知名的搜索引擎搜關鍵字 soc認證,結果都是企業獲取soc認證的新聞或者認證公司的介紹,很少能找到什么是soc認證的信息, 因此整理記錄下:
2010年4月,美國注冊會計師協會AICPA發表聲明SSAE 16 (Statement on Standards for Attestation Engagements) 代替SAS 70 (Statement on Auditing Standard),雖然SAS 70 最初用戶財務和會計審計,但SSAE 16的建立卻是為了數據中心運營和安全的。
除了 SSAE 16 之外, 還建立了三個新的作為審查服務組織的控制的框架報告,命名為服務組織控制Service Organization Control (SOC) 報告。soc1 主要關注財務報告、 soc 2 和 soc 3 報告更關注於與安全、處理完整性、機密性或數據中心系統和信息的保密性相關的控件的預定義的標准化基准。SOC 2 檢查數據中心測試和操作有效性的詳細信息。
據 AICPA.org, 這些報告在以下方面時非常深入和有用的:
對本組織的監督
供應商管理計划
內部公司治理和風險管理流程
監管監督
SOC 3 是供公眾使用的, 它提供了數據中心可以接收的最高級別的認證和操作卓越的保證。soc 2 報告包括審核員測試和結果, 而 soc 3 提供了系統描述和審核員的意見。每個報表類型的詳細信息和使用情況如下:
| 報告 | 報告內容 | 使用者 |
| SOC1 | 財務報告的內部控制 | 用戶審計員、用戶控制辦公室 |
| soc2 | 安全性、可用性、完整性、保密或者私有控制 | 監管機構和其他NDA |
| soc3 | 安全性、可用性、完整性、保密或者私有控制 | 公眾 |
了解了soc1,soc2,soc3是什么之后,就可以理解阿里雲獲取了soc2認證的意思了,http://www.csdn.net/article/a/2016-06-30/15839124