SOC Reporting

Furthermore, the creation of 系统和组织控制报告(SOC 1、SOC 2、SOC 3报告) 提供为服务组织开发的三种新的报告工具，以响应统一报告和审查的需求——扩大服务组织报告财务控制的能力, non-financial controls and, with SOC 3, 成为经过认证的可信任的系统服务组织.

CPAs perform SSAE 18 attestments 向服务组织的客户及其审核员提供组织确定的保证, 适当和有效的控制.

• Type I audits 考虑控件在特定时间点的设计有效性
• Type II audits 在一个特定的时期内检查控制的设计和操作的有效性, typically six to 12 months.

SOC 1、SOC 2和SOC 3业务涉及到今天的环境:

• 需要更大的国际一致性
• 解决新技术，如云计算、移动和虚拟化
• 要求更广泛地认识和理解报告方案

LBMC信息安全的审计专业人员是美国前50强会计师事务所LBMC, pc的一部分. 我们为全国各地的客户提供SOC服务，并在我们提供验证工作的州保持适当的许可证. As a result, 我们拥有深入的行业知识，帮助不同行业的服务提供商, 包括医疗保健和索赔处理, financial services, cloud service providers, 以及商业排序和托管提供商.

SOC 1要求管理层提供其系统的书面描述，并断言系统描述被公平地提出, 控制目标的适当设计和有效操作, 并确定他们用来做出这些断言的标准.

而SOC 1则审查服务组织与财务报告有关的控制, SOC 2和SOC 3检查安全性, availability, processing integrity, confidentiality, 与AICPA信托服务标准(TSC)一致的隐私报告控制。.

SOC 2业务使用TSC以及AT第101节中的要求和指导, attest engagements, of SSAEs (AICPA, professional standards, vol. 1). SOC 2报告类似于 SOC 1 report. 可以发布第1类或第2类报告，报告提供了服务组织系统的描述. For a type 2 report, 它还包括服务审计员执行的测试的描述以及这些测试的结果.

View Service Flyer (PDF)

SOC 3业务使用在SOC 2业务中使用的信任服务标准中的预定义标准. SOC 3报告是一份通用报告，仅提供审计人员关于系统是否达到信任服务标准的报告(没有测试和结果的说明).  它还允许服务组织在其网站上使用SOC 3印章. SOC 3报告可以发布一个或多个信任服务标准(安全性, availability, processing integrity, confidentiality, and privacy).

网络安全检查SOC旨在为报告用户提供信息，帮助他们了解管理层处理全企业网络风险的流程. 它可以用于任何类型的组织，无论其规模或行业, 报告用户不一定是当前的客户或客户审计员.

网络安全SOC提供以下内容:

• 报告实体网络安全风险管理计划(CRMP)的标准、一致的方式.
• 向利益相关者传达网络安全控制有效性的有效途径, boards, committees, customers, 和合作伙伴通过全面的网络安全审计.

与SOC 2报告不同，网络安全SOC报告涉及以下内容:

• 在网络安全SOC中评估实体时所依据的基线是管理层对实体网络安全风险管理程序描述的描述标准.
• 追求网络安全SOC的组织可以使用信任服务标准, 但在设计或评估其控制需求时，也可以使用另一个普遍接受的安全框架.
• 网络安全报告的SOC是一般使用报告, 报告的目标通常是由公司管理层决定的. 这些报告适用于比SOC 2报告更广泛的受众，并且可以与组织内部或外部的任何人共享.
• 在网络安全SOC中，控制矩阵将不包括在报告中.

LBMC信息安全团队在与AICPA合作创建和发布该评估时发挥了重要作用，以帮助您实现遵从性，并提供您做出更好的业务决策所需的见解.

View Service Flyer (PDF)