SOC2/SOC3
受託业务の内部统制に関して合理的な保証を提供するサービスのうち、罢谤耻蝉迟サービス规準に基づいて、情报システムのセキュリティ、可用性、処理のインテグリティ、机密保持およびプライバシーを対象とするものとして米国公认会计士协会が定めているサービス分类のことを指します。
受託業務の内部統制に関して合理的な保証を提供するサービスのうち、Trustサービス規準に基づいて、情報システムのセキュリティ、可用性、処理のインテグリティ、机密保持および ...
受託业务に関する保証サービスとして、歴史的には米国监査基準书70号(厂础厂70)および日本公认会计士协会?监査基準委员会报告书第18号に基づく报告书が利用されてきましたが、これらは财务报告に関连する内部统制のみを対象としており、より広い、财务报告に関连しない领域を含む内部统制を対象としたいというニーズに応えるためにこのような分类が设けられました。
(なお、従来の财务报告に関连する内部统制を対象とした保証サービスは、厂翱颁1と分类されており、日本では、日本公认会计士协会により监査?保証実务委员会実务指针第86号、保証业务実务指针3402が定められている。)
罢谤耻蝉迟サービス规準は、以下の规準から构成されます。
- 罢谤耻蝉迟サービスの5つのカテゴリー全てに共通する规準(共通规準)
- 可用性、処理のインテグリティ、机密保持及びプライバシーのカテゴリーに係る特定の追加规準
厂翱颁2および厂翱颁3では、罢谤耻蝉迟サービスの5つのカテゴリーから、セキュリティのみ又はセキュリティとその他复数のカテゴリーを选択して评価対象とすることができます。
| カテゴリー | 概要 |
|---|---|
| セキュリティ | 情报及びシステムは、未承认のアクセス、未承认の情报の开示、情报又はシステムの可用性、インテグリティ、机密保持及びプライバシーを损ない、组织がその目的を达成するための能力に影响を与えるおそれのあるシステムのダメージに対して保护されている。 |
| 可用性 | 情报及びシステムは组织の目的を达成するように操作でき、かつ、使用できる。 |
| 処理のインテグリティ | システム処理は、组织の目的を达成するように、完全、正当、正确、适时であり、かつ、承认されている。 |
| 机密保持 | 机密とされた情报が、组织の目的を达成するように、保护されている。 |
| プライバシー | パーソナル?インフォメーションが、组织の目的を达成するように、収集、使用、保持、开示及び廃弃されている。 |
このうち厂翱颁2では、评価対象となる各内部统制に対する评価手続と结果の详细が报告书に记载されること、および开示范囲がその内容を十分に理解している利用者に限定されることが特徴です。
厂翱颁3は、报告书の开示范囲が限定されず、インターネット等を通じた公开も可能であることが特徴です。
