SOC2是美国注册会计师协会(AICPA)为服务组织制定的自愿合规标准，规定了组织应如何管理客户数据。该标准基于以下信任服务标准：安全性、可用性、处理完整性、机密性、隐私。SOC2报告针对每个组织的独特需求量身定制。根据其特定的业务实践，每个组织都可以设计遵循一个或多个信任原则的控制。这些内部报告为组织及其监管机构、业务合作伙伴和供应商提供有关组织如何管理其数据的重要信息。SOC2报告有两种类型：

符合SOC2要求表明组织保持了高水平的信息安全。严格的合规要求（通过现场审核测试）有助于确保以负责任的方式处理敏感信息。

SOC审计只能由独立的CPA（注册会计师）或会计师事务所进行。AICPA制定了旨在规范SOC审核员工作的专业标准。此外，必须遵循与审计的计划、执行和监督有关的某些指导方针。所有AICPA审计都必须经过同行评审。

注册会计师组织可以聘请具有相关信息技术(IT)和安全技能的非注册会计师专业人员来准备SOC审计，但最终报告必须由注册会计师提供和披露。如果注册会计师进行的SOC审核成功，服务机构可以在其网站上添加AICPA徽标。

安全性是SOC2合规性的基础，也是所有五项信任服务标准通用的广泛标准。SOC2安全原则侧重于防止未经授权使用组织处理的资产和数据。该原则要求组织实施访问控制，以防止恶意攻击、未经授权删除数据、滥用、未经授权更改或披露公司信息。

这是一个基本的SOC2合规性检查表，其中包括涵盖安全标准的控制：

请记住，SOC2标准并没有明确规定组织应该做什么——它们可以解释。公司负责选择和实施涵盖每项原则的控制措施。

安全涵盖了基础知识。如果您的组织在金融或银行业运营，或者在隐私和保密性至关重要的行业中运营，您可能需要满足更高的合规标准。客户更喜欢完全符合所有五项SOC2原则的服务提供商。这表明您的组织坚定地致力于信息安全实践。

除了基本的安全原则之外，以下是如何遵守其他SOC2原则：

SOC1和SOC2是两个不同的合规标准，具有不同的目标，均由AICPA监管。SOC2不是SOC1的“升级”。下表解释了SOC1和SOC2之间的区别。

SOC1

SOC2

目的

帮助服务机构报告与客户财务报表相关的内部控制。

帮助服务组织报告与五项信任服务标准相关的保护客户数据的内部控制。

控制目标

SOC1审核涵盖跨业务和IT流程的客户信息处理和保护。

SOC2审核涵盖五项原则的所有组合。例如，某些服务组织处理安全性和可用性问题，而其他服务组织可能由于其运营性质和监管要求而实施所有五项原则。

审计的目的

被审计组织的经理、外部审计师、用户实体（被审计服务组织的客户）和审计其财务报表的注册会计师。

被审计组织的高管、业务合作伙伴、潜在客户、合规主管和外部审计师。

审计用于

帮助用户实体了解服务组织控制对其财务报表的影响。

监督服务组织、供应商管理计划、内部公司治理和风险管理流程以及监管。