因此，您已经在AWS或其他基础设施即服务提供商的基础上构建了软件即服务（SaaS）应用程序。您这样做的原因之一可能是为了利用符合AWS SOC 2的基础设施。AWS等服务组织收到SOC 2报告，向投资者和客户等利益相关者证明AWS基础设施是安全和可用的。此外，AWS的用户希望知道AWS的控件设计合理，运行有效。利用AWS SOC 2创建您自己的符合SOC 2的应用程序在我们的客户中很常见。

偶尔，我们会收到客户的询问，

“AWS已经有了SOC 2，我们也需要自己的SOC 2吗？”

答案是，这取决于您的客户和利益相关者。仅仅因为AWS负责某些控制以满足SOC 2标准，并不意味着贵公司不负责其他控制以满足SOC 2标准。如果你的客户有精明的审计师，他们也会要求保证你公司负责的控制措施设计和运行有效。

如果您在AWS或Azure上构建应用程序，您公司的SOC 2将不包括AWS或Azure负责的控制。这些都是从报告中分离出来的，报告仅涵盖您的SaaS公司为满足适用的SOC 2信任服务标准而实施的控制。

摘要：在本文中，我们将查看SOC 2 Type 2报告，并将其与ISO/IEC 27001和HITRUST进行比较。您将了解法规遵从性评估之间的显著差异、范围、谁受益、何时应考虑评估以及认证持续时间。在本文结束时，您将了解Soc 2 Type 2报告涵盖的内容、主要好处以及开始评估所需采取的步骤。

什么是SOC 2类型2报告？

SOC 2类型2报告是服务组织控制（SOC）对基于云的服务提供商如何处理敏感信息的审计。它涵盖了公司控制措施的适用性及其运营效率。

对于云和数据存储公司来说，对其安全保障进行独立评估是信任的基石，涵盖了五大信任服务原则（TSP）：安全性、可用性、处理完整性、保密性和隐私。作为评估的一部分，基于云的供应商托管独立检查员，向他们提供控制文档，并允许对其系统进行采样和测试。

SOC 2是一个流行的安全和风险评估框架，但公司可能会考虑使用ISO/IEC 27001或HITRUST。

随着当今数据泄露和黑客行为的激增，难怪人们更加关注信息安全。SOC 2报告是通用报告，向用户组织和利益相关者提供特定服务安全提供的保证。SOC 2还可以包括与可用性、机密性、处理完整性和隐私相关的标准。

在本文中，我们将讨论与SOC 2报告相关的一些常见问题。SOC 2合规性并不一定很难，尽管在某些术语中，最初可能会令人困惑。那么什么是SOC 2报告和检查？让我们潜水吧！

什么是SOC 2认证？

SOC 2不是认证，但通常称为认证。干净的报告意见表明，审计事务所同意管理层关于控制设计（I类和II类）和操作（仅II类）的主张。清洁报告是一种“通行证”，有时也称为认证。在许多情况下，意见是积极的，会计师事务所同意管理层的主张。在某些情况下，会计师事务所不同意管理层的主张，并提供了保留意见或反对意见。请参阅这篇关于保留意见的博客文章。虽然SOC 2在技术上是一份认证报告，但人们通常将SOC 2称为认证。有关更多信息，请参阅与认证报告相关的AICPA页面。

信息安全是所有组织关注的一个原因，包括那些将关键业务运营外包给第三方供应商（如SaaS、云计算提供商）的组织。这是理所当然的，因为数据处理不当，尤其是应用程序和网络安全提供商处理不当的数据，会使企业容易受到攻击，例如数据盗窃、敲诈和恶意软件安装。

SOC 2是一种审计程序，可确保您的服务提供商安全地管理您的数据，以保护您组织的利益及其客户的隐私。对于有安全意识的企业，在考虑SaaS提供商时，符合SOC 2是最低要求。

什么是SOC 2

由美国注册会计师协会（AICPA）开发的SOC 2定义了基于五个“信任服务原则”的客户数据管理标准-安全性、可用性、处理完整性、保密性和隐私。

与PCI DSS不同，PCI DSS具有非常严格的要求，SOC 2报告对于每个组织都是唯一的。根据具体的业务实践，每一家公司都设计了自己的控制措施，以符合一项或多项信托原则。

云帮助企业通过经济高效的解决方案保持灵活性，但它安全吗？了解SOC 2 Type 2报告如何确保云提供商保持最高级别的安全性。

云提供商安全控制。

云服务提供商管理大量重要的用户数据，这就是为什么必须遵守最严格的安全准则来确保信息安全。

服务组织控制（SOC）第2类报告概述了公司的内部控制，并详细说明了它们如何保护客户数据，特别是针对云服务提供商。具体来说，它是一个第三方审计，显示安全协议是否安全有效。

当服务提供商通过SOC类型2审计时，这证明了他们的内部控制在较长的一段时间内仍然有效。

SOC 2类型2报告所涵盖的标准。

所有SOC 2审计涵盖五项信托服务标准：