Системный и организационный контроль 2, тип 2
Обзор SOC 2, тип 2
Системный и организационный контроль (SOC) для обслуживающих организаций— это отчеты о внутреннем контроле, созданные Американским институтом дипломированных общественных бухгалтеров (AICPA). Они предназначены для проверки служб, предоставляемых служебной организацией, чтобы конечные пользователи могли оценить и устранить риск, связанный с аутсорсинговой службой.
Аттестация SOC 2, тип 2 выполняется при следующих условиях:
- SSAE No. 18, Стандарты аттестации: уточнение и перекодификация, которая включает в себя раздел 105 AT-C, общие понятия для всех обязательств аттестации и AT-C раздел 205, участие в экзаменах (AICPA, профессиональные стандарты).
- Отчет SOC 2 по проверке элементов управления в обслуживающей организации, относящихся к безопасности, доступности, целостности обработки или конфиденциальности (Руководство AICPA).
- Раздел TSP 100, 2017 Критерии служб доверия для безопасности, доступности, целостности обработки и конфиденциальности (AICPA, критерии служб доверия 2017).
Кроме того, отчет об аттестации Office 365 SOC 2, тип 2 соответствует требованиям, изложенным в Матрице управления облачными средствами управления (CCM) Cloud Security Alliance (CSA) и Каталоге критериев соответствия облачных вычислений (C5: 2020), созданном Федеральным ведомством Германии по информационной безопасности (BSI).
Office 365 аттестации SOC 2 основаны на строгих комплексных сторонних экзаменах (также известных как аудиты), проводимых независимой аккредитуемой AICPA фирмой CPA. В завершении аудита SOC 2 аудитор формирует заключение в отчете SOC 2 (тип 2), в котором описывается система CSP и оценивается объективность облачного поставщика службы CSP в описании своих средств контроля. В нем также оценивается соответствие назначения средств контроля CSP; работали ли они в указанную дату и были ли эффективны в определенный период времени. Отчеты SOC 2 (тип 2) в Office 365 имеют отношение к безопасности, доступности, целостности обработки и конфиденциальности системы.
Затрагиваемые облачные платформы и службы Майкрософт
Веб-службы Майкрософт в области показаны в отчете об аттестации Azure SOC 2 (тип 2):
- Azure (подробные сведения см. в разделе Предложения по соответствию требованиям Microsoft Azure)
- Azure DevOps (см. отдельный отчет об аттестации Azure DevOps SOC 2 типа 2)
- Dynamics 365 (подробные сведения см. в отчете об аттестации Azure SOC 2 (тип 2))
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Microsoft Defender для конечной точки
- Microsoft Defender для удостоверений
- Microsoft Forms Pro
- Microsoft Intune
- Компьютеры, управляемые Майкрософт
- Microsoft Stream
- Эксперты Майкрософт по угрозам
- Темы
- Портал назначения
- Office 365, Office 365 для государственных организаций США, Office 365 для государственных организаций США — высокий уровень, Office 365 для министерства обороны США
- Power Apps
- Power Automate
- Power BI
- Power Virtual Agents
- Поддержка обновлений
Azure, Dynamics 365 и SOC 2
Дополнительные сведения о соответствии требованиям Azure, Dynamics 365 и другим веб-службам см. в разделе Предложение Azure SOC 2.
Office 365 и SOC 2
Office 365 среды
Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.
В этом разделе рассматриваются следующие Office 365 среды:
- Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
- Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
- Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
- Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
- Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.
Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.
Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.
Применимость Office 365 и затрагиваемые службы
Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.
| Применимость | Затрагиваемые службы |
|---|---|
| Коммерческий сектор | Диспетчер соответствия требованиям, Customer Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Teams, Microsoft Viva Topics, MyAnalytics, Office 365 Клиентский портал, Office 365 микрослужбы (включая, помимо прочего, Kaizala, ObjectStore, Sway, службу заметок PowerPoint Online, службу заметок запросов, синхронизацию данных школы, Siphon, речь, StaffHub, eXtensible Application Program), Office Online, инфраструктуру служб Office, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, Project Online, шифрование служб с помощью ключа клиента Microsoft Purview, SharePoint Online, Skype для бизнеса |
| GCC | Microsoft Entra ID, диспетчер соответствия требованиям, Delve, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, Microsoft Viva Topics, MyAnalytics, надстройка Office 365 Advanced Compliance, Центр соответствия требованиям Office 365 безопасности &, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса, Stream |
| GCC High | Microsoft Entra ID, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, надстройка Office 365 Advanced Compliance, Office 365 Центр соответствия требованиям безопасности &, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса |
| DoD | Microsoft Entra ID, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, надстройка Office 365 Advanced Compliance, Office 365 Центр соответствия требованиям безопасности &, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, Power BI, SharePoint Online, Skype для бизнеса |
Отчеты аудита Office 365
- Отчет SOC 2 (SSAE 18) для Office 365 Core
- Отчет SOC 2 (T1-SSAE 18, тип I) для микрослужб Office 365
- См. связывающие письма и дополнительные отчеты аудита
В соответствии с требованиями AICPA вы должны иметь существующую подписку или бесплатную пробную учетную запись в Office 365 или Office 365 правительства США, чтобы скачать отчеты об аттестации SOC 1 и SOC 2 и любые письма моста по мере необходимости.
Вопросы и ответы
Как часто выпускаются отчеты SOC для Office 365?
Корпорация Майкрософт ежегодно проводит полное обследование SOC 1 типа 2 и SOC 2 типа 2 Office 365. Отчеты аудитора об этих экзаменах (также известные как аудиты) выдаются, как только они будут готовы после этого аудита. В то же время выдается отчет SOC 3, основанный на экспертизе SOC 2.
Так как корпорация Майкрософт не контролирует следственные область экзамена и сроки завершения аудитором, сроки выдачи этих отчетов не установлены. Как правило, эти отчеты выдаются через несколько месяцев после окончания рассматриваемого периода. Корпорация Майкрософт не допускает никаких пробелов в последовательных периодах экзамена от одного экзамена к другому.
Корпорация Майкрософт также проводит в середине года проверку soc 1 type 1 и SOC 2 Type 1 Office 365 для новых служб Майкрософт, выпущенных с момента последнего аудита SOC Type 2. Аудит типа 1 не оглядывается на период производительности.
Из-за сложной природы Office 365 область службы является большим, если рассматривать как единое целое. Это может привести к задержкам в завершении экзамена просто из-за масштабирования. Корпорация Майкрософт объединяет все описанные выше экзамены в 2 категории: основные службы и микрослужбы. Корпорация Майкрософт выдает отчет по каждому экзамену.
Аудиты SOC типа 2 проверяют последовательное 12-месячное окно запуска (также известное как период аудита или более формальный период производительности) с экзаменами, проводимыми ежегодно в период с 1 октября по 30 сентября следующего календарного года. Экзамен начинается сразу после завершения периода выполнения.
Корпорация Майкрософт также выпускает буквы моста (также известные как пробелы). Это самозаверения майкрософт, а не отчеты, основанные на экзаменах аудитора. Письма моста выдаются в течение текущего периода работы, который еще не завершен и готов к аудиторской экспертизе. Корпорация Майкрософт выдает мостовые письма в конце каждого квартала, чтобы подтвердить нашу производительность за предыдущий трехмесячный период. В связи с периодом выполнения аудита SOC типа 2 письма моста обычно выдаются в декабре, марте, июне и сентябре текущего операционного периода.
Где можно получить документацию по аудиту SOC для Office 365, включая промежуточное письменное заверение?
Ссылки на документацию по аудиту см. в разделе отчет об аудите на портале Service Trust Portal. Для входа необходимо иметь существующую подписку или бесплатную пробную учетную запись в Office 365 или Office 365 правительства США. Затем вы можете скачать сертификаты аудита, отчеты об оценке и другие соответствующие документы, которые помогут вам с собственными нормативными требованиями.
Где можно найти оценку реализации элементов управления CCM Cloud Security Alliance?
Корпорация Майкрософт поручает изучить Office 365, основанных на принципах и критериях служб доверия Американского института сертифицированных публичных бухгалтеров (AICPA), включая безопасность, доступность, конфиденциальность и целостность обработки, а также критерии в матрице облачных элементов управления (CCM) Cloud Security Alliance (CSA).
Цель заключается в оценке как критериев AICPA, так и требований, изложенных в СКК, в ходе одной эффективной проверки. Аудит Office 365 SOC 2 типа 2 включает оценку элементов управления CCM в соответствии с требованиями аттестации CSA STAR. Дополнительные сведения см. в отчете об аттестации SOC 2 типа 2 для Office 365.
Где можно просмотреть ответы управления на все указанные исключения?
В большинстве обследований имеются некоторые наблюдения за одним или несколькими конкретными проверенными элементами контроля. Этого следует ожидать. Ответы руководства на любые исключения находятся в конце отчета об аттестации SOC. Выполните поиск в документе по запросу "Ответ управления".
Где можно ознакомиться с обязанностями организации-пользователя?
Обязанности сущностей пользователя — это ваши обязанности по управлению, необходимые, если система в целом соответствует стандартам управления SOC 2. Они находятся в самом конце отчета об аттестации SOC. Выполните поиск в документе по запросу "Обязанности сущностей пользователя".
Использование Microsoft Purview Compliance Manager для оценки риска
Microsoft Purview Compliance Manager — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.
Ресурсы
- Отчеты об аудите Service Trust Portal
- AICPA SOC для обслуживающих организаций
- SSAE № 18 — "Стандарты аттестации: уточнение и повторная кодификация (профессиональные стандарты AICPA)"
- Отчет SOC 2 по проверке элементов управления в обслуживающей организации, относящихся к безопасности, доступности, целостности обработки или конфиденциальности (Руководство AICPA) (можно приобрести)
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по