SOC(ServiceOrganization Controls)审计是美国注册会计师协会AICPA,针对外包服务组织的系统和内部控制情况进行严格审计后出具的报告,可以充分证明企业内部控制设计合理性和执行有效性。此次针对阿里云的审计涉及SOC2和CCM两类。其中,SOC2审计的是一家企业安全性、可用性、过程完整性、保密性或隐私性相关的服务控制。CCM是国际上云计算行业通用的信息安全风险黄金标准。它定义了和云安全相关的通用安全控制要求及控制框架。
据悉,此次第三方机构针对阿里云的数据安全审计过程,涉及阿里云内部产品、研发、安全、服务等团队日常流程机制中的核心控制点共项,对每一项进行逐一验证。这也是中国的云计算服务提供商,首次通过这一严苛审计。
阿里云安全事业部资深总监肖力表示:“阿里云已经建立了严密的数据安全管控体系,能帮助客户保障其数据的私密性、完整性和可用性。我们针对数据安全管控体系的设计是领先的,我们有自信可以通过第三方的审查。”
年7月,阿里云在其发起的“数据保护倡议”中表明:“数据是客户资产,云计算平台不得移作它用。云计算平台有责任和义务建立严密的管控体系和内部审计制度,更应不懈地提高安全防护、容灾备份等方面的能力,帮助客户保障其数据的私密性、完整性和可用性。”作为数据保护倡议的发起者,阿里云一直用实践履行倡议中的责任,积极配合第三方对阿里云开展数据安全审计。
此前,阿里云在安全方面,已获得云安全国际认证金牌(CSA-STAR)、ISO20000认证、ISO 和ISO 认证,一直在安全认证领域保持领先地位。
关于AICPA协会
美国注册会计师协会American Institute of Certified Public Accountants (AICPA) 是美国全国性会计职业组织,也是世界上最大的会计师专业协会,在全球个国家与地区拥有近万名会员。
美国注册会计师协会拥有规则制订权、业务监管权和部分违规处罚权。
美国注册会计师协会的使命:
为会员提供资源、信息,并领导会员,加强其能力,以使得会员增强为公众、雇员、客户的利益而提供高水准的有价值的专业服务。
美国注册会计师考试:总共有四个科目,分别是:审计和鉴证、财务会计与报告、法律法规、商业环境和概念。考试形式为机考,满分为分,合格线分。
关于SOC
Service Organization Controls are a series of accounting standards that measure the control of financial information for a service organization. They are covered under both the SSAE and the ISAE professional standards.
SOC 1 reports are examination engagements undertaken by a service auditor to report on controls at an organization that provides services to user entities when those controls are likely to be relevant to user entities’ internal control over financial reporting.
SOC2 principle:
One major difference is that the Security Principle now consists of “Criteria Common to All Principles.” The Common Criteria are applicable to four of the five TSPs, known as non-privacy principles, and are addressed only once in the report, rather than each principle addressing portions of common criteria, allowing for greater efficiency in the report. As a result, all SOC 2 examinations performed under the new standards must couple the Security Principle with any non-privacy principle. For instance, a SOC 2 that includes the Availability Principle must also include the Security Principle. Prior to the updated TSP Section , just one of the four non-privacy principles could be included in scope.
U.S.CPA 美国注册会计师
Karen - PWC老将微信号:gdaicpa
AICPA Exam丨Education丨Career
后台回复讲义 限时免费领取2016USCPA必考提分讲义
后台回复7 免费获取USCPA考试押题精选
后台回复8 免费获取学习福利大礼包