(二)是什么？SOC的定义？

Question

一方面，“安全操作中心”，但SOC似乎是用于报告和认证领域，这是从哪里来的？信息安全法规认证中是否有其他(或更多) SOC定义，或者这些术语仅仅是将其作为描述特定it部门需要实施的实践的一种方式吗？问题来自试图确定我应该要求第三方供应商向我的组织提交什么SOC“级别”报告。

Answer 1

缩写SOC至少有两个含义，完全不相关：

• 保安行动中心
• 系统和组织控制

每当您看到"SOC “(如SOC 1或SOC 2 )时，这意味着系统和组织控制是一组复杂且定义良好的审计要求。不同的SOC级别是AICPA定义作为审计标准。

通常，在对第三方供应商进行尽职调查时，要求SOC 2报告：

SOC 2审计审查和报告服务组织与客户数据的安全性、可用性、处理完整性、保密性和/或隐私相关的内部控制。