EY安永是指 Ernst & Young Global Limited 的全球組織,也可指其中一個或多個成員機構,各成員機構都是獨立的法人個體。Ernst & Young Global Limited 是英國一家擔保有限公司,並不向客戶提供服務。
隨著企業數位轉型加速,供應鏈風險管理的重要性與日俱增。特別是在雲服務、平臺服務等新興科技服務興起後,企業需要更全面的工具來評估供應商的風險。服務組織控制報告(Service Organization Control Report,簡稱SOC報告)便是一個重要的解決方案。
概要
- 供應鏈透明度的重要工具
- 串聯多層供應鏈的風險管理
- 臺灣市場SOC報告採用現況
安永核心功能服務部張騰龍資訊長與安永聯合會計師事務所科技風險服務黃誌緯協理,分析SOC報告如何協助企業完善供應鏈風險管理。
SOC報告源自美國,已有近30年歷史。張騰龍回憶道,「我1998年在紐約工作時,遇到網路廣告商Double Click的案例。當時客戶需要驗證廣告點擊率等數據的真實性,促使了確信報告的發展。」最早的報告標準是SAS 70,之後演進為現今的SSAE 18(美國)和ISAE 3402(國際標準)。
臺灣市場對SOC報告的需求在近五、六年來明顯增加。張騰龍觀察,「服務轉型的驅使動力下,我們看到市面上很多平臺商出現。尤其是這些平臺商的客群中有外國客戶,而外國客戶已經習慣要求供應商提供SOC報告。」
供應鏈透明度的重要工具
相較於ISO 27001等認證,SOC報告提供更詳細的風險評估內容。黃誌緯解釋,「SOC報告中會詳細說明服務提供商使用的IT環境、實體環境、人員配置、作業流程及相關風險控制機制。這不是只是一張證書,而是讓客戶能夠清楚了解供應商的實際運作狀況。」
SOC報告分為三種類型:
- SOC 1:主要針對財務報告相關的內部控制,例如薪資計算、支付處理等服務
- SOC 2:關注資訊服務的安全性、可用性、處理完整性、機密性和隱私保護
- SOC 3:內容與SOC 2相同,但可以公開發布的版本
在執行方式上,又分為Type 1和Type 2兩種: 「Type 1是針對設計面的有效性,」黃誌緯解釋,「主要檢視公司是否有適當的控制程序來管理風險。而Type 2則更進一步,檢視這些控制在一段期間內的執行成效。」
串聯多層供應鏈的風險管理
在現代科技服務中,多層次的供應鏈結構相當常見。張騰龍舉例:「比如說一個零售平臺商,他的底層環境可能是使用Google或AWS的服務。這就是一個多層次的委外情況。」
「SOC報告的優勢在於可以串聯不同層級供應商的稽核結果,」黃誌緯補充,「當用戶看到這些串聯起來的報告,就能完整掌握整個供應鏈的風險控管狀況,了解每個環節中誰負責什麼,以及做得如何。」
SOC報告的一大特色是明確區分供應商與用戶的責任範圍。張騰龍以IDC服務為例,「報告中會清楚說明IDC業者的責任範圍,同時也會列出用戶需要配合的事項,例如管理進出權限等。這樣的區分有助於釐清責任歸屬。」
「而且SOC報告需要每年更新,」黃誌緯補充,「這確保了風險管理的持續性。每次更新時都會檢視服務內容有無變更,確保控制機制持續有效。」
首次導入SOC報告通常需要較長時間。「第一年大約需要半年時間,」張騰龍解釋,「主要工作在於清楚描述服務內容、IT環境、作業流程等。這些描述必須準確且不涉及商業機密,同時又要讓讀者充分理解風險控管狀況。」
「後續年度的更新則相對單純,」黃誌緯補充,「主要是檢視控制的執行成效,以及確認服務內容是否有重大變更。」
臺灣市場SOC報告採用現況
在臺灣市場,目前企業絕大部分採用SOC 2報告,主要關注資訊服務的安全性、可用性及隱私保護等面向。SOC 1的應用較為特定,如中華電信同時具備SOC 1和SOC 2報告,主要考量是有國外大客戶在其機房運行財務相關系統,需要針對財務報告相關的內部控制進行評估。
而SOC2 下的Type 1、2,臺灣已走到Type 2報告。張騰龍解釋,「Type 1主要作為過渡期使用。例如當企業與國外客戶簽約時,可能要求在三個月內提供SOC報告。由於時間緊迫,企業可能先提供Type 1報告,之後再補上完整的Type 2報告。」企業普遍認知到Type 2報告比Type 1更具意義,因為Type 1僅評估控制設計面的有效性,而Type 2能夠證明控制機制的實際執行成效。
採用SOC報告的企業主要集中在科技服務領域,包括IDC業者、電商平臺、金融科技業者、雲端服務提供商,以及AI服務平臺等。這反映出SOC報告在臺灣市場的應用已逐漸成熟,特別是在需要強化供應商風險管理的產業中,更受到重視。
新興科技帶來的挑戰
隨著AI等新興科技應用日益普及,張騰龍分析,「AI服務涉及幾個面向的風險,包括:使用第三方模型、內部技術能力不足,或委外開發等情況。在金融業的AI治理要求中,就特別強調問責性與安全性,SOC報告能夠協助驗證這些面向。」
「特別是在AI的透明度方面,」黃誌緯強調,「歐盟的AI規範要求AI系統不能是黑盒子。對AI服務供應商來說,SOC報告是展現其風險管理能力的重要工具,能增進用戶對AI系統的理解與信任。」
「隨著供應鏈的複雜度增加,」黃誌緯補充,「特別是在新興科技領域,企業更需要像SOC報告這樣的工具來進行全面性的風險評估。這不只是合規要求,更關係到企業在AI時代的競爭力。此外,SOC報告中的可用性評估,包含服務水準協議的要求,都有助於評估供應商的營運韌性。」
張騰龍表示,「企業進行SOC報告不只是因應客戶要求,更是主動證明其風險管理、營運韌性建構能力的展現。」
結語
安永於全球提供高品質的SOC報告服務,每年為超過900個客戶發布超過3,000份SOC報告。自1993年以來,我們一直在協助客戶理解高品質SOC報告認證所帶來的價值和優勢。身為科技業、資訊服務業、金融服務業和醫療保健業的SOC報告領導者,我們為近半數的全球最大科技公司、三分之一的Russell 3000健康產業公司、以及臺灣多數的大型雲端資料中心及許多雲端服務業者提供SOC報告認證服務。
欲進一步了解服務組織控制報告(SOCR),請聯繫安永科技風險團隊。
(本文由安永核心功能服務部張騰龍資訊長與安永聯合會計師事務所科技風險服務黃誌緯協理聯合撰寫,轉載資安人科技網)
安永最新觀點
在資安風險不斷提升的情況下,大幅增加了企業及委外服務供應商對於信任溝通的需求,服務組織控制(SOC)報告成為企業向客戶及合作夥伴展示內部控制能力的關鍵證明。
最近這一年來在不同主管機關發布的資訊安全規範或指引中,都不約而同提到了SOC報告這個認證。本集「安永EasY Talk」由雲端資料中心的角度來解析SOC報告的應用,讓大家知道SOC報告為什麼會成為這波法規修訂的趨勢。
50m 13s