信任服务标准(Trust Services Criteria)是由AICPA保证服务执行委员会(ASEC)制定的控制标准,用于对信息和系统的(1)安全性、(2)可用性、(3)处理完整性、(4)保密性或(5)隐私的控制进行评估和报告。SOC 2和SOC 3报告都是关于信任服务标准(Trust Services Criteria)的。
一、安全性:
信息和系统得到保护,以防止未经授权的访问、未经授权的信息披露和对系统的破坏,这些都可能损害信息或系统的可用性、完整性、保密性和隐私,并影响实体实现其目标的能力。安全性体现为:
- 1)在信息的收集或创建、使用、处理、传输和存储过程中对信息的保护;
- 2)保护处理、传输、存储信息的系统,以使使用这些系统的实体(机构)实现其目标。
为安全性服务的控制措施应能够防止或发现:
- 1)对职责分离的破坏和规避;
- 2)系统故障;
- 3)不正确的处理;
- 4)盗窃或其他未经授权的信息或系统资源的移除;
- 5)软件的滥用;
- 6)对信息的不正当访问或使用、更改、破坏或披露等。
二、可用性:
信息和系统可被操作和使用,符合实体(机构)的目标。
可用性主要表现为
- 1)实体(机构)的系统所使用的信息的可访问性(accessibility),
- 2)对系统的操作、监视和维护的可访问性(accessibility),
- 3)向其客户提供的产品或服务的可访问性(accessibility)。
可用性目标本身不设定可接受的最低性能水平;
可用性目标不涉及系统功能(functionality)或适用性(usability)。
三、处理完整性Processing integrity:
系统处理是完整的、有效的、准确的、及时的和已授权的,符合实体(机构)的目标。
处理的完整性涉及到
- 1)系统是否达到了它们存在的目的或用途;
- 2)是否以无损(不存在错误、延迟、遗漏)的方式执行其预定的功能;
- 3)是否存在未经授权或无意的操作。
四、机密性:
实体(机构)根据管理层的目标,从信息的收集或创建,直到最终处置和脱离实体(机构)的控制,全生命周期保护敏感信息(被指定为机密的信息)的能力。
机密性主要表现为:
- 1)信息的保管者(持有或存储信息的实体,包括机构、人员、系统或设备)被要求限制信息的访问、使用和保留;
- 2)信息的披露被限制在规定的范围(defined parties)。
机密性要求可能包含在法律或法规中,或包含在对客户或其他人的承诺的合同或协议中。
机密性与隐私的区别在于,隐私只适用于个人信息,而机密性适用于各种类型的敏感信息,可能包括个人信息以及其他信息,如商业秘密和知识产权等。
五、隐私:
个人信息的收集collected、使用used、保留retained、披露disclosed和处置disposed符合实体(机构)的目标。
***//注意,所谓“目标”不只是你“想”干嘛,还包括你“应该”干嘛。//***
隐私要求涉及:
- 1)目的的通知和沟通;
- 2)选择和同意;
- 3)收集;
- 4)使用、保留和处置;
- 5)访问(即主体参与);
- 6)披露和通知;
- 7)质量;
- 8)监视和执行。