2002 年沙賓法案 (SOX)
SOX 概觀
2002年 (SOX) 的 Sarbanes-Oxley 法案是由美國證券交易委員會 (SEC) 所管理美國聯邦法律。 除此之外,SOX 還需要公開交易的公司擁有適當的內部控制結構,以驗證其財務報表是否正確反映其財務結果。 SOX 受到客戶內部程式的嚴重影響,特別是在財務報告控制方面。 例如,SOX 需求牽涉到內部客戶控制,以準備和檢閱財務報表,特別是影響正確性、完整性、有效性,以及公開揭露與財務報告相關之內容變更的控件。
SEC 不會定義或強制執行 SOX 認證程式。 相反地,它會為公開交易的公司提供廣泛的指導方針,以判斷如何符合SOX報告需求。
Microsoft 和 SOX
遵守 Sarbanes-Oxley Act (SOX) 的 Microsoft 雲端服務客戶,可以在處理自己的 SOX 合規性義務時,使用 Microsoft 從獨立稽核公司收到的 SOC 1 Type 2 證明。 此證明適用於報告財務報告的內部控制。
即使雲端服務提供者沒有 SOX 認證或驗證,Microsoft 仍可協助客戶履行其 SOX 義務。 例如,SOX 需要內部控制來準備和檢閱財務報表,特別是影響與財務報告相關之數據變更精確度、完整性、有效性和公開揭露的控件。 為了協助公司,Microsoft 會維護SOC 1 Type 2證明,以在可用於建置各種應用程式的廣泛服務組合中報告這類控制件。 它以美國認證公用專家協會 (AICPA) 證明約定標準聲明 18 (SSAE 18) 和國際標準保證約定 3402 (ISAE 3402) 為基礎。 (此證明已取代 SAS 70.)
由第三方稽核公司產生的稽核報告證明 Microsoft 控件已在指定的日期進行適當設計、在作業中,並在指定的期間內有效運作。 客戶可以檢閱報告,以瞭解 Microsoft 控制件目標及其控件的有效性,並取得互補控制件的存取權。
在 Microsoft,我們會與客戶共同承擔合規性的責任。 我們提供合規性計劃的相關細節,您可以向認證第三方要求詳細的稽核結果來進行驗證。 不過,最後,您必須判斷我們的服務是否符合適用於您企業的特定法律和法規。 例如,有SOX相關的安全性控制措施,例如使用者對雲端資源的存取權,是您的責任:您的組織必須開發這些控件的適當稽核,作為SOX合規性的一部分。
Microsoft 範圍內雲端平台與服務
- Azure
- Dynamics 365
- Intune
- Office 365
- Power BI 雲端服務 (可作為獨立服務或包含在 Office 365 品牌方案或套件中)
Azure、Dynamics 365 和 SOX
隨著雲端採用的增強動力,越來越多的客戶探索如何將應用程式和工作負載移轉至雲端的SOX合規性義務。 即使雲端服務提供者沒有 SOX 認證或驗證,Azure 仍可協助您履行 SOX 義務。
如果您受制於 SOX 合規性義務,您應該檢閱根據下列項目執行的 Azure SOC 1 Type 2 證明:
- SSAE No. 18, Attestation Standard: Clarification and Recodification, which includes AT-C section 320, Reporting on an Examination of Controls at a Service Organization relevant to User Entities'Internal Control over Financial Reporting (AICPA, Professional Standards) .
- SOC 1 報告在服務組織中與使用者實體對財務報告之內部控制相關的控制措施檢查 (AICPA 指南)
AICPA SSAE 18 標準已取代 SAS 70,適用於報告與財務報告的使用者實體內部控制相關的服務組織控制控制件。 這是正式稽核,當您對部署在 Azure 上的資產履行自己的產業特定合規性義務時,可以依賴技術服務提供者的第三方審查。 其中包含稽核員對於控制有效性的意見,以在指定的監視期間達到相關的控制目標。
Office 365和 SOX
Office 365環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋下列 Office 365 環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
適用性 | 範圍內服務 |
---|---|
商業 | 擴增迴圈、自動替換文字、Azure 資訊保護、二進位轉換服務、Bookings、Delve、文件專案、編輯器、Exchange Online、Forms、插入在線媒體、深入解析、Kaizala、Microsoft Analytics、Microsoft Booking、Microsoft Graph、Microsoft Teams、MyAnalytics、Office 365 雲端 App 安全性、Office 365 群組、商務用 OneDrive、Planner、Power Apps、PowerApps、Power Automate、Power BI、PowerPoint Designer、PowerPoint Online 檔服務、SharePoint Online、商務用 Skype、StaffHub、Stream、Sway、To-Do、Web 轉譯服務、Viva Engage |
稽核、報告和憑證
SOC 1 類型 2 報告::
- Azure 和 Power BI
- Dynamics 365
- Office 365
常見問題集
如何使用 Microsoft SOX 合規性來促進組織的合規性程式?
當您將應用程式和資料移轉至涵蓋的 Microsoft 雲端服務時,您可以根據 Microsoft 保存的證明和認證來建置。 獨立稽核員報告證明 Microsoft 已實作的控件有效性,以協助維護數據的安全性和隱私權。 不過,您必須完全負責確保貴組織符合所有適用的法律和法規。