SOC 2

服務與組織控管 (SOC) 2 是依據美國會計師協會審計準則委員會 (AICPA) 鑑證業務準則公告第 18 號 (SSAE 18) 編制而成，旨在評估服務機構所採取的控管措施是否符合安全性、可用性、處理完整性、機密性或隱私權的信託服務準則。

您在尋找 Google Cloud 和 Google Workspace SOC 2 報告嗎？客戶可隨時透過法規遵循報告管理員索取報告。

Google Cloud 與 SOC 2 法規遵循

存取 Google Cloud 的 SOC 2 報告

Google Cloud 旗下適用於此標準的產品、系統和基礎架構會定期接受第三方稽核。SOC 2 報告是由客觀的第三方發布，旨在檢驗 Google Cloud 宣示用於保護客戶資料的控管機制是否符合標準。稽核機構的評估作業包括，在稽核期間針對控管機制的設計和營運成效進行全面測試。

客戶可以使用 SOC 2 報告來評估在整個期間，與經評估的 Google Cloud 和 Google Workspace 系統互動所產生的風險。

Google Cloud 的 SOC 2 時間軸

核心產品 Google Cloud 和 Google Workspace 的 SOC 2 報告

核心產品 Google Cloud 和 Google Workspace 的 SOC 2 Type II 報告每半年發布一次，可透過法規遵循報告管理員下載。報告的涵蓋期間和發布日期如下：

上半年
涵蓋期間：5 月 1 日至 4 月 30 日
預計發布時間：6 月中旬
下半年
涵蓋期間：11 月 1 日至 10 月 31 日
預計發布時間：12 月中旬

其他 Google Cloud SOC 2 報告

我們會針對部分 Google Cloud 產品分別發布 SOC 2 Type II 報告，這些產品包括 AppSheet、備份與災難復原、Google Cloud VMware Engine、Bare Metal 解決方案、Apigee Edge、Actifio Heritage、StratoZone、Google Security Operations SOAR、Mandiant 和 Looker (Google Cloud Core)。這些報告每年都會發布，客戶可與銷售人員或支援團隊聯絡，索取相關報告。

過渡聲明

過渡聲明是服務供應商 (在本例中為 Google Cloud) 管理平台發出的認證，旨在「消弭」資安營運中心 (SOC) 報告結束日期與客戶結束日期之間的落差。過渡聲明概述了在最新 SOC 報告結束日期過後，於內部控制環境偵測到的異動或問題。過渡聲明適用於 SOC 1 及 SOC 2 報告。

Google Cloud 會建立每月過渡聲明，每封聲明信設計為涵蓋自最近的 SOC 報告以來的期間。舉例來說，Google Cloud 在 1 月初過渡聲明，以涵蓋 11 月 1 日至 12 月 31 日的回顧期間，藉此延長了先前發出的 SOC 報告 (結束日期為 10 月 31 日) 的涵蓋期間。

我們可以在法規遵循報告管理員中取得 Google Cloud 核心和 Google Workspace SOC 2 報告的 SOC 過渡聲明，涵蓋結束日期為 3 月 31 日、6 月 30 日、9 月 30 日和 12 月 31 日的期間，而且您可以直接下載。如需涵蓋其他期間結束日期或產品範圍的過渡聲明，請與銷售人員或支援團隊聯絡。

常見問題

誰負責執行獨立第三方稽核？

Google Cloud 的獨立稽核單位是 Ernst &Young LLP 和 Coalfire。

SOC 2 Type II 報告與 SOC 2 Type I 報告有何不同？

SOC 2 Type I 報告涵蓋服務組織的控制措施在特定時間點的設計。SOC 2 Type II 報告涵蓋服務組織的控制措施在一段時間內的設計和運作效率。舉例來說，SOC 2 Type I 評估服務組織截至今日的控制措施，而 SOC 2 Type II 則是評估服務組織在過去六個月內的控制措施。Google Cloud 只會發布 SOC 2 Type II 報告。