系統與組織控制 (SOC) 1 Type 2
SOC 1 Type 2 概觀
適用於服務組織的系統與組織控制 (SOC) 是由美國註冊會計師協會 (AICPA) 所建立的內部控制報告。 其目的是要檢查服務組織所提供的服務,讓使用者可以評估和解決與外包服務相關聯的風險。
SOC 1 Type 2 證明在以下條件下執行:
- SSAE No. 18, Attestation Standard: Clarification and Recodification, which includes AT-C section 320, Reporting on an Examination of Controls at a Service Organization relevant to User Entities'Internal Control over Financial Reporting (AICPA, Professional Standards) .
- SOC 1 報告在服務組織中與使用者實體對財務報告之內部控制相關的控制措施檢查 (AICPA 指南)
除了 AICPA 證明約定標準聲明 18 (SSAE 18) 之外,Office 365 SOC 1 Type 2 稽核是根據國際標準保證約定第 3402 (ISAE 3402) 進行。 SOC 1 證明已取代 SAS 70,適用於報告與財務報告相關使用者實體內部控制之服務組織的控件。 Type 2 報告包含稽核者對於控制有效性的意見,以在指定的監視期間達成相關的控制目標。
Microsoft 範圍內雲端平台與服務
範圍中的 Microsoft 線上服務會顯示在 Azure SOC 1 Type 2 證明報告中:
- 如需詳細見解的 Azure (,請參閱 Microsoft Azure 合規性供應 專案)
- Azure DevOps (請參閱個別 的 Azure DevOps SOC 1 Type 2 證明報告)
- 如需詳細見解 Dynamics 365 (,請參閱 Azure SOC 1 Type 2 證明報告)
- Microsoft Defender XDR
- Microsoft 雲端 App 安全性
- 適用於端點的 Microsoft Defender
- 適用於身分識別的 Microsoft Defender
- Microsoft Forms Pro
- Microsoft Intune
- Microsoft 受管理的電腦
- Microsoft Stream
- Microsoft 威脅專家
- 提名入口網站
- Office 365、Office 365 美國政府版、Office 365 美國政府版 - High、Office 365 美國政府國防版
- Power Apps
- 電源自動化
- Power BI
- Power Virtual Agent
- 升級相容性
Azure、Dynamics 365 和 SOC 1
有關 Azure、Dynamics 365 及其他線上服務合規性詳細資訊,請參閱 Azure SOC 1 方案。
Office 365 和 SOC 1
Office 365環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋下列 Office 365 環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
| 適用性 | 範圍內服務 |
|---|---|
| 商業 | 合規性管理員、客戶加密箱、Delve、Exchange Online Protection、Exchange Online、Forms、Identity Manager、Lockbox (Torus) 、Microsoft Teams、MyAnalytics、Office 365 Customer Portal、Office 365微服務 (包括但不限於 Kaizala、ObjectStore、Sway、PowerPoint Online 檔服務、查詢批注服務、學校數據同步、Siphon、語音、StaffHub、eXtensible Application Program) 、Office Online、Office Services 基礎結構、商務用 OneDrive、Planner、PowerApps、Power BI、Project Online、使用 Microsoft Purview 客戶金鑰的服務加密、SharePoint Online、商務用 Skype |
| GCC | Microsoft Entra ID、合規性管理員、Delve、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、MyAnalytics、Office 365 進階合規性 附加元件、Office 365安全性 & 合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、Stream |
| GCC High | Microsoft Entra ID、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、Office 365 進階合規性 附加元件、Office 365 安全性 & 合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype |
| DoD | Microsoft Entra ID、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、Office 365 進階合規性 附加元件、Office 365 安全性 & 合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、Power BI、SharePoint Online、商務用 Skype |
Office 365 稽核報告
- Office 365 核心版 - SSAE 18 SOC 1 報告
- 請參閱橋接信件和其他稽核報告
您必須在 Office 365 或 Office 365 美國政府中擁有現有的訂閱或免費試用帳戶,才能下載 SOC 1 和 SOC 2 證明報告,以及任何橋接信件 (如果需要)。
常見問題集
Office 365 SOC 報告多久發行一次?
Microsoft 每年會委派完整的 SOC 1 Type 2 和 SOC 2 Type 2 檢查 Office 365。 稽核員對這些稽核 (的報告也稱為稽核) 會在稽核完成之後立即發出。 以SOC 2檢查為基礎的SOC 3報告會同時發出。
因為 Microsoft 不會控制調查範圍的檢查範圍,也不會控制稽核員完成的時間範圍,所以發出這些報告時沒有設定的時間範圍。 報告通常會在檢查期間結束後的幾個月發出。 Microsoft 不允許從一個檢查到下一個檢查的連續檢查期間有任何間距。
Microsoft 也會委派中年 SOC 1 類型 1 和 SOC 2 類型 1 檢查,以檢查自上次 SOC 類型 2 稽核以來發出的新 Microsoft 服務 Office 365。 類型 1 稽核不會回顧一段時間的效能。
由於 Office 365的複雜本質,如果整體檢查,則服務範圍會很大。 這可能會導致檢查完成延遲,因為規模過大。 Microsoft 會將先前所述的所有類別組織成 2 個類別:核心服務和微服務。 Microsoft 會發出範圍為每個檢查的報表。
SOC 類型 2 稽核會檢查輪流 12 個月的 執行期間 , (也稱為稽核期間或更正式 的效能) 期間 ,每年會在下一個日曆年度的 1-10 月到 30-9 月期間內執行。 檢查會在效能期間完成之後立即開始。
Microsoft 也會發出橋接字母 (也稱為 ) 。 這些是 Microsoft 的自我證明,不是根據稽核員所依據的報告。 橋接信件會在目前效能期間發出,但尚未完成且已準備好進行稽核檢查。 Microsoft 會在每季結束時發出橋接信件,以證明我們在前三個月期間的效能。 由於 SOC 類型 2 稽核的效能期間,網橋信件通常會在目前作業期間的 12 月、3 月、6 月和 9 月發出。
客戶如何從 Office 365 SOC 1 Type 2 證明獲益?
客戶在證明自己的金融產業特定合規性需求,例如 Sarbanes-Oxley (SOX)、聯邦金融機構檢查委員會 (FFIEC)、Gramm-Leach-Bliley Act (GLBA) 等時,可以使用 Office 365 SOC 1 Type 2 證明。
哪裡可以取得 Office 365 SOC 稽核檔,包括 Microsoft 的橋號?
如需稽核文件的連結,請參閱 服務信任入口網站的稽核報告一節。 您必須在 Office 365 或 Office 365 美國政府中擁有現有的訂用帳戶或免費試用帳戶才能登入。 然後,您可以下載稽核憑證、評定報告及其他適用的文件,協助您符合自己的法規需求。
我可以在哪裡查看已注意到的例外狀況管理回應?
大部分的人對一或多個已檢查的特定控件有一些觀察。 預期會有一些觀察。 任何例外狀況的管理回應都位於SOC證明報告的結尾。 在檔中搜尋「管理回應」。
我可以在哪裡查看使用者實體職責?
如果整個系統要符合SOC 2控制標準,則用戶實體責任是您的控制責任。 這些位於SOC證明報告的結尾。 在檔中搜尋「用戶實體責任」。
使用 Microsoft Purview 合規性管理員來評估您的風險
Microsoft Purview 合規性管理員是 Microsoft Purview 合規性入口網站 中的一項功能,可協助您了解組織的合規性狀態,並採取動作來協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。