SOC 2

服务和组织控制 (SOC) 2 报告是根据美国注册会计师协会 (AICPA) 审计准则委员会 SSAE 18 制定的报告，旨在评估服务组织在安全性、可用性、处理完整性、机密性或隐私性方面与信托服务标准相关的控制措施。

想要查看 Google Cloud 和 Google Workspace SOC 2 报告？客户可以在方便时通过合规报告管理器请求获取这些报告。

Google Cloud 和 SOC 2 合规性

访问 Google Cloud 的 SOC 2 报告

Google Cloud 会定期接受第三方审核，审核与本标准相关的产品、系统和基础设施。SOC 2 报告由客观第三方生成，用于证明 Google Cloud 就其为保护客户数据而采取的控制措施所做的一系列声明。审核公司的评估工作包括在审核期内对控制措施的设计和实施有效性进行全面测试。

客户可以使用 SOC 2 报告来评估在此期间与所评估的 Google Cloud 和 Google Workspace 系统交互产生的风险。

Google Cloud 的 SOC 2 时间表

Google Cloud Core 和 Google Workspace SOC 2 报告

Google Cloud Core 和 Google Workspace SOC 2 Type II 报告每半年发布一次，可通过合规报告管理器下载。这些报告的涵盖期和发布日期如下：

上半年
涵盖期：5 月 1 日 - 4 月 30 日
预计发布日期：6 月中旬
下半年
涵盖期：11 月 1 日 - 10 月 31 日
预计发布日期：12 月中旬

其他 Google Cloud SOC 2 报告

我们会针对一小部分 Google Cloud 产品分别发布 SOC 2 Type II 报告，包括 AppSheet、备份和灾难恢复、Google Cloud VMware Engine、裸金属解决方案、Apigee Edge、Actifio Heritage、StratoZone、Google Security Operations SOAR、Mandiant 和 Looker (Google Cloud Core)。这些报告每年发布一次，客户可以联系销售人员或支持团队来获取这些报告。

过渡函

过渡函是由服务提供商（本例中为 Google Cloud）的管理层出具的证明，旨在“弥合”SOC 报告结束日期与客户报告期结束日期之间的时间差。过渡函旨在总结在最新的 SOC 报告期结束日期之后，在内部控制环境中发现的重大变化或问题。过渡函仅适用于 SOC 1 和 SOC 2 报告。

Google Cloud 每月都会创建过渡函，其中每个过渡函都旨在涵盖自最近一次 SOC 报告以来的时段。例如，Google Cloud 在 1 月初发出了过渡函，涵盖 11 月 1 日至 12 月 31 日的回溯期，延长了之前发布的 SOC 报告的涵盖期，其中包含报告期结束日期 10 月 31 日。

可在合规报告管理器上查看 Google Cloud Core 和 Google Workspace SOC 2 报告的 SOC 过渡函（报告期结束日期为 3 月 31 日、6 月 30 日、9 月 30 日和 12 月 31 日），且可直接下载。如果需要提供涵盖不同报告期结束日期或产品范围的过渡函，请与销售人员或支持团队联系。

常见问题解答

谁负责执行独立的第三方审核？

Google Cloud 的独立审核机构为 Ernst &Young LLP 和 Coalfire。

SOC 2 Type II 报告与 SOC 2 Type I 报告有何不同？

SOC 2 Type I 报告涵盖了服务组织在特定时间点的控制措施设计。SOC 2 Type II 报告涵盖了服务组织控制措施在一段时间内的设计和实施有效性。例如，SOC 2 Type I 可以评估服务组织截至当天的控制措施，而 SOC 2 Type II 评估服务组织在过去六个月内采取的控制措施。Google Cloud 仅发布 SOC 2 Type II 报告。