Системный и организационный контроль (SOC) 3
Обзор SOC 3
Системный и организационный контроль (SOC) для обслуживающих организаций — это отчеты о внутреннем контроле, созданные Американским институтом дипломированных общественных бухгалтеров (AICPA). Они предназначены для проверки служб, предоставляемых служебной организацией, чтобы конечные пользователи могли оценить и устранить риск, связанный с аутсорсинговой службой.
SOC 3 для сервисных организаций. Отчет о критериях доверия служб для общего использования — это краткая общедоступная сводка отчета об аттестации SOC 2 типа 2 для пользователей, которым требуются гарантии об элементах управления служебной организации, но не требуется полный отчет SOC 2 или они не имеют права на его получение в соответствии с SOC 2. Так как отчеты SOC 3 являются отчетами общего пользования, их можно свободно распространять.
Отчет SOC 3 содержит письменное утверждение руководства организации службы относительно эффективности контроля для выполнения обязательств, основанных на применимых критериях доверия служб, и мнение аудитора службы о том, справедливо ли утверждение руководства.
Затрагиваемые облачные платформы и службы Майкрософт
Затрагиваемые службы Майкрософт показаны в отчете об аттестации SOC 2 типа 2 Azure.
- Azure (подробные сведения см. в разделе Предложения по обеспечению соответствия требованиям Microsoft Azure или отчете об оценке Azure SOC 2 (тип 2))
- Dynamics 365 (подробные сведения см. в отчете об аттестации Azure SOC 2 (тип 2))
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender для конечной точки
- Microsoft Defender для удостоверений
- Microsoft Forms Pro
- Microsoft Intune
- Компьютеры, управляемые Майкрософт
- Microsoft Stream
- Эксперты Майкрософт по угрозам
- Портал назначения
- Office 365, Office 365 для государственных организаций США, Office 365 для государственных организаций США — высокий уровень, Office 365 для министерства обороны США
- Power Apps
- Power Automate
- Power BI
- Power Virtual Agents
- Поддержка обновлений
Azure, Dynamics 365 и SOC 3
Дополнительные сведения о соответствии требованиям Azure, Dynamics 365 и другим веб-службам см. в разделе Предложение Azure SOC 3.
Office 365 и SOC 3
Office 365 среды
Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.
В этом разделе рассматриваются следующие Office 365 среды:
- Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
- Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
- Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
- Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
- Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.
Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.
Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.
Применимость Office 365 и затрагиваемые службы
Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.
| Применимость | Затрагиваемые службы |
|---|---|
| Коммерческий сектор | Диспетчер соответствия требованиям, Клиентский блокировок, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Teams, MyAnalytics, Office 365 клиентский портал, Office 365 Микрослужбы (включая, помимо прочего, Kaizala, ObjectStore, Sway, Службу документов PowerPoint Online, Службу заметок запросов, Синхронизацию данных школы, Siphon, Речь, StaffHub, eXtensible Application Program), Office Online, Инфраструктуру служб Office, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, Project Online, Шифрование служб с помощью ключа клиента Microsoft Purview, SharePoint Online Skype для бизнеса |
| GCC | идентификатор Microsoft Entra, диспетчер соответствия требованиям, Delve, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics, надстройка Office 365 Advanced Compliance, Office 365 Центр соответствия требованиям безопасности &, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса, Stream |
| GCC High | идентификатор Microsoft Entra, Exchange Online, Flow, Microsoft Defender для Office 365, Microsoft Teams, надстройка Office 365 Advanced Compliance, Office 365 соответствие требованиям безопасности & Center, Office Online, Office Pro Plus, OneDrive для бизнеса, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса |
| DoD | идентификатор Microsoft Entra, Exchange Online, Microsoft Defender для Office 365, Microsoft Teams, надстройка Office 365 Advanced Compliance, центр соответствия требованиям Office 365 безопасности &, Office Online, Office Pro Plus, OneDrive для бизнеса, Planner, Power Automate, Power BI, SharePoint Online, Skype для бизнеса |
Отчеты аудита Office 365
Для скачивания отчетов о результатах аудита SOC 1 и SOC 2, а также любых писем об увязке условий у вас должна быть существующая подписка или бесплатная пробная учетная запись в Office 365 или Office 365 для государственных организаций США.
Вопросы и ответы
Как часто выпускаются отчеты SOC для Office 365?
Корпорация Майкрософт ежегодно проводит полное обследование SOC 1 типа 2 и SOC 2 типа 2 Office 365. Отчеты аудитора об этих экзаменах (также известные как аудиты) выдаются, как только они будут готовы после этого аудита. В то же время выдается отчет SOC 3, основанный на экспертизе SOC 2.
Так как корпорация Майкрософт не контролирует следственные область экзамена и сроки завершения аудитором, сроки выдачи этих отчетов не установлены. Как правило, эти отчеты выдаются через несколько месяцев после окончания рассматриваемого периода. Корпорация Майкрософт не допускает никаких пробелов в последовательных периодах экзамена от одного экзамена к другому.
Корпорация Майкрософт также проводит в середине года проверку soc 1 type 1 и SOC 2 Type 1 Office 365 для новых служб Майкрософт, выпущенных с момента последнего аудита SOC Type 2. Аудит типа 1 не оглядывается на период производительности.
Из-за сложной природы Office 365 область службы является большим, если рассматривать как единое целое. Это может привести к задержкам в завершении экзамена из-за масштабирования. Корпорация Майкрософт объединяет все описанные выше экзамены в 2 категории: основные службы и микрослужбы. Корпорация Майкрософт выдает отчеты, касающиеся каждого экзамена.
Аудиты SOC типа 2 проверяют последовательное 12-месячное окно запуска (также известное как период аудита или более формальный период производительности) с экзаменами, проводимыми ежегодно в период с 1 октября по 30 сентября следующего календарного года. Экзамен начинается сразу после завершения периода выполнения.
Корпорация Майкрософт также выпускает буквы моста (также известные как пробелы). Это самозаверения майкрософт, а не отчеты, основанные на экзаменах аудитора. Письма моста выдаются в течение текущего периода работы, который еще не завершен и готов к аудиторской экспертизе. Корпорация Майкрософт выдает мостовые письма в конце каждого квартала, чтобы подтвердить нашу производительность за предыдущий трехмесячный период. В связи с периодом выполнения аудита SOC типа 2 письма моста обычно выдаются в декабре, марте, июне и сентябре текущего операционного периода.
Где можно получить Office 365 документацию по аудиту SOC, включая письма от Корпорации Майкрософт?
Ссылки на документацию по аудиту см. в разделе отчет об аудите на портале Service Trust Portal. Для входа необходимо иметь существующую подписку или бесплатную пробную учетную запись в Office 365 или Office 365 для государственных организаций США. Затем вы можете скачать сертификаты аудита, отчеты об оценке и другие соответствующие документы, которые помогут вам с собственными нормативными требованиями.
Использование Microsoft Purview Compliance Manager для оценки риска
Microsoft Purview Compliance Manager — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.
Ресурсы
- Отчеты об аудите Service Trust Portal
- AICPA SOC для обслуживающих организаций
- SSAE № 18 — "Стандарты аттестации: уточнение и повторная кодификация (профессиональные стандарты AICPA)"
- Отчет SOC 2 по проверке элементов управления в обслуживающей организации, относящихся к безопасности, доступности, целостности обработки или конфиденциальности (Руководство AICPA) (можно приобрести)
- Раздел 100 TSP (AICPA, 2017: критерии доверительных служб)
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по