系统和组织控制
Smartsheet系统和组织控制(SOC)报告是独立的第三方检查报告,展示Smartsheet如何实现关键的合规性控制和目标。
这些报告旨在向Smartsheet客户提供有关Smartsheet在安全和Smartsheet用于处理用户数据的系统的可用性方面的详细信息和保证,以及这些系统处理的信息的保密性。Smartsheet目前向客户提供的报告如下:
- Smartsheet SOC 2 Type 2,可供当前或潜在客户通过我们的安全和治理请求表单
- 内容SOC 3,Smartsheet评估员的公开报告
关于服务组织控制的问题
什么是SOC2报告?
越来越多的企业将数据存储和应用程序访问等基本功能外包给云服务提供商(CSPs)和其他服务组织。作为回应,美国注册会计师协会(AICPA)开发了服务组织控制(SOC)框架,这是一个保护存储和处理在云中的信息的机密性和隐私的控制标准。这与国际服务组织的报告标准——保证业务国际标准(ISAE)是一致的。
SOC 2审核基于AICPA信任服务原则和标准来评估CSP系统的有效性。根据认证标准(AT)第101节的认证业务是SOC 2和SOC 3报告的基础。
在SOC 2审核结束后,服务审核员在SOC 2类型2报告中提出意见,该报告描述了CSP的系统,并评估了CSP对其控制的描述的公平性。它还评估CSP的控制是否设计适当,是否在指定日期运行,以及是否在指定时间内有效运行。
什么是SOC3报告?
审计员也可以创建一个SOC 3报告-一个缩写版的SOC 2类型2审计报告-用户谁想要保证CSP的控制,但不需要完整的SOC 2报告。SOC 3报告只有在CSP对SOC 2有不合格的审计意见时才能被授予。
