SOC报告

此外，创造 系统和组织控制报告(SOC 1, SOC 2, SOC 3报告) 为服务组织开发三种新的报告工具，以响应统一报告和审查的需求——扩大服务组织报告财务控制的能力, 非财务控制和, SOC 3, 成为认证的受信任系统服务组织.

注册会计师执行 SSAE 18证词 向服务组织的客户和他们的审核员提供保证, 适当和有效的控制.

• I型审计 考虑控件在特定时间点的设计有效性
• II型审计 在特定时期内检查控制的设计和操作有效性, 通常是6到12个月.

SOC 1、SOC 2和SOC 3项目解决了当今的环境:

• 需要更大的国际一致性
• 处理更新的技术，如云计算、移动和虚拟化
• 要求更广泛地承认和理解报告选项

LBMC信息安全的审计专业人员是LBMC, pc -美国50强会计师事务所的一部分. 我们为全国各地的客户提供SOC服务，并在我们提供认证工作的各州保持适当的许可证. 作为一个结果, 我们有深入的行业知识来帮助各种行业的服务提供商, 包括医疗保健和索赔处理, 金融服务, 云服务提供商, 以及商业整理和托管提供商.

SOC 1要求管理层提供其系统的书面描述，并断言系统描述是公平呈现的, 合理设计并有效操作控制目标, 并确定他们用来做出这些断言的标准.

而SOC 1则检查服务组织与财务报告相关的控制, SOC 2和SOC 3审查安全性, 可用性, 处理完整性, 保密, 以及与AICPA信托服务标准(TSC)一致的隐私报告控制.

SOC 2业务使用TSC以及AT章节101中的要求和指导, 证明活动, 的ssa (AICPA, 专业标准, 卷. 1). SOC 2报告类似于 SOC 1 报告. 可以发布类型1或类型2报告，该报告提供了服务组织系统的描述. 用于类型2报告, 它还包括服务审核员执行的测试的描述以及这些测试的结果.

浏览服务传单(PDF)

SOC 3业务使用SOC 2业务中使用的信任服务标准中的预定义标准. SOC 3报告是一份通用报告，仅提供审计员关于系统是否达到信任服务标准的报告(没有对测试和结果的描述).  同时，还允许服务机构在网站上使用SOC 3印章. SOC 3报告可以根据一个或多个信任服务标准(安全性)发布, 可用性, 处理完整性, 保密, 和隐私).

SOC网络安全检查旨在为报告用户提供信息，帮助他们了解管理流程，以处理企业范围的网络风险. 它可以适用于任何类型的组织，无论规模或行业, 报告的使用者不一定是当前的客户或客户审计员.

网络安全SOC提供以下内容:

• 报告实体网络安全风险管理计划(CRMP)的标准、一致的方式.
• 向利益相关者传达网络安全控制有效性的有效途径, 董事会, 委员会, 客户, 并通过全面的网络安全审计与合作伙伴合作.

与SOC 2报告不同，SOC的网络安全报告解决了以下问题:

• 实体在SOC中进行网络安全评估时所依据的基线是管理部门对实体网络安全风险管理程序的描述的描述标准.
• 寻求网络安全SOC的组织可以利用信任服务标准, 但在设计或评估其控制需求时，也可能使用另一个普遍接受的安全框架.
• 网络安全SOC报告是通用报告, 报告的目标通常是由公司管理层决定的. 这些报告面向比SOC 2报告更广泛的受众，并且可以与组织内部或外部的任何人共享.
• 在网络安全SOC中，控制矩阵不会包含在报告中.

LBMC信息安全团队在与AICPA合作创建和发布此评估中发挥了重要作用，以帮助您实现遵从性，并提供做出更好的业务决策所需的见解.

浏览服务传单(PDF)