--服務組織控制（SOC）

以下是Microsoft網站的摘錄：
企業越來越多地將基本功能（如數據存儲和對應用程序的訪問）外包給雲服務提供商（CSP）和其他服務組織。作為回應，美國註冊會計師協會（AICPA）開發了服務組織控制（SOC）框架，這是一種用於控制在雲中存儲和處理的信息的機密性和隱私性的控制標準。這符合國際服務組織的報告標準國際保證參與標準（ISAE）。

基於SOC框架的服務審核分為兩類-SOC 1和SOC 2-適用於範圍內的Microsoft雲服務。
. 一個SOC 1審計，旨在會計師事務所審計的財務報表，計算一個的有效性CSP的內部控制影響使用供應商的雲服務客戶的財務報告。《證明參與標準聲明》（SSAE 18）和《國際保證參與標準第3402號》（ISAE 3402）是執行審核的標準，並且是SOC 1報告的基礎。
. 一個SOC 2審計計一的有效性CSP的系統基礎上，AICPA信託服務原則和標準。認證標準（AT）第101節所述的認證參與是SOC 2和SOC 3報告的基礎。

在一個SOC 1或SOC 2審計結束後，審計師呈現的意見在SOC 1類型2或SOC 2類型2報告，其中描述了電信運營商的系統，並評估其控制的CSP說明的公平性。它還評估CSP的控件是否設計適當，是否在指定日期運行以及在指定時間段內是否有效運行。
. 審核員還可以為想要確保CSP的控制但不需要完整的SOC 2報告的用戶創建SOC 3報告（SOC 2類型2審核報告的縮寫）。僅當CSP對SOC 2有無保留的審核意見時，才可以提交SOC 3報告。

來源：https : //docs.microsoft.com/en-us/compliance/regulatory/offering-soc

資料來源： Wentz Wu網站