系統與組織控制 (SOC) 3

SOC 3 概觀

適用於服務組織的系統與組織控制 (SOC) 是由美國註冊會計師協會 (AICPA) 所建立的內部控制報告。 它們的設計目的是檢視服務組織所提供的服務，讓終端使用者能夠評估並處理外包服務所帶來的風險。

服務組織 SOC 3：一般使用信託服務標準 報告是一份簡短且面向公眾的 SOC 2 類型認證報告摘要，供需要服務組織控制保證，但不需要完整 SOC 2 報告或不符合 SOC 2 資格的使用者參考。 因為 SOC 3 報告屬於一般用途報告，你可以自由散布它們。

SOC 3 報告包含服務組織管理層關於根據適用信託服務標準達成承諾時的控制效能的書面聲明，以及服務審計員對管理層主張是否公平的意見。

Microsoft 範圍內的雲端平台與服務

Azure SOC 2 Type 2 認證報告顯示 Microsoft 的範圍內服務。

• Azure (有關詳細深入資訊，請參閱 Microsoft Azure 合規性方案或 Azure SOC 2 Type 2 證明報告)
• Dynamics 365 (有關詳細深入資訊，請參閱 Azure SOC 2 Type 2 證明報告)
• Microsoft Defender XDR
• Microsoft 雲端 App 安全性
• 適用於端點的 Microsoft Defender
• 適用於身分識別的 Microsoft Defender
• Microsoft Forms Pro
• Microsoft Intune
• Microsoft 受管理的電腦
• Microsoft Stream
• Microsoft 威脅專家
• 提名入口網站
• Office 365、Office 365 美國政府版、Office 365 美國政府版 - High、Office 365 美國政府國防版
• Power Apps
• 電源自動化
• Power BI
• Power Virtual Agent
• 升級相容性

Azure、Dynamics 365 和 SOC 3

有關 Azure、Dynamics 365 及其他線上服務合規性詳細資訊，請參閱 Azure SOC 3 方案。

Office 365 和 SOC 3

Office 365 環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台，也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如，美國) 以復原資料，但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋以下 Office 365 環境：

• 用戶端軟體 (用戶端)：客戶裝置上執行的商業用戶端軟體。
• Office 365 (商業)：全球都可使用的商業公用 Office 365 雲端服務。
• Office 365 政府社群雲端 (GCC)：Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
• Office 365 政府社群雲端 - High (GCC High)：Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計，嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
• Office 365 DoD (DoD)：Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計，控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務，請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊，請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議，如果您對組織的法規合規性有任何疑問，您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性：

Office 365 稽核報告

• Office 365 核心 SOC 報告、橋接信函及額外稽核報告

您必須在 Office 365 或 Office 365 美國政府中擁有現有的訂閱或免費試用帳戶，才能下載 SOC 1 和 SOC 2 證明報告，以及任何橋接信件 (如果需要)。

常見問題集

Office 365 SOC 報告多久發行一次？

Microsoft 每年委託對 Office 365 進行完整的 SOC 1 Type 2 及 SOC 2 Type 2 審查。 審計員對這些檢查報告 (也稱為審計) 會在審計完成後立即發布。 基於SOC 2考試的SOC 3報告同時發布。

由於 Microsoft 不控制調查範圍及審計員完成的時間範圍，因此報告發布時間沒有固定期限。 報告通常會在審查期間結束後幾個月發布。 Microsoft 不允許從一次檢查到下一次檢查的連續期間有任何空檔。

Microsoft 也委託對 Office 365 進行年中 SOC 1 Type 1 及 SOC 2 Type 1 檢查，以評估自上次 SOC Type 2 稽核以來新發布的 Microsoft 服務。 第一類審計不會回顧一段績效時期。

由於 Office 365 的複雜性，整體來看服務範圍相當龐大。 如此廣泛的範圍可能導致檢查完成延遲。 Microsoft 將此處描述的所有考試分為兩大類：核心服務與微服務。 Microsoft 針對每項檢查提供相關報告。

SOC 第二類稽核檢視一個滾動的 12 個月 運作窗口 (也稱為稽核期或更正式的 績效期) 每年進行一次檢查，期間涵蓋下一曆年 10 月 1 日至 9 月 30 日至 9 月。 考試在表演期結束後立即開始。

Microsoft也會發出橋樑信 (也稱為 空缺信) 。 Microsoft 的這些自我證明並非基於審計師審查的報告。 Microsoft 會在尚未完成、尚未準備好進行稽核的績效期間發出橋接函。 Microsoft 會在每季末發出橋樑信函，以證明我們在過去三個月期間的表現。 由於 SOC 第二類稽核的績效期間，橋接函通常在當前營運期間的十二月、三月、六月及九月發出。

我可以在哪裡取得 Office 365 SOC 稽核文件，包括 Microsoft 的橋接信函？

如需稽核文件連結，請參閱服務信託入口網站的稽核報告區塊。 您必須在 Office 365 或 Office 365 美國政府擁有現有的訂閱或免費試用帳號才能登入。 然後，您可以下載稽核憑證、評定報告及其他適用的文件，協助您符合自己的法規需求。

使用 Microsoft Purview 合規管理工具來評估您的風險

Microsoft Purview 合規管理工具 是 Microsoft Purview 入口網站 中的一項功能，幫助您了解組織的合規狀況並採取措施降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。

資源

• 服務信任入口網站稽核報告
• 適用於服務組織的 AICPA SOC
• SSAE 第 18 號，證明標準：釐清與重新編纂 (AICPA 專業標準)
• SOC 2 報告服務組織與安全性、可用性、處理完整性、機密性或隱私權相關的控制措施檢查 (AICPA 指南) (可供購買)
• TSP 第 100 節 (AICPA，2017 年信任服務準則)