系統與組織控制 (SOC) 3
SOC 3 概觀
適用於服務組織的系統與組織控制 (SOC) 是由美國註冊會計師協會 (AICPA) 所建立的內部控制報告。 其目的是要檢查服務組織所提供的服務,讓使用者可以評估和解決與外包服務相關聯的風險。
服務組織的SOC 3:一般使用報表的信任服務準則 是SOC 2類型2證明報告的簡短公開摘要,適用於需要服務組織控制保證,但不需要完整SOC 2報告,或不符合SOC 2接收報告資格的使用者。 由於 SOC 3 報告是一般用途報告,因此可以自由發佈。
SOC 3 報告包含服務組織管理所撰寫的判斷提示,其中包含根據適用的信任服務準則來達成承諾的控制有效性,以及服務稽核員對於管理判斷提示是否公平陳述的意見。
Microsoft 範圍內雲端平台與服務
Microsoft 範圍內服務會顯示在 Azure SOC 2 Type 2 證明報告中。
- Azure (有關詳細深入資訊,請參閱 Microsoft Azure 合規性方案或 Azure SOC 2 Type 2 證明報告)
- Dynamics 365 (有關詳細深入資訊,請參閱 Azure SOC 2 Type 2 證明報告)
- Microsoft Defender XDR
- Microsoft 雲端 App 安全性
- 適用於端點的 Microsoft Defender
- 適用於身分識別的 Microsoft Defender
- Microsoft Forms Pro
- Microsoft Intune
- Microsoft 受管理的電腦
- Microsoft Stream
- Microsoft 威脅專家
- 提名入口網站
- Office 365、Office 365 美國政府版、Office 365 美國政府版 - High、Office 365 美國政府國防版
- Power Apps
- 電源自動化
- Power BI
- Power Virtual Agent
- 升級相容性
Azure、Dynamics 365 和 SOC 3
有關 Azure、Dynamics 365 及其他線上服務合規性詳細資訊,請參閱 Azure SOC 3 方案。
Office 365 和 SOC 3
Office 365環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋下列 Office 365 環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
適用性 | 範圍內服務 |
---|---|
商業 | 合規性管理員、客戶加密箱、Delve、Exchange Online Protection、Exchange Online、Forms、Identity Manager、Lockbox (Torus) 、Microsoft Teams、MyAnalytics、Office 365 Customer Portal、Office 365微服務 (包括但不限於 Kaizala、ObjectStore、Sway、PowerPoint Online 文件服務、查詢批注服務、學校數據同步、Siphon、語音、StaffHub、eXtensible Application Program) 、Office Online、Office Services Infrastructure、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、Project Online、Microsoft Purview 客戶密鑰的服務加密、SharePoint Online 商務用 Skype |
GCC | Microsoft Entra ID、合規性管理員、Delve、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、MyAnalytics、Office 365 進階合規性 附加元件、Office 365安全性 & 合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、Stream |
GCC High | Microsoft Entra ID、Exchange Online、Flow、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、Office 365 進階合規性 附加元件、Office 365 安全性 & 合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online 商務用 Skype |
DoD | Microsoft Entra ID、Exchange Online、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、Office 365 進階合規性 附加元件、Office 365 安全性 & 合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、Power Automate、Power BI、SharePoint Online、商務用 Skype |
Office 365 稽核報告
您必須在 Office 365 或 Office 365 美國政府中擁有現有的訂閱或免費試用帳戶,才能下載 SOC 1 和 SOC 2 證明報告,以及任何橋接信件 (如果需要)。
常見問題集
Office 365 SOC 報告多久發行一次?
Microsoft每年會委派完整的 SOC 1 類型 2 和 SOC 2 類型 2 檢查 Office 365。 稽核員對這些稽核 (的報告也稱為稽核) 會在稽核完成之後立即發出。 以SOC 2檢查為基礎的SOC 3報告會同時發出。
因為Microsoft不會控制檢查的調查範圍,也不會控制稽核員完成的時間範圍,所以發出這些報告時沒有設定的時間範圍。 報告通常會在檢查期間結束後的幾個月發出。 Microsoft不允許從一個檢查到下一個檢查的連續檢查期間有任何間距。
Microsoft也會針對自上次 SOC 類型 2 稽核以來發出的新Microsoft服務,委派中年 SOC 1 類型 1 和 SOC 2 類型 1 檢查 Office 365。 類型 1 稽核不會回顧一段時間的效能。
由於 Office 365的複雜本質,如果整體檢查,則服務範圍會很大。 這可能會導致檢查完成延遲,因為規模過大。 Microsoft將上述所有類別組織成 2 個類別:核心服務和微服務。 Microsoft問題報告的範圍為每個檢查。
SOC 類型 2 稽核會檢查滾動的 12 個月 執行期間 , (也稱為稽核期間或更正式 的效能) 期間 ,且每年會在下一個日曆年度的 1-10 月到 30-9 月期間執行。 檢查會在效能期間完成之後立即開始。
Microsoft也會發出橋接字母 (也稱為 間距字母) 。 這些是依Microsoft的自我證明,而非稽核員根據健康情況的報告。 橋接信件會在目前效能期間發出,但尚未完成且已準備好進行稽核檢查。 Microsoft在每季結束時發出橋接信件,以證明我們在前三個月期間的效能。 由於 SOC 類型 2 稽核的效能期間,網橋信件通常會在目前作業期間的 12 月、3 月、6 月和 9 月發出。
哪裡可以取得 Office 365 SOC 稽核檔,包括Microsoft的橋號?
如需稽核文件的連結,請參閱服務信任入口網站的稽核報告一節。 您必須在 Office 365 或 Office 365 美國政府中擁有現有的訂用帳戶或免費試用帳戶才能登入。 然後,您可以下載稽核憑證、評定報告及其他適用的文件,協助您符合自己的法規需求。
使用 Microsoft Purview 合規性管理員來評估您的風險
Microsoft Purview 合規性管理員是 Microsoft Purview 合規性入口網站 中的一項功能,可協助您了解組織的合規性狀態,並採取動作來協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。