compliance-frameworks

# 合规性框架 ## SOC 2 (服务组织控制 2) ### 概述 SOC 2 是由美国注册会计师协会 (AICPA) 为服务组织制定的审计标准。它基于五项信任服务准则 (TSC) 评估公司的信息系统。 **适用对象**: SaaS 公司、云服务提供商、托管公司 **审计类型**: - **类型 I**: 对控制设计的时点评估 - **类型 II**: 对控制运行有效性的 3-12 个月评估（大多数客户要求） ### 信任服务准则 1. 安全性 (通用准则 - 所有 SOC 2 审计必需) ├─ 访问控制（逻辑和物理） ├─ 系统运维和变更管理 ├─ 风险缓解 └─ 网络和数据保护 2. 可用性 (可选) ├─ 系统正常运行时间和可靠性 ├─ 灾难恢复 └─ 业务连续性 3. 处理完整性 (可选) ├─ 数据处理的准确性和完整性 ├─ 错误检测和纠正 └─ 数据验证 4. 机密性 (可选) ├─ 机密信息的保护 ├─ 数据分类 └─ 安全销毁 5. 隐私 (可选) ├─ 个人信息的收集、使用、保留、销毁 ├─ 隐私声明和同意 └─ 数据主体访问请求 ### SOC 2 就绪路线图 **审计前 6-4 个月**: 1. 范围界定 □ 定义范围内系统和服务 □ 选择信任服务准则（大多数选择安全性 + 可用性） □ 确定控制边界 □ 聘请审计师进行规划 2. 差距评估 □ 根据 SOC 2 要求审查当前控制措施 □ 记录控制缺陷 □ 制定具有优先级的补救计划 □ 估算实施时间表 3. 政策与流程制定 □ 信息安全政策 □ 访问控制政策 □ 变更管理政策 □ 事件响应政策 □ 风险评估政策 □ 供应商管理政策 □ 业务连续性/灾难恢复计划 □ 员工入职/离职流程 **审计前 4-2 个月**: 4. 控制实施 □ 实施技术控制（MFA、加密、日志记录） □ 配置安全工具（SIEM、EDR、漏洞扫描器） □ 建立变更管理流程 □ 部署监控和告警 □ 实施备份和恢复程序 □ 建立访问审查流程 5. 证据准备 □ 设置证据收集自动化 □ Cre