系統與組織控制措施 (SOC) 2 Type 2
SOC 2 Type 2 概觀
適用於服務組織的系統與組織控制 (SOC) 是由美國會計師協會 (AICPA) 所建立的內部控制報告。 它們將用來檢查服務組織提供的服務,讓使用者能夠評估並解決與外包服務相關聯的風險。
SOC 2 Type 2 證明在以下條件下執行:
- SSAE 第 18 號,證明標準:釐清與重新編纂,其中包括 AT-C 第 105 節 所有證明業務通用的概念 和 AT-C 第 205 節 檢查業務 (AICPA,專業標準)。
- SOC 2 報告服務組織與安全性、可用性、處理完整性、機密性或隱私權相關的控制措施檢查 (AICPA 指南)。
- TSP 第 100 節,2017 年安全性、可用性、處理完整性、機密性和隱私權的信任服務標準 (AICPA,2017 年信任服務標準)。
此外,Office 365 SOC 2 Type 2 證明報告滿足了雲端安全聯盟 (CSA) 雲端控制矩陣 (CCM) 和德國聯邦辦公室建立的雲端運算合規性標準目錄 (C5:2020) 中規定的資訊安全 (BSI) 要求。
Office 365 SOC 2 證明是根據信譽良好的 CPA 公司進行嚴格的獨立協力廠商稽核。 在 SOC 2 稽核結束時,稽核員會在 SOC 2 Type 2 報告中提出意見,其中描述雲端服務提供者 (CSP) 的系統,並評估 CSP 對其控制措施的描述是否公平。 並且評估 CSP 的控制項是否適當設計、是否已在指定日期執行,且在指定的期間內有效運作。 Office 365 SOC 2 Type 2 報告與系統安全性、可用性、處理完整性、機密性和隱私權相關。
Microsoft 範圍內雲端平台與服務
範圍中的 Microsoft 線上服務會顯示在 Azure SOC 2 Type 2 證明報告中:
- Azure (如何詳細深入資訊,請參閱 Microsoft Azure 合規性方案或 Azure SOC 2 Type 2 證明報告)
- Azure DevOps (請參閱個別的 Azure DevOps SOC 2 Type 2 證明報告)
- Dynamics 365 (如需詳細深入資訊,請參閱 Azure SOC 2 Type 2 證明報告)
- Microsoft 365 Defender
- Microsoft 雲端 App 安全性 (MCAS)
- 適用於端點的 Microsoft Defender
- 適用於身分識別的 Microsoft Defender
- Microsoft Forms Pro (不在 Azure Government 的範圍內)
- Microsoft Graph
- Microsoft Intune
- Microsoft 受管理的電腦 (不在 Azure Government 的範圍內)
- Microsoft Stream
- Microsoft 威脅專家 (不在 Azure Government 的範圍內)
- 提名入口網站
- Office 365、Office 365 美國政府版、Office 365 美國政府版 - High、Office 365 美國政府國防版
- Power Apps
- 電源自動化
- Power BI
- Power Virtual Agent (不在 Azure Government 的範圍內)
- 更新合規性 (不在 Azure Government 的範圍內)
Azure、Dynamics 365 和 SOC 2
如需 Azure、Dynamics 365 及其他線上服務合規性詳細資訊,請參閱 Azure SOC 2 方案。
Office 365 和 SOC 2
Office 365 雲端環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋下列 Office 365 雲端環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
| 適用性 | 範圍內服務 |
|---|---|
| 商業 | 合規性管理員、客戶 Lockbox、Delve、Exchange Online Protection、Exchange Online、Forms、Griffin、Identity Manager、Lockbox (Torus)、Microsoft Teams、MyAnalytics、Office 365 客戶入口網站、Office 365 微服務 (包括但不限於 Kaizala、ObjectStore、Sway、PowerPoint Online 文件服務、查詢註釋服務、學校資料同步處理、Siphon、語音、StaffHub、eXtensible Application Program)、Office Online、Office Services 基礎結構、商務用 OneDrive,Planner,PowerApps,Power Automate,Power BI,Project Online,客戶金鑰服務加密,SharePoint Online,商務用 Skype |
| GCC | Azure Active Directory、合規性管理員、Delve、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、MyAnalytics、Office 365 進階合規性附加元件、Office 365 安全性與合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、Stream |
| GCC High | Azure Active Directory、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、Office 365 進階合規性附加元件、Office 365 安全性與合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype |
| DoD | Azure Active Directory、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、Office 365 進階合規性附加元件、Office 365 安全性與合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、Power BI、SharePoint Online、商務用 Skype |
Office 365 稽核報告
- Office 365 核心版 - SSAE 18 SOC 2 報告
- Office 365 微服務 T1-SSAE 18 SOC2 Type I 報告
- 請參閱 Bridge Letter 和其他稽核報告
您必須在 Office 365 或 Office 365 美國政府中擁有現有的訂閱或免費試用帳戶,才能下載 SOC 1 和 SOC 2 證明報告,以及任何橋接信件 (如果需要)。
常見問題集
Office 365 SOC 報告多久發行一次?
Office 365 和其他線上服務的 SOC 報告皆以 12 個月執行 (稽核期間) 為基礎,且每半年發行一次新報告 (期間結束於 3 月 31 日與 9 月 30 日)。 每季都會發放 橋接信件,以涵蓋前三個月的內容。 例如,1 月信件涵蓋 10 月 1 日到 12 月 31 日,4 月信件涵蓋 1 月 1 日到 3 月 31 日,7 月信件涵蓋 4 月 1 日到 6 月 30 日,而 10 月信件涵蓋 7 月 1 日到 9 月 30 日。
我可以在哪裡取得 Office 365 SOC 稽核文件,包括橋接信件?
如需稽核文件的連結,請參閱稽核報告一節。 您必須擁有 Office 365 或 Office 365 美國政府的現有訂閱或免費試用帳戶才能登入。 然後,您可以下載稽核憑證、評定報告及其他適用的文件,協助您符合自己的法規需求。
我可以在哪裡找到雲端安全性聯盟 CCM 控制措施的評定?
Office 365 SOC 2 Type 2 稽核是根據美國會計師協會 (AICPA) 信任服務原則與準則 (包括安全性、可用性、機密性、隱私權和處理完整性) 以及雲端安全聯盟 (CSA) 雲端控制矩陣 (CCM) 中的準則所建立。 目標是同時符合上述的 AICPA 準則和 CCM 中規定的需求。 Office 365 SOC 2 Type 2 稽核會納入 CSA STAR 證明所需的 CCM 控制措施評定。 如需詳細資訊,請參閱 Office 365 SOC 2 Type 2 證明報告。
我可以在哪裡查看已注意到的例外狀況管理回應?
管理回應位於 SOC 證明報告的結尾處。 在文件中搜尋「管理回應」。
我可以在哪裡查看使用者實體職責?
使用者實體職責位於 SOC 證明報告的結尾。 在文件中搜尋「使用者實體職責」。
使用 Microsoft 合規性管理員來評估風險
Microsoft 合規性管理員是 Microsoft 365 合規性中心的功能,可協助您了解組織的合規性狀況,並採取行動以協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。