SOC 2

完成 SOC 2 就绪准备，通过美国大型企业买家所要求的审查。

对照 Trust Services Criteria 进行评估

为时间点报告与时期报告做好准备

由我们为您管理执行审计的 CPA 事务所

经验丰富的就绪准备实践者

它是什么

SOC 2 是 AICPA 出具的鉴证报告，涉及服务机构与安全相关的控制措施，并可选涵盖可用性、处理完整性、保密性与隐私。Type I 报告测试某一时间点的控制设计；Type II 报告测试一段时期内的设计与运行有效性，是美国大型企业买家所要求的事实上的信任信号。

面向美国市场的 B2B SaaS 与技术供应商、数据处理方，以及任何客户要求提供 SOC 2 的服务机构——这通常在大型企业采购或供应商风险评审中浮现。

对照 Trust Services Criteria 进行就绪评估

控制措施、政策与证据收集的搭建

差距修复与系统描述的撰写

与执行审计的 CPA 事务所对接

证据自动化与控制监控工具的部署

审计师选择支持与报告后的 bridge letter 指导

差距评估ISMS 设计内部审计阶段 1 与阶段 2 支持整改指导认证就绪

Type I 证明您的控制措施在当下设计正确，速度更快。Type II 证明它们在 6 至 12 个月内有效运行，这是大多数大型企业买家最终所要求的。我们常常先交付 Type I，然后将观察窗口延续至 Type II。

Type I 就绪准备约 6 至 10 周；Type II 还需加上观察期。请将我们的就绪准备工作与 CPA 事务所的审计费用分别预算，后者我们会协助您界定。

安全（即 Common Criteria）是强制的；可用性、保密性、处理完整性与隐私为可选，可根据您对客户的实际承诺来选择。我们只界定您的合同与风险状况所要求的类别，从而使审查保持聚焦、成本相称。