SOC 1 类型 2 概述
服务组织的系统和组织控制 (SOC) 是由美国注册会计师协会 (AICPA) 创建的内部控制报告。 它们旨在检查服务组织提供的服务,以便最终用户能够评估和解决与外包服务相关的风险。
SOC 1 类型 2 证明是根据以下标准执行:
- SSAE 第 18 号证明标准:澄清和重新编码,其中包括 AT-C 第 320 节, 报告与用户实体对财务报告 (AICPA 的内部控制相关的服务组织的控制检查 ,专业标准) 。
- SOC 1 对与用户实体财务报告的内部控制相关的服务组织中的控制检查进行报告(AICPA 指南)。
除了 AICPA 关于证明协定标准声明 18 (SSAE 18) 外,Microsoft 365 SOC 1 类型 2 审核是根据国际保障协定第 3402 号Standard (ISAE 3402) 进行。 SOC 1 证明已取代 SAS 70,它适用于报告与用户实体对财务报告的内部控制相关的服务组织的控制。 类型 2 报告包括审核员对控制有效性的意见,以便在指定的监视期间实现相关的控制目标。
Microsoft 范围内的云平台和云服务
Azure SOC 1 类型 2 证明报告中显示了范围内的 Microsoft 联机服务:
- Azure (有关详细见解,请参阅 Microsoft Azure 合规性产品/服务)
- Azure DevOps (请参阅单独的 Azure DevOps SOC 1 类型 2 证明报告)
- 有关详细见解Dynamics 365 (,请参阅 Azure SOC 1 类型 2 证明报告)
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Intune
- Microsoft 托管桌面
- Microsoft Stream
- Microsoft 威胁专家
- 提名门户
- Power Apps
- Power Automate
- Power BI
- Power Virtual Agents
- 更新合规性
Microsoft 365 SOC 1 类型 2 证明报告范围内的Microsoft联机服务如下所示。
Azure, Dynamics 365, 和 SOC 1
有关 Azure、Dynamics 365 和其他联机服务合规性的详细信息,请参阅 Azure SOC 1 产品/服务。
Microsoft 365 和 SOC 1
Microsoft 365 个环境
Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。
本部分介绍以下Office 365环境:
- 客户端软件(客户端):客户设备上运行的商业客户端软件。
- Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
- Office 365 政府社区云 (GCC):Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
- Office 365 政府社区云 - 高 (GCC High):Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
- Office 365 DoD (DoD):Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。
使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。
你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。
Microsoft 365 适用性和范围内服务
使用下表确定 Microsoft 365 服务和订阅的适用性:
| 适用性 | 范围内服务 |
|---|---|
| 商业 | 必应 Teams (,包括 ObjectStore、Enterprise News – One Service 和 Semantic Fabric) 、客户密码箱、教育服务 (包括见解、Microsoft LMS 网关、OneDrive LTI、阅读进度/作业、学校数据同步、数学识别器/求解器和搜索指导) 、Exchange Online Exchange Online Protection、IDEAs 个性化运行时服务、Loki、M365 使用情况报告、Microsoft Defender for Cloud Apps (应用治理) ,Microsoft Defender for Office 365 (包括高级搜寻、攻击模拟和培训,以及一个网络终结点保护) 、Microsoft Forms、MicrosoftPlanner、Microsoft Priva、Microsoft Purview (,包括审核、通信合规性、合规性管理器、数据生命周期管理、记录管理器、数据丢失防护、电子数据展示、信息保护、统一反馈平台、内部风险管理、数据分类服务、精确数据匹配和 ML 推理) 、Microsoft Sway、Microsoft Teams、Office 协作、Office 网页版 (以前称为“Office Online”) 、OneNote Services、Outlook Web 应用程序、PowerPoint Online 文档服务、使用客户密钥的服务加密、查询批注服务、实时通道、远程帮助、搜索内容服务、SharePoint Online (,包括 OneDrive、Microsoft 365 备份、Project Online、Viva Topics和Viva Connections) 、任务业务方案服务、Viva Glint、Viva Goals、Viva Insights (,包括个人见解、经理和领导者见解,以及高级见解) 、Viva Learning Viva脉冲、Whiteboard和Windows 365 |
| GCC | 必应 Teams (包括 ObjectStore) 、客户密码箱、Exchange Online、Exchange Online Protection、IDEA 个性化运行时服务、Loki、M365 使用情况报告、Microsoft Defender for Cloud Apps (应用治理) 、Microsoft Defender for Office 365 (包括高级搜寻、攻击模拟和培训以及一个网络终结点保护) 、Microsoft Forms、Microsoft Planner Microsoft Priva,Microsoft Purview (包括审核, 通信合规性、合规性管理器、数据生命周期管理、记录管理器、数据丢失防护、电子数据展示、信息保护、统一反馈平台、内部风险管理、数据分类服务、精确数据匹配和 ML 推理) 、Microsoft Teams、Office 协作、Office 网页版 (以前称为“Office Online”) 、OneNote Services、Outlook Web 应用程序、PowerPoint Online文档服务、使用客户密钥进行服务加密、查询注释服务、实时通道、远程帮助、搜索内容服务、SharePoint Online (,包括 OneDrive、Microsoft 365 备份、Project Online、Viva Topics和Viva Connections) 、任务业务方案服务,Viva Insights (包括个人见解) 、Whiteboard和Windows 365 |
| GCC 高级 | 必应 Teams (包括 ObjectStore) 、客户密码箱、Exchange Online、Exchange Online Protection、Loki、M365 使用情况报告、Microsoft Defender for Cloud Apps (应用治理) ,Microsoft Defender for Office 365 (包括高级搜寻、攻击模拟和培训以及一个网络终结点保护) 、Microsoft Forms、Microsoft Planner Microsoft Priva,Microsoft Purview (包括审核, 通信合规性、合规性管理器、数据生命周期管理、记录管理器、数据丢失防护、电子数据展示、信息保护、统一反馈平台、内部风险管理、数据分类服务、精确数据匹配和 ML 推理) 、Microsoft Teams、Office 协作、Office 网页版 (以前称为“Office Online”) 、OneNote Services、Outlook Web 应用程序、PowerPoint Online文档服务、使用客户密钥的服务加密、查询批注服务、实时通道、SharePoint Online (包括 OneDrive、Microsoft 365 备份、Project Online、Viva Topics和Viva Connections) 、任务业务方案服务Viva Insights (包括个人见解) 、Whiteboard和Windows 365 |
| DoD | 必应 Teams (包括 ObjectStore) 、客户密码箱、Exchange Online、Exchange Online Protection、Loki、M365 使用情况报告、Microsoft Defender for Cloud Apps (应用治理) ,Microsoft Defender for Office 365 (包括高级搜寻、攻击模拟和培训以及一个网络终结点保护) 、Microsoft Forms、Microsoft Planner Microsoft Priva,Microsoft Purview (包括审核, 通信合规性、合规性管理器、数据生命周期管理、记录管理器、数据丢失防护、电子数据展示、信息保护、统一反馈平台、内部风险管理、数据分类服务、精确数据匹配和 ML 推理) 、Microsoft Teams、Office 协作、Office 网页版 (以前称为“Office Online”) 、OneNote Services、Outlook Web 应用程序、PowerPoint Online文档服务、使用客户密钥的服务加密、查询批注服务、实时通道、SharePoint Online (包括 OneDrive、Microsoft 365 备份、Project Online、Viva Topics和Viva Connections) 、任务业务方案服务Viva Insights (包括个人见解) 和Whiteboard |
Microsoft 365 个审核报告
- 客户可通过 服务信任门户下载适用于 Central 和微服务的 Microsoft 365 SOC 1 类型 2 报告。
- 服务信任门户中还提供了网桥信和其他审核报告。
必须具有 Microsoft 365 或 Microsoft 365 美国政府的现有订阅或免费试用帐户,才能根据需要下载 SOC 1 和 SOC 2 证明报告以及任何桥接信。
常见问题解答
Microsoft 365 SOC 报告的发布频率如何?
Microsoft每年委托对Office 365进行一次完整的 SOC 1 类型 2 和 SOC 2 类型 2 检查。 审计师关于这些检查的报告 (也称为审计) 在审计后准备就绪后立即发出。 同时发布基于 SOC 2 检查的 SOC 3 报告。
由于Microsoft不控制审查的调查范围和审计师完成时间范围,因此在发布这些报告时没有设定的时间范围。 报告通常在审查期结束后几个月后发表。 Microsoft不允许在从一次考试到下一次的连续考试期间出现任何差距。
Microsoft还委托对自上次 SOC 类型 2 审核以来发布的新Microsoft服务Microsoft 365 进行年中 SOC 1 类型 1 和 SOC 2 类型 1 检查。 类型 1 审核不会回顾一段时间的性能。
由于Office 365的复杂性质,如果作为一个整体进行检查,则服务范围很大。 这可能会导致由于缩放而导致考试完成延迟。 Microsoft将前面介绍的所有考试分为两类:核心服务和微服务。 Microsoft发布一份范围限定为每次检查的报告。
SOC 类型 2 审核检查 12 个月的滚动 运行窗口 (也称为审核期或更正式 的绩效) ,每年对下一日历年的 1-10 月到 30-9 月期间进行一次检查。 完成性能期后,检查会立即开始。
Microsoft还会发出桥接字母 (也称为 间隙字母) 。 这些是Microsoft的自我证明,而不是根据审计师的检查报告。 桥牌信在当前性能期间发出,但尚未完成并准备好接受审核检查。 Microsoft在每个季度结束时发出桥牌信,以证明我们在前三个月期间的表现。 由于 SOC 类型 2 审核的运行期间,桥牌通知通常在当前运营期间的 12 月、3 月、6 月和 9 月发出。
客户如何从 Microsoft 365 SOC 1 类型 2 证明中受益?
客户在追求自己的金融行业特定合规性要求时,可以使用 Microsoft 365 SOC 1 类型 2 证明,例如 Sarbanes-Oxley (SOX) 、联邦金融机构考试委员会 (FFIEC) 、Gramm-Leach-Bliley 法案 (GLBA) 等。
在哪里可以获取Microsoft 365 SOC 审核文档,包括Microsoft的网桥信?
有关审核文档的链接,请参阅 服务信任门户的审核报告部分。 必须具有 Microsoft 365 或 Microsoft 365 美国政府版的现有订阅或免费试用版帐户才能登录。 然后,可以下载审核证书、评估报告和其他适用文档,以帮助你满足自己的法规要求。
在哪里可以查看针对已记录的异常的管理响应?
大多数检查对所检查的一个或多个特定控制措施有一些观察。 预期会出现一些观察结果。 管理对任何异常的响应位于 SOC 证明报告末尾。 在文档中搜索“管理响应”。
在哪里可以查看用户实体责任?
如果整个系统要满足 SOC 2 控制标准,则用户实体责任是你的控制职责。 它们位于 SOC 证明报表的末尾。 在文档中搜索“用户实体责任”。
使用 Microsoft Purview 合规性管理器评估风险
Microsoft Purview 合规性管理器 是 Microsoft Purview 门户中 的一项功能,可帮助你了解组织的合规性状况并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估。