系統與組織控制措施 (SOC) 2 Type 2

發行項
01/31/2024

SOC 2 Type 2 概觀

適用於服務組織的系統與組織控制 (SOC) 是由美國會計師協會 (AICPA) 所建立的內部控制報告。其目的是要檢查服務組織所提供的服務，讓使用者可以評估和解決與外包服務相關聯的風險。

SOC 2 Type 2 證明在以下條件下執行：

SSAE No. 18， Attestation Standards： Clarification and Recodification， which includes AT-C section 105， Concepts Common to All Attestation Engagements， and AT-C section 205， Examination Engagements (AICPA， Professional Standards) .
SOC 2 報告服務組織與安全性、可用性、處理完整性、機密性或隱私權相關的控制措施檢查 (AICPA 指南)。
TSP 第 100 節，2017 年安全性、可用性、處理完整性、機密性和隱私權的信任服務標準 (AICPA，2017 年信任服務標準)。

此外，Office 365 SOC 2 Type 2 證明報告滿足了雲端安全聯盟 (CSA) 雲端控制矩陣 (CCM) 和德國聯邦辦公室建立的雲端運算合規性標準目錄 (C5:2020) 中規定的資訊安全 (BSI) 要求。

Office 365 SOC 2 證明是以嚴格的全面性第三方認證 (也稱為稽核) 由獨立 AICPA 認證的 CPA 公司進行。在 SOC 2 稽核結束時，稽核員會在 SOC 2 Type 2 報告中提出意見，其中描述雲端服務提供者 (CSP) 的系統，並評估 CSP 對其控制措施的描述是否公平。並且評估 CSP 的控制項是否適當設計、是否已在指定日期執行，且在指定的期間內有效運作。 Office 365 SOC 2 Type 2 報告與系統安全性、可用性、處理完整性、機密性和隱私權相關。

Microsoft 範圍內雲端平台與服務

範圍中的 Microsoft 線上服務會顯示在 Azure SOC 2 Type 2 證明報告中：

如需詳細見解的 Azure (，請參閱 Microsoft Azure 合規性供應專案)
Azure DevOps (請參閱個別的 Azure DevOps SOC 2 Type 2 證明報告)
Dynamics 365 (如需詳細深入資訊，請參閱 Azure SOC 2 Type 2 證明報告)
Microsoft Defender XDR
Microsoft 雲端 App 安全性
適用於端點的 Microsoft Defender
適用於身分識別的 Microsoft Defender
Microsoft Forms Pro
Microsoft Intune
Microsoft 受管理的電腦
Microsoft Stream
Microsoft 威脅專家
主題
提名入口網站
Office 365、Office 365 美國政府版、Office 365 美國政府版 - High、Office 365 美國政府國防版
Power Apps
電源自動化
Power BI
Power Virtual Agent
升級相容性

Azure、Dynamics 365 和 SOC 2

如需 Azure、Dynamics 365 及其他線上服務合規性詳細資訊，請參閱 Azure SOC 2 方案。

Office 365 和 SOC 2

Office 365環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台，也是全球數個區域客戶可用的應用程式和服務整合式體驗。大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如，美國) 以復原資料，但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列 Office 365 環境：

用戶端軟體 (用戶端)：客戶裝置上執行的商業用戶端軟體。
Office 365 (商業)：全球都可使用的商業公用 Office 365 雲端服務。
Office 365 政府社群雲端 (GCC)：Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
Office 365 政府社群雲端 - High (GCC High)：Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計，嚴格控制和支援受監管的聯邦和國防資訊。此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
Office 365 DoD (DoD)：Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計，控制和支援嚴格的聯邦和國防法規。此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。若要了解哪些地區提供哪些服務，請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。如需 Office 365 政府版雲端環境的詳細資訊，請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。本節中提供的資訊不構成法律建議，如果您對組織的法規合規性有任何疑問，您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性：

適用性	範圍內服務
商業	合規性管理員、客戶加密箱、Delve、Exchange Online Protection、Exchange Online、Forms、Identity Manager、Lockbox (Torus) 、Microsoft Teams、Microsoft Viva Topics、MyAnalytics、Office 365 客戶入口網站中，Office 365 微服務 (包括但不限於 Kaizala、ObjectStore、Sway、PowerPoint Online 檔服務、查詢批注服務、學校數據同步、Siphon、語音、StaffHub、eXtensible Application Program) 、Office Online、Office Services 基礎結構、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、Project Online、使用 Microsoft Purview 客戶密鑰的服務加密、SharePoint Online、商務用 Skype
GCC	Microsoft Entra ID、合規性管理員、Delve、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、Microsoft Viva Topics、MyAnalytics、Office 365 進階合規性附加元件、Office 365 安全性 & 合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、Stream
GCC High	Microsoft Entra ID、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、Office 365 進階合規性附加元件、Office 365 安全性 & 合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype
DoD	Microsoft Entra ID、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、Office 365 進階合規性附加元件、Office 365 安全性 & 合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、Power BI、SharePoint Online、商務用 Skype

Office 365 稽核報告

根據 AICPA 需求，您必須在 Office 365 或 Office 365 美國政府中擁有現有的訂用帳戶或免費試用帳戶，才能視需要下載 SOC 1 和 SOC 2 證明報告和任何橋接信件。

常見問題集

Office 365 SOC 報告多久發行一次？

Microsoft 每年會委派完整的 SOC 1 Type 2 和 SOC 2 Type 2 檢查 Office 365。稽核員對這些稽核 (的報告也稱為稽核) 會在稽核完成之後立即發出。以SOC 2檢查為基礎的SOC 3報告會同時發出。

因為 Microsoft 不會控制調查範圍的檢查範圍，也不會控制稽核員完成的時間範圍，所以發出這些報告時沒有設定的時間範圍。報告通常會在檢查期間結束後的幾個月發出。 Microsoft 不允許從一個檢查到下一個檢查的連續檢查期間有任何間距。

Microsoft 也會委派中年 SOC 1 類型 1 和 SOC 2 類型 1 檢查，以檢查自上次 SOC 類型 2 稽核以來發出的新 Microsoft 服務 Office 365。類型 1 稽核不會回顧一段時間的效能。

由於 Office 365的複雜本質，如果整體檢查，則服務範圍會很大。這可能會導致檢查完成延遲，只是因為規模。 Microsoft 會將上述所有類別整理成 2 個類別：核心服務和微服務。 Microsoft 會發出範圍為每個檢查的報表。

SOC 類型 2 稽核會檢查滾動的 12 個月 執行期間 ， (也稱為稽核期間或更正式 的效能) 期間 ，且每年會在下一個日曆年度的 1-10 月到 30-9 月期間執行。檢查會在效能期間完成之後立即開始。

Microsoft 也會發出橋接字母 (也稱為 ) 。 這些是 Microsoft 的自我證明，不是根據稽核員所依據的報告。橋接信件會在目前效能期間發出，但尚未完成且已準備好進行稽核檢查。 Microsoft 會在每季結束時發出橋接信件，以證明我們在前三個月期間的效能。由於 SOC 類型 2 稽核的效能期間，網橋信件通常會在目前作業期間的 12 月、3 月、6 月和 9 月發出。

我可以在哪裡取得 Office 365 SOC 稽核文件，包括橋接信件？

如需稽核文件的連結，請參閱服務信任入口網站的稽核報告一節。您必須在 Office 365 中擁有現有的訂用帳戶或免費試用帳戶，或 Office 365 美國政府才能登入。然後，您可以下載稽核憑證、評定報告及其他適用的文件，協助您符合自己的法規需求。

我可以在哪裡找到雲端安全性聯盟 CCM 控制措施的評定？

Microsoft 會根據美國認證公 Office 365 協會 (AICPA) 信任服務準則和準則，包括安全性、可用性、機密性和處理完整性，以及雲端安全性聯盟 (CSA) 雲端控制矩陣 (CCM) 中的準則進行檢查。

目標是在一次有效率的檢查中，評估 CCM 中所設定的 AICPA 準則和需求。 Office 365 SOC 2 類型 2 稽核會納入 CSA STAR 證明所需的 CCM 控制件評估。如需詳細資訊，請參閱 Office 365 SOC 2 Type 2 證明報告。

哪裡可以看到任何例外狀況的管理回應已記下？

大部分的人對一或多個已檢查的特定控件有一些觀察。這是預期的。任何例外狀況的管理回應都位於SOC證明報告的結尾。在檔中搜尋「管理回應」。

我可以在哪裡查看使用者實體職責？

如果整個系統要符合SOC 2控制標準，則用戶實體責任是您的控制責任。這些位於SOC證明報告的結尾。在檔中搜尋「用戶實體責任」。

使用 Microsoft Purview 合規性管理員來評估您的風險

Microsoft Purview 合規性管理員是 Microsoft Purview 合規性入口網站中的一項功能，可協助您了解組織的合規性狀態，並採取動作來協助降低風險。合規性管理員會提供特優範本以為此法規建立評定。可在合規性管理員的 [評定範本] 頁面尋找範本。瞭解如何在合規性管理員中建立評估。