41 lines
1.4 KiB
Markdown
41 lines
1.4 KiB
Markdown
---
|
||
title: "SOC 2"
|
||
type: concept
|
||
tags: []
|
||
sources: [compliance-auditor]
|
||
last_updated: 2026-04-30
|
||
---
|
||
|
||
# SOC 2
|
||
|
||
## Aliases
|
||
- SOC2
|
||
- SOC 2 Type I
|
||
- SOC 2 Type II
|
||
- Service Organization Control 2
|
||
|
||
## Definition
|
||
|
||
SOC 2(Service Organization Control 2)是由美国注册会计师协会(AICPA)制定的信任服务标准认证框架,用于评估服务组织在安全性、可用性、处理完整性、保密性和隐私性五个信任服务标准方面的控制措施。
|
||
|
||
## Core Components
|
||
|
||
### 信任服务标准(Trust Service Criteria)
|
||
1. **安全性(Security)**:系统受到保护,防止未授权访问
|
||
2. **可用性(Availability)**:系统能够按照承诺运行
|
||
3. **处理完整性(Processing Integrity)**:系统处理完整、有效、准确、及时
|
||
4. **保密性(Confidentiality)**:指定为保密的信息得到保护
|
||
5. **隐私性(Privacy)**:个人信息的收集、使用、保留和披露符合组织的隐私声明
|
||
|
||
### SOC 2 类型
|
||
- **Type I**:评估控制措施在特定日期的设计适当性
|
||
- **Type II**:评估控制措施在指定期间(通常6-12个月)的设计和运行有效性
|
||
|
||
## Related Concepts
|
||
- [[Gap Assessment]]:SOC 2 审计前的必备步骤
|
||
- [[Evidence Collection]]:SOC 2 Type II 审计的核心要求——需证明控制在整个审计期间持续有效
|
||
- [[Continuous Compliance]]:SOC 2 年度审计间隔期间的持续合规实践
|
||
|
||
## Related Sources
|
||
- [[compliance-auditor]]
|