系統與組織控制 (SOC) 1 Type 2

SOC 1 Type 2 概觀

適用於服務組織的系統與組織控制 (SOC) 是由美國註冊會計師協會 (AICPA) 所建立的內部控制報告。 它們的設計目的是檢視服務組織所提供的服務，讓終端使用者能夠評估並處理外包服務所帶來的風險。

SOC 1 Type 2 證明在以下條件下執行：

• SSAE 第 18 號，認證標準：澄清與重編，包含 AT-C 第 320 節，關於 服務組織中與用戶實體對財務報告內部控制相關的檢查 報告， (AICPA 專業標準) 。
• SOC 1 報告在服務組織中與使用者實體對財務報告之內部控制相關的控制措施檢查 (AICPA 指南)

除了 AICPA 關於認證業務標準聲明 18 (SSAE 18) 外，Microsoft 365 SOC 1 第二類稽核依據國際保證業務Standard 第 3402 號 (ISAE 3402) 進行。 SOC 1 認證取代了 SAS 70，適用於服務組織中與使用者實體內部控制相關的控制報告。 Type 2 報告包含稽核者對於控制有效性的意見，以在指定的監視期間達成相關的控制目標。

Microsoft 範圍內的雲端平台與服務

Azure SOC 1 Type 2 認證報告顯示 Microsoft 的線上服務範圍如下：

• Azure (詳細見解，請參閱Microsoft Azure合規產品)
• Azure DevOps (請參見獨立Azure DevOps SOC 1 第二類證明報告)
• Dynamics 365 (詳細見解請參閱Azure SOC 1第二類認證報告)
• Microsoft Defender XDR
• Microsoft 雲端 App 安全性
• 適用於端點的 Microsoft Defender
• 適用於身分識別的 Microsoft Defender
• Microsoft Intune
• Microsoft 受管理的電腦
• Microsoft Stream
• Microsoft 威脅專家
• 提名入口網站
• Power Apps
• 電源自動化
• Power BI
• Power Virtual Agent
• 升級相容性

以下 Microsoft 線上服務涵蓋 Microsoft 365 SOC 1 第二類認證報告。

Azure、Dynamics 365 和 SOC 1

有關 Azure、Dynamics 365 及其他線上服務合規性詳細資訊，請參閱 Azure SOC 1 方案。

Microsoft 365 與 SOC 1

Microsoft 365 環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台，也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如，美國) 以復原資料，但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋以下 Office 365 環境：

• 用戶端軟體 (用戶端)：客戶裝置上執行的商業用戶端軟體。
• Office 365 (商業)：全球都可使用的商業公用 Office 365 雲端服務。
• Office 365 政府社群雲端 (GCC)：Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
• Office 365 政府社群雲端 - High (GCC High)：Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計，嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
• Office 365 DoD (DoD)：Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計，控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務，請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊，請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議，如果您對組織的法規合規性有任何疑問，您應該諮詢法律顧問。

Microsoft 365 適用性與範圍內服務

請使用下表判斷您的 Microsoft 365 服務與訂閱是否適用：

Microsoft 365 稽核報告

• 客戶可透過 服務信任入口網站下載 Microsoft 365 SOC 1 第二類報告（中央與微服務）。
• 服務信託入口網站亦提供過渡信函及額外的審計報告。

要下載 SOC 1 和 SOC 2 的證明報告以及任何橋接信函，你需要在 Microsoft 365 或 Microsoft 365 美國政府中擁有現有的訂閱或免費試用帳號。

常見問題集

Microsoft 365 SOC 報告多久會發布一次？

Microsoft 每年委託對 Office 365 進行完整的 SOC 1 Type 2 及 SOC 2 Type 2 審查。 審計員對這些檢查報告 (也稱為審計) 會在審計完成後立即發布。 基於SOC 2考試的SOC 3報告同時發布。

由於 Microsoft 不控制調查範圍及審計員完成的時間範圍，因此報告發布時間沒有固定期限。 報告通常會在審查期間結束後幾個月發布。 Microsoft 不允許從一次檢查到下一次檢查的連續期間有任何空檔。

Microsoft 也委託對 Microsoft 365 進行年中 SOC 1 Type 1 及 SOC 2 Type 1 檢查，以檢視自上次 SOC Type 2 稽核以來發布的新 Microsoft 服務。 第一類審計不會回顧一段績效時期。

由於 Office 365 的複雜性，整體來看服務範圍相當龐大。 如此廣泛的範圍可能導致檢查完成延遲。 Microsoft 將前述所有考試分為兩大類：核心服務與微服務。 Microsoft 會針對每項檢查發布報告。

SOC 第二類稽核檢視一個為期12個月的 持續運作窗口 (也稱為稽核期或更正式的 績效期) 並於下曆年10月1日至9月30日至9月期間每年進行一次檢查。 考試在表演期結束後立即開始。

Microsoft也會發出橋樑信 (也稱為 空缺信) 。 Microsoft 的這些自我證明並非基於審計師審查的報告。 Microsoft 會在尚未完成、尚未準備好進行稽核的績效期間發出橋接函。 Microsoft 會在每季末發出橋樑信函，以證明過去三個月的表現。 由於 SOC 第二類稽核的績效期間，橋接函通常在當前營運期間的十二月、三月、六月及九月發出。

客戶如何從 Microsoft 365 SOC 1 類型 2 認證中受益？

客戶在追求自身金融產業專屬合規要求時，可使用Microsoft 365 SOC 1 Type 2 認證，例如 Sarbanes-Oxley (SOX) 、聯邦金融機構審查委員會 (FFIEC) 、Gramm-Leach-Bliley 法案 (GLBA) 等。

我在哪裡可以取得 Microsoft 365 SOC 稽核文件，包括 Microsoft 的橋接信函？

如需稽核文件連結，請參閱 服務信託入口網站的稽核報告區塊。 您必須在 Microsoft 365 或 Microsoft 365 美國政府擁有現有的訂閱或免費試用帳號才能登入。 然後，您可以下載稽核憑證、評定報告及其他適用的文件，協助您符合自己的法規需求。

我可以在哪裡查看已注意到的例外狀況管理回應？

大多數檢查都會對一個或多個特定對照組進行觀察。 預期中會有一定數量的觀察。 管理層對任何例外的回應則位於SOC認證報告的末尾。 請在文件中搜尋「管理層回應」。

我可以在哪裡查看使用者實體職責？

使用者實體的責任是你必須承擔的控制責任，若系統整體要符合 SOC 2 控制標準。 這些責任位於 SOC 認證報告的最後。 請在文件中搜尋「使用者實體責任」。

使用 Microsoft Purview 合規管理工具來評估您的風險

Microsoft Purview 合規管理員 是 Microsoft Purview 入口網站 中的一項功能，幫助您了解組織的合規態勢並採取措施降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。

資源

• 服務信任入口網站稽核報告
• SSAE 第 18 號，證明標準：釐清與重新編纂
• SOC 1 報告在服務組織中與使用者實體對財務報告之內部控制相關的控制措施檢查 (AICPA 指南) (可供購買)