系統與組織控制

美國註冊會計師協會（英語：American Institute of Certified Public Accountants）（AICPA）定義的系統與組織控制（英語：System and Organization Controls，簡稱SOC；有時也稱服務組織控制）是指隨審計過程製成的一套報告。這套報告旨在供將資訊系統作為服務提供給其他組織的組織（這被稱為「服務組織」）向這些系統所服務的用戶發佈經過驗證的這些資訊系統之內部控制的報告。報告側重的五類原則被稱為信任服務原則（或準則）。^[1]AICPA審計標準《關於鑑證業務標準的聲明第18號（英語：Statement on Standards for Attestation Engagements no. 18）》（SSAE 18），第320節，定義了類型1與類型2兩個級別的報告。其他AICPA指南中則規定了三種報告類型：SOC 1、SOC 2和SOC 3。

信任服務原則

SOC報告重點關注被稱為「信任服務原則」的五大類問題（其中問題有所重疊），以滿足「CIA triad（機密性、完整性、可用性）」這三大要素的目標：^[1]

1. 安全性
   • 防火牆
   • 入侵檢測
   • 多因素身份驗證
2. 可用性
   • 效能監視
   • 災難恢復
   • 事件處理
3. 機密性
   • 加密
   • 訪問控制
   • 防火牆
4. 加工完整性
   • 質素保證
   • 過程監視
5. 私隱
   • 訪問控制
   • 多因素身份驗證
   • 加密

報告

級別

SSAE 18規定了兩種SOC報告的級別：^[1]

• 類型I，描述了服務組織的系統以及特定的控制設計是否滿足相關的信任原則。（設計和文件是否可能實現報告中定義的目標）
• 類型II，報告還涉及到特定的控制在一段時間（通常為9到12個月）內的執行有效性。（實施是否得當）

類型

SOC報告也被分為三種類型。^[2]

• SOC 1 — 財務報告內部控制（ICFR）^[3]
• SOC 2 — 信任服務指標^[4]
• SOC 3 — 一般用途的信任服務指標報告^[5]

此外，還有專門針對網絡安全和供應鏈的SOC報告。

SOC 1和SOC 2報告是面向有限受眾，尤其是對相關系統有充分了解的用戶。SOC 3報告則較少包含具體資訊，可以向一般公眾分發。

參考資料

1. SOC 2 Compliance. imperva.com. Imperva. [25 February 2020]. （原始內容存檔於2021-11-06）. 
2. System and Organization Controls: SOC Suite of Services. AICPA. [2020-03-06]. （原始內容存檔於2021-10-08） （英語）. 
3. SOC 1 - SOC for Service Organizations: ICFR. AICPA. [2020-03-06]. （原始內容存檔於2021-10-06） （英語）. 
4. SOC 2® - SOC for Service Organizations: Trust Services Criteria. AICPA. [2020-03-06]. （原始內容存檔於2021-10-12） （英語）. 
5. SOC 3® SOC for Service Organizations: Trust Services Criteria for General Use Report. AICPA. [2020-03-06]. （原始內容存檔於2021-10-11） （英語）. 

外部連結

• "Statement on Standards for Attestation Engagements 18, Attestation Standards: Clarification and Recodification" （頁面存檔備份，存於互聯網檔案館）（英文）, AICPA
• "Professional Standards", section AT-C 320 （頁面存檔備份，存於互聯網檔案館）（英文）, AICPA