2002 年萨班尼斯-奥克斯莱法案 (Sarbanes-Oxley Act of 2002, SOX)
SOX 概述
2002年《萨班斯-奥克斯利法案》 (SOX) 是美国联邦法律,由美国证券交易委员会(SEC) () 管理。 除其他事项外,SOX 要求上市公司建立适当的内部控制结构,以验证其财务报表是否准确反映其财务结果。 SOX 受到客户内部流程的严重影响,尤其是在控制财务报告方面。 例如,SOX 要求涉及用于准备和审查财务报表的内部客户控制,尤其是影响与财务报告相关的重大更改的准确性、完整性、有效性和公开披露的控制措施。
SEC 不定义或强制实施 SOX 认证流程。 相反,它为公开交易的公司提供了广泛的指南,以确定如何遵守 SOX 报告要求。
Microsoft 和 SOX
遵守 Sarbanes-Oxley 法案 (SOX) 的 Microsoft 云服务客户可以使用 Microsoft 在履行自己的 SOX 合规性义务时从独立审核公司收到的 SOC 1 类型 2 证明。 此证明适用于报告对财务报告的内部控制。
即使云服务提供商没有 SOX 认证或验证,Microsoft 也可以帮助客户履行 SOX 义务。 例如,SOX 要求对编制和审查财务报表进行内部控制,尤其是影响与财务报告相关的重大更改的准确性、完整性、有效性和公开披露的控制措施。 为了帮助公司,Microsoft 维护了一个 SOC 1 类型 2 证明,该证明适用于在可用于构建各种应用程序的各种服务组合中报告此类控制。 它基于美国注册会计师协会 (AICPA) 声明 18 (SSAE 18) 和国际保证协定标准第 3402 号 (ISAE 3402) 。 (此证明替换了 SAS 70.)
由第三方审核公司生成的审核报告证明,Microsoft 控制措施设计得当,在指定日期运行,并在指定时间段内有效运行。 客户可以查看报告,了解 Microsoft 控制目标及其控件的有效性,并获取补充控制。
在 Microsoft,我们与客户共同承担合规性的责任。 我们提供有关我们的合规性计划的详细信息,你可以通过请求认证第三方的详细审核结果进行验证。 但是,最终由你决定我们的服务是否符合适用于你的业务的特定法律和法规。 例如,存在与 SOX 相关的安全控制措施,例如用户对云资源的访问,这是你的责任:你的组织必须在 SOX 合规性过程中制定对这些控制措施的相应审核。
Microsoft 范围内的云平台和云服务
- Azure
- Dynamics 365
- Intune
- Office 365
- Power BI 云服务(作为独立服务提供,或者随 Office 365 品牌计划或套件一并提供)
Azure、Dynamics 365和 SOX
随着云采用的势头不断提升,越来越多的客户正在探索如何将受 SOX 合规性义务约束的应用程序和工作负载迁移到云。 即使没有针对云服务提供商的 SOX 认证或验证,Azure 也可以帮助你履行 SOX 义务。
如果遵守 SOX 合规性义务,则应查看 Azure SOC 1 类型 2 证明,该证明根据以下规定执行:
- SSAE 第 18 号证明标准:澄清和重新编码,其中包括 AT-C 第 320 节, 报告与用户实体对财务报告 (AICPA 的内部控制相关的服务组织的控制检查 ,专业标准) 。
- SOC 1 对与用户实体财务报告的内部控制相关的服务组织中的控制检查进行报告(AICPA 指南)。
AICPA SSAE 18 标准取代了 SAS 70,它适用于报告与用户实体对财务报告的内部控制相关的服务组织中的控制措施。 这是在针对 Azure 上部署的资产追求自己的行业特定合规性义务时,可以依赖对技术服务提供商进行第三方评审的正式审核。 它包括审计师对在指定监视期间实现相关控制目标的控制有效性的意见。
Office 365和 SOX
Office 365环境
Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。
本部分介绍以下Office 365环境:
- 客户端软件(客户端):客户设备上运行的商业客户端软件。
- Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
- Office 365 政府社区云 (GCC):Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
- Office 365 政府社区云 - 高 (GCC High):Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
- Office 365 DoD (DoD):Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。
使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。
你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。
Office 365 适用性和范围内的服务
使用下表确定 Office 365 服务和订阅的适用性:
适用性 | 范围内服务 |
---|---|
商业 | 扩充循环、自动替换文字、Azure 信息保护、二进制转换服务、Bookings、Delve、文档项、编辑器、Exchange Online、Forms、插入联机媒体、见解、Kaizala、Microsoft Analytics、Microsoft Booking、Microsoft Graph、Microsoft Teams、MyAnalytics、Office 365 云应用安全、Office 365组、OneDrive for Business、Planner、Power Apps、PowerApps、Power Automate、Power BI、PowerPoint Designer、PowerPoint Online 文档服务、SharePoint OnlineSkype for Business、StaffHub、Stream、Sway、微软待办、Web 渲染服务Viva Engage |
审核、报告和证书
针对以下项的 SOC 1 类型 2 报告:
- Azure 和 Power BI
- Dynamics 365
- Office 365
常见问题解答
如何使用 Microsoft SOX 合规性来促进组织的合规性过程?
将应用程序和数据迁移到涵盖的 Microsoft 云服务时,可以基于 Microsoft 持有的证明和认证。 独立审核报告证明 Microsoft 为帮助维护数据的安全性和隐私而实施的控制措施的有效性。 但是,你完全负责确保组织遵守所有适用的法律和法规。