【热门考点】SOC报告

1. You are the CISO for a major hospital system and are preparing to sign a contract with a software as a service (SaaS) email vendor and want to ensure that its business continuity planning measures are reasonable. What type of audit might you request to meet this goal?

您是一家大型医院系统的CISO，正准备与一家软件即服务(SaaS)电子邮件供应商签订合同，并希望确保其商业连续性/服务措施是合理的。为了实现这一目标，您可能要求进行哪种类型的审计？

A. SOC 1

B. FISMA

C. PCI DSS

D. SOC 2

2. In a response to a Request for Proposal, Susan receives an SSAE 18 SOC 1 report. If she wants a report that includes operating effectiveness detail, what should Susan ask for as follow-up and why?

作为对提案请求的回应，Susan收到了SSAE18 SOC1报告。如果她想要一份包含运营效率细节的报告，Susan应该要求什么作为后续行动，为什么？

A. A SOC 2 Type II report, because Type I does not cover operating effectiveness  

SOC 2 type II报告，因为type I不包括运营效能

B. A SOC 1 Type I report, because SOC 2 does not cover operating effectiveness          

SOC 1 type I报告，因为SOC 2不包括运营效能

C. A SOC 2 Type I report, because SOC 2 Type II does not cover operating effectiveness    

SOC 2 type I报告，因为SOC 2 type II不包括运营效能

D. A SOC 3 report, because SOC 1 and SOC 2 reports are outdated 

SOC 3报告，因为SOC 1和SOC 2报告已经过时了

Using the following table and your knowledge of the auditing process, answer questions 3–4

使用下表,以及你对审计过程的了解，回答问题3和4。

3.As they prepare to migrate their data center to an infrastructure as a service (IaaS) provider,Susan’s company wants to understand the effectiveness of their new provider’s security,integrity, and availability controls. What SOC report would provide them with the most detail, including input from the auditor on the effectiveness of controls at the IaaS provider?

当他们准备将数据中心迁移到基础设施即服务（IaaS）提供商时，Susan的公司希望了解新提供商的安全性、完整性和可用性控制的有效性。什么样的SOC报告能为他们提供最详细的信息，包括审计师对IaaS供应商控制有效性的意见？

A. SOC 1.

B. SOC 2.

C. SOC 3.

D. 没有一份SOC报告适合这种情况，他们应该要求另一种形式的报告

4. Susan wants to ensure that the audit report that her organization requested includes input from an external auditor. What type of report should she request?

Susan希望确保组织需要的审计报告包括外聘审计员的意见。她要求什么类型的报告?

A. SOC 2, Type 1

B. SOC 3, Type 1

C. SOC 2, Type 2

D. SOC 3, Type 2

• 向注册会计师提供关于理解和执行组织网络安全风险管理项目的信息
• 为用户（高级管理层、董事会、分析师、投资者和业务伙伴）提供有关组织网络安全风险管理计划决策的有用信息
• 为组织提供一个框架，用于沟通其网络安全风险管理计划的有效性，以建立信任和信心

1.答案：D。服务组织控制审计程序包括SOC2中的业务连续性控制，但不包括SOC1中的审计。虽然FISMA和PCI DSS可以审计业务连续性，但它们不适用于医院使用的电子邮件服务。

2.答案：A。2010年， SOC报告取代了SAS-70报告。Type I报告仅涵盖一个时间点，因此Susan需要一份SOC type II报告，以获得根据该报告得出的有关设计和运行效率的信息。

3.答案：B。SOC 2报告是根据NDA发布的，以选择合作伙伴或客户，并可以提供有关控制和他们可能存在的任何问题的细节。SOC 1报告只提供财务控制信息，而SOC 3报告提供的信息较少，因为它是公开的。

4.答案：C。SOC 2 第2类报告包括有关数据中心的安全性、可用性、完整性、机密性和隐私权的信息,并包括审计师对控制措施的运行意见。SOC3没有类型区分,SOC2类型1只需要组织自已的证明即可。

本公众号技术文章仅供学习交流之用。