系统和组织控制 (SOC) 3

SOC 3 概述

服务组织的系统和组织控制 (SOC) 是由美国注册会计师协会 (AICPA) 创建的内部控制报告。 它们旨在检查服务组织提供的服务,以便最终用户能够评估和解决与外包服务相关的风险。

适用于服务组织的 SOC 3:常规用途信任服务标准报告 是 SOC 2 类型 2 证明报告的简短摘要,面向公众,适用于需要有关服务组织的控制措施的保证,但不需要完整的 SOC 2 报告或不符合 SOC 2 要求接收报告的用户。 由于 SOC 3 报告是一般用途报告,因此可以自由分发。

SOC 3 报告包含服务组织管理层根据适用的信托服务标准实现承诺的控制有效性的书面断言,以及服务审核员对管理层的断言是否得到公平陈述的意见。

Microsoft 范围内的云平台和云服务

Microsoft 范围内的服务显示在 Azure SOC 2 类型 2 证明报告中。

  • Azure(有关详细见解,请参阅 Microsoft Azure 合规性产品/服务或 Azure SOC 2 类型 2 证明报告)
  • Dynamics 365(有关详细见解,请参阅 Azure SOC 2 类型 2 证明报告)
  • Microsoft Defender XDR
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Forms Pro
  • Microsoft Intune
  • Microsoft 托管桌面
  • Microsoft Stream
  • Microsoft 威胁专家
  • 提名门户
  • Office 365、Office 365 美国政府版、Office 365 美国政府版 - 高级、Office 365 美国政府国防部版
  • Power Apps
  • Power Automate
  • Power BI
  • Power Virtual Agents
  • 更新合规性

Azure、Dynamics 365 和 SOC 3

有关 Azure、Dynamics 365 和其他联机服务合规性的详细信息,请参阅 Azure SOC 3 产品/服务

Office 365 和 SOC 3

Office 365环境

Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。

本部分介绍以下Office 365环境:

  • 客户端软件(客户端):客户设备上运行的商业客户端软件。
  • Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
  • Office 365 政府社区云 (GCC)Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
  • Office 365 政府社区云 - 高 (GCC High)Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
  • Office 365 DoD (DoD)Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。

使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。

你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。

Office 365 适用性和范围内的服务

使用下表确定 Office 365 服务和订阅的适用性:

适用性 范围内服务
商业 合规性管理器、客户密码箱、Delve、Exchange Online Protection、Exchange Online、Forms、Griffin、Identity Manager、密码箱 (Torus) 、Microsoft Teams、MyAnalytics、Office 365 Customer Portal Office 365微服务 (包括但不限于 Kaizala、ObjectStore、Sway、PowerPoint Online 文档服务、查询注释服务、学校数据同步、虹吸管、语音、StaffHub、eXtensible Application Program) 、Office Online、Office Services 基础结构、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、Project Online、使用 Microsoft Purview 客户密钥的服务加密、SharePoint Online Skype for Business
GCC Microsoft Entra ID、合规性管理器、Delve、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics Office 365 高级合规版 加载项Office 365安全 & 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream
GCC 高级 Microsoft Entra ID、Exchange Online、Flow、Microsoft Defender for Office 365、Microsoft Teams、Office 365 高级合规版加载项、Office 365安全 & 合规中心、Office OnlineOffice Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online Skype for Business
DoD Microsoft Entra ID、Exchange Online、Microsoft Defender for Office 365、Microsoft Teams、Office 365 高级合规版加载项、Office 365安全 & 合规中心、Office Online、Office Pro此外,OneDrive for Business、Planner、Power Automate、Power BI、SharePoint Online Skype for Business

Office 365 审核报告

必须要有 Office 365 或 Office 365 美国政府版的现有订阅或免费试用帐户,才能根据需要下载 SOC 1 和 SOC 2 证明报告和任何过渡函。

常见问题解答

Office 365 SOC 报告多久发布一次?

Microsoft每年委托对Office 365进行一次完整的 SOC 1 类型 2 和 SOC 2 类型 2 检查。 审计师关于这些检查的报告 (也称为审计) ,在审计完成后立即发布。 同时发布基于 SOC 2 检查的 SOC 3 报告。

由于Microsoft不控制审查的调查范围和审计师完成时间范围,因此在发布这些报告时没有设定的时间范围。 报告通常在审查期结束后几个月后发表。 Microsoft不允许在从一次考试到下一次的连续考试期间出现任何差距。

Microsoft还委托对自上次 SOC 类型 2 审核以来发布的新Microsoft服务Office 365进行年中 SOC 1 类型 1 和 SOC 2 类型 1 检查。 类型 1 审核不会回顾一段时间的性能。

由于Office 365的复杂性质,如果作为一个整体进行检查,则服务范围很大。 这可能会导致由于缩放而导致考试完成延迟。 Microsoft将上述所有考试分为 2 个类别:核心服务和微服务。 Microsoft发布范围限定为每次检查的报告。

SOC 类型 2 审核检查 12 个月滚动 运行窗口 (也称为审核期或更正式 的绩效) ,每年在下一日历年的 10 月 1 日至 9 月 30 日至 9 月期间进行一次检查。 完成性能期后,检查会立即开始。

Microsoft还会发出桥接字母 (也称为 间隙字母) 。 这些是Microsoft的自我证明,而不是根据审计师的检查报告。 桥牌信在当前性能期间发出,但尚未完成并准备好接受审核检查。 Microsoft在每个季度结束时发出桥牌信,以证明我们在前三个月期间的表现。 由于 SOC 类型 2 审核的运行期间,桥牌通知通常在当前运营期间的 12 月、3 月、6 月和 9 月发出。

在哪里可以获取Office 365 SOC 审核文档,包括Microsoft的桥接信?

有关审核文档的链接,请参阅服务信任门户的审核报告部分。 你必须在 Office 365 或 Office 365 美国政府版中拥有现有的订阅或免费试用版帐户才能登录。 然后,可以下载审核证书、评估报告和其他适用文档,以帮助你满足自己的法规要求。

使用 Microsoft Purview 合规性管理器评估风险

Microsoft Purview 合规性管理器Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估

资源