SOC 1、2和3报告概述(SOC 1, 2, and 3 Reports Overview)

--服务组织控制（SOC）

以下是Microsoft网站的摘录：
企业越来越多地将基本功能（如数据存储和对应用程序的访问）外包给云服务提供商（CSP）和其他服务组织。作为回应，美国注册会计师协会（AICPA）开发了服务组织控制（SOC）框架，这是一种用於控制在云中存储和处理的信息的机密性和隐私性的控制标准。这符合国际服务组织的报告标准国际保证参与标准（ISAE）。

基於SOC框架的服务审核分为两类-SOC 1和SOC 2-适用於范围内的Microsoft云服务。
. 一个SOC 1审计，旨在会计师事务所审计的财务报表，计算一个的有效性CSP的内部控制影响使用供应商的云服务客户的财务报告。《证明参与标准声明》（SSAE 18）和《国际保证参与标准第3402号》（ISAE 3402）是执行审核的标准，并且是SOC 1报告的基础。
. 一个SOC 2审计计一的有效性CSP的系统基础上，AICPA信托服务原则和标准。认证标准（AT）第101节所述的认证参与是SOC 2和SOC 3报告的基础。

在一个SOC 1或SOC 2审计结束後，审计师呈现的意见在SOC 1类型2或SOC 2类型2报告，其中描述了电信运营商的系统，并评估其控制的CSP说明的公平性。它还评估CSP的控件是否设计适当，是否在指定日期运行以及在指定时间段内是否有效运行。
. 审核员还可以为想要确保CSP的控制但不需要完整的SOC 2报告的用户创建SOC 3报告（SOC 2类型2审核报告的缩写）。仅当CSP对SOC 2有无保留的审核意见时，才可以提交SOC 3报告。

来源：https : //docs.microsoft.com/en-us/compliance/regulatory/offering-soc

资料来源： Wentz Wu网站