2.SOC

過去，SAS 70報告旨在協助服務機構的用戶及其審計人員進行財務報表審計。現在，已經定義了三種類型的SOC報告，以取代SAS 70并解決更廣泛的特定用戶需求，例如解決安全性，隱私和可用性問題。此外，服務組織正在尋找更好的方式來提供對其控制環境的保證。

SOC報告最常見地涵蓋了12個月的活動的設計和有效性，每年持續的覆蓋率從財務報告或治理的角度來滿足用戶需求。在某些情況下，如果系統／服務沒有運行一整年，或年度報告不足以滿足用戶需求，SOC報告可能會縮短較短的時間，例如六個月。SOC報告還可能僅涵蓋新系統朋艮務的特定時間點的控制設計或系統／服務的初始檢查（審核）。

告涵蓋設計和運行有效性的時間段通常被稱為“類型2”報告，而涉及設計的時間報告通常被稱為“類型l”報告。例如，如果組織需要涵蓋特定系統的安全性和可用性的一段時間報告，組織將從服務提供商請求SOC 2類型2安全和可用性報告。如果組織需要一段時間報告涵蓋特定系統的ICOFR控制，組織將從服務提供商請求該系統的SOC 1類型2報告。