Системные и организационные средства контроля (SOC) (также иногда называемые средствами контроля обслуживающих организаций) по определению Американского института сертифицированных бухгалтеров (AICPA) — это набор отчетов, подготовленных в ходе аудита. Он предназначен для использования обслуживающими организациями (организациями, которые предоставляют информационные системы в качестве услуги другим организациям) для выпуска проверенных отчетов о внутреннем контроле этих информационных систем для пользователей этих услуг. В отчетах основное внимание уделяется элементам управления, сгруппированным в пять категорий под названием «Принципы службы доверия» . [1] Положение о стандарте аудита AICPA о стандартах аттестационных заданий №. 18(МСЗОУ 18), раздел 320 «Отчетность о проверке средств контроля в обслуживающей организации, имеющих отношение к внутреннему контролю организаций-пользователей за финансовой отчетностью», определяет два уровня отчетности: тип 1 и тип 2. В дополнительных руководящих материалах AICPA указаны три типа отчетности: SOC 1, SOC 2 и SOC 3.
Отчеты SOC 2 сосредоточены на средствах контроля, рассматриваемых в пяти частично перекрывающихся категориях, называемых принципами службы доверия , которые также поддерживают триаду информационной безопасности ЦРУ: [1]
Отчеты SOC 1 и SOC 2 предназначены для ограниченной аудитории, а именно, для пользователей с достаточным пониманием рассматриваемой системы. Отчеты SOC 3 содержат менее конкретную информацию и могут быть распространены среди широкой общественности.