Raport dotyczący kontroli w organizacji usługowej związanych z bezpieczeństwem, dostępnością, integralnością przetwarzania, poufnością lub prywatnością
Raporty te mają na celu zaspokojenie potrzeb szerokiego grona użytkowników, którzy potrzebują szczegółowych informacji i zapewnienia o kontrolach w organizacji usługowej związanych z bezpieczeństwem, dostępnością i integralnością przetwarzania systemów, które organizacja usługowa wykorzystuje do przetwarzania danych użytkowników oraz poufnością i prywatnością informacji przetwarzanych przez te systemy. Raporty te mogą odgrywać ważną rolę w:
- Nadzorze nad organizacją
- Programach zarządzania dostawcami
- Wewnętrznym ładzie korporacyjnym i procesach zarządzania ryzykiem
- Nadzorze regulacyjnym
Podobnie jak w przypadku raportu SOC 1, istnieją dwa rodzaje raportów: Raport typu 2 dotyczący opisu systemu organizacji usługowej przez kierownictwo oraz adekwatności projektu i skuteczności operacyjnej kontroli; oraz Raport typu 1 dotyczący opisu systemu organizacji usługowej przez kierownictwo oraz adekwatności projektu kontroli. Wykorzystanie tych raportów jest ograniczone.