудита SOC типа 2 письма моста обычно выдаются в декабре, марте, июне и сентябре текущего операционного периода.

Какие преимущества для клиентов заключаются в аудите SOC 1 (тип 2) Office 365?

Клиенты могут использовать аудит SOC 1 (тип 2) Office 365 при обеспечении соответствия требованиям, существующим в финансовой отрасли, таким как Закон Сарбейнза — Оксли (SOX), требования Федерального совета по надзору за финансовыми учреждениями (FFIEC), Закон Грэмма — Лича — Блайли (GLBA) и другие.

Где можно получить Office 365 документацию по аудиту SOC, включая письма от Корпорации Майкрософт?

Ссылки на документацию по аудиту см. в разделе отчет об аудите на портале Service Trust Portal. Для входа необходимо иметь существующую подписку или бесплатную пробную учетную запись в Office 365 или Office 365 правительства США. Затем вы можете скачать заключения аудиторов, отчеты о результатах аудита и другие соответствующие документы, которые помогут вам при обеспечении соответствия актуальным для вас нормативным требованиям.

Где можно ознакомиться с ответами руководства на замечания аудиторов?

В большинстве обследований имеются некоторые наблюдения за одним или несколькими конкретными проверенными элементами контроля. Следует ожидать определенного количества наблюдений. Ответы руководства на любые исключения находятся в конце отчета об аттестации SOC. Выполните поиск в документе по запросу "Ответ управления".

Где можно ознакомиться с обязанностями организации-пользователя?

Обязанности сущностей пользователя — это ваши обязанности по управлению, необходимые, если система в целом соответствует стандартам управления SOC 2. Они находятся в самом конце отчета об аттестации SOC. Выполните поиск в документе по запросу "Обязанности сущностей пользователя".

Использование Microsoft Purview Compliance Manager для оценки риска

Microsoft Purview Compliance Manager — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.

Ресурсы