系統與組織控制 (SOC) 1 Type 2

SOC 1 Type 2 概觀

適用於服務組織的系統與組織控制 (SOC) 是由美國註冊會計師協會 (AICPA) 所建立的內部控制報告。 它們將用來檢查服務組織提供的服務,讓使用者能夠評估並解決與外包服務相關聯的風險。

SOC 1 Type 2 證明在以下條件下執行:

  • SSAE 第 18 號,證明標準:釐清與重新編纂,其中包括 AT-C 第 320 節 與使用者實體對財務報告之內部控制相關的服務組織控制措施檢查報告 (AICPA,專業標準)。
  • SOC 1 報告在服務組織中與使用者實體對財務報告之內部控制相關的控制措施檢查 (AICPA 指南)

除了 AICPA 聲明關於證明約定 18 (SSAE 18) 的標準之外,Office 365 SOC 1 Type 2 稽核是根據國際保證約定標準進行,其編號為 3402 (ISAE 3402)。 SOC 1 證明已取代 SAS 70,而且適合在服務組織報告與使用者實體對財務報告控制相關的控制措施。 Type 2 報告包含稽核者對於控制有效性的意見,以在指定的監視期間達成相關的控制目標。

Microsoft 範圍內雲端平台與服務

範圍中的 Microsoft 線上服務會顯示在 Azure SOC 1 Type 2 證明報告中:

  • Azure (有關詳細深入資訊,請參閱 Microsoft Azure 合規性方案或 Azure SOC 1 Type 2 證明報告)
  • Azure DevOps (請參閱個別的 Azure DevOps SOC 1 Type 2 證明報告)
  • Dynamics 365 (有關詳細深入資訊,請參閱 Azure SOC 1 Type 2 證明報告)
  • Microsoft 365 Defender
  • Microsoft 雲端 App 安全性 (MCAS)
  • 適用於端點的 Microsoft Defender (之前稱為 Microsoft Defender 進階威脅防護)
  • 適用於身分識別的 Microsoft Defender (之前稱為 Azure 進階威脅防護)
  • Microsoft Forms Pro (不在 Azure Government 的範圍內)
  • Microsoft Graph
  • Microsoft Intune
  • Microsoft 受管理的電腦 (不在 Azure Government 的範圍內)
  • Microsoft Stream
  • Microsoft 威脅專家 (不在 Azure Government 的範圍內)
  • 提名入口網站
  • Office 365、Office 365 美國政府版、Office 365 美國政府版 - High、Office 365 美國政府國防版
  • Power Apps
  • 電源自動化
  • Power BI
  • Power Virtual Agent (不在 Azure Government 的範圍內)
  • 更新合規性 (不在 Azure Government 的範圍內)

Azure、Dynamics 365 和 SOC 1

有關 Azure、Dynamics 365 及其他線上服務合規性詳細資訊,請參閱 Azure SOC 1 方案

Office 365 和 SOC 1

Office 365 雲端環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列 Office 365 雲端環境:

  • 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
  • Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
  • Office 365 政府社群雲端 (GCC)Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
  • Office 365 政府社群雲端 - High (GCC High)Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
  • Office 365 DoD (DoD)Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性:

適用性 範圍內服務
商業 合規性管理員、客戶 Lockbox、Delve、Exchange Online Protection、Exchange Online、Forms、Griffin、Identity Manager、Lockbox (Torus)、Microsoft Teams、MyAnalytics、Office 365 客戶入口網站、Office 365 微服務 (包括但不限於 Kaizala、ObjectStore、Sway、PowerPoint Online 文件服務、查詢註釋服務、學校資料同步處理、Siphon、語音、StaffHub、eXtensible Application Program)、Office Online、Office Services 基礎結構、商務用 OneDrive,Planner,PowerApps,Power BI,Project Online,客戶金鑰服務加密,SharePoint Online,商務用 Skype
GCC Azure Active Directory、合規性管理員、Delve、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、MyAnalytics、Office 365 進階合規性附加元件、Office 365 安全性與合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、Stream
GCC High Azure Active Directory、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、Office 365 進階合規性附加元件、Office 365 安全性與合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype
DoD Azure Active Directory、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、Office 365 進階合規性附加元件、Office 365 安全性與合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、Power BI、SharePoint Online、商務用 Skype

Office 365 稽核報告

您必須在 Office 365 或 Office 365 美國政府中擁有現有的訂閱或免費試用帳戶,才能下載 SOC 1 和 SOC 2 證明報告,以及任何橋接信件 (如果需要)。

常見問題集

Office 365 SOC 報告多久發行一次?

Office 365 和其他線上服務的 SOC 報告皆以 12 個月執行 (稽核期間) 為基礎,且每半年發行一次新報告 (期間結束於 3 月 31 日與 9 月 30 日)。 每季都會發放 橋接信件,以涵蓋前三個月的內容。 例如,1 月信件涵蓋 10 月 1 日到 12 月 31 日,4 月信件涵蓋 1 月 1 日到 3 月 31 日,7 月信件涵蓋 4 月 1 日到 6 月 30 日,而 10 月信件涵蓋 7 月 1 日到 9 月 30 日。

客戶如何從 Office 365 SOC 1 Type 2 證明獲益?

客戶在證明自己的金融產業特定合規性需求,例如 Sarbanes-Oxley (SOX)、聯邦金融機構檢查委員會 (FFIEC)、Gramm-Leach-Bliley Act (GLBA) 等時,可以使用 Office 365 SOC 1 Type 2 證明。

我可以在哪裡取得 Office 365 SOC 稽核文件,包括橋接信件?

有關稽核文件的連結,請參閱稽核報告一節。 您必須擁有 Office 365 或 Office 365 美國政府的現有訂閱或免費試用帳戶才能登入。 然後,您可以下載稽核憑證、評定報告及其他適用的文件,協助您符合自己的法規需求。

我可以在哪裡查看已注意到的例外狀況管理回應?

管理回應位於 SOC 證明報告的結尾處。 在文件中搜尋「管理回應」。

我可以在哪裡查看使用者實體職責?

使用者實體職責位於 SOC 證明報告的結尾。 在文件中搜尋「使用者實體職責」。

使用 Microsoft 合規性管理員來評估風險

Microsoft 合規性管理員Microsoft 365 合規性中心的功能,可協助您了解組織的合規性狀況,並採取行動以協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估

資源