SH

Soloharness

概念 · 辨析 · Agent

← 返回概念辨析

Concept Contrast Fable

SOC 2 Type I 和 SOC 2 Type II

Type I 报告是一张当天拍的体检快照,证明安全控制的设计是合理的。Type II 报告是一份连续追踪了几个月的病历档案,证明这些控制在时间里一直有效运转。企业客户想看的是后者,但交付周期和成本差距很大。

寓言

一天体检和半年病历

城南有一家专接官府订单的粮仓。官府要求粮仓定期接受安全审查:防火措施到不到位、防潮层有没有破损、出入库记录是否可追溯。第一年,审查官来了一天,检查了消防器材的摆放位置、防潮层的施工图纸、账本的记录规范。一天下来,审查官在报告上写:安全控制设计合规。粮仓拿到了通行证,继续接单。

第二年,换了位老审查官。老审查官说:我不只看图纸,我要看过去六个月的每日值班记录、每周的设备巡检台账、每次下雨后的防潮层湿度测量数据。他把粮仓半年的运营记录摊在桌上,一条一条核对。结果发现,防潮层在设计上符合标准没错,但过去六个月里有四次暴雨后湿度超标了两天以上才处理;消防器材的位置没变过,但有一半的灭火器过期未换。

老审查官在报告里写了两条结论。第一条:安全控制设计合规——跟第一年的结论一致。第二条:安全控制在过去六个月的运营中多次失效——这是第一年那张报告上没有的信息。粮仓的通行证被降级,要求提交整改证据后才能恢复。

粮仓老板这才意识到,两年前拿到的那张「设计合规」报告,只证明了一件事:图纸是对的。不证明人员在按图纸操作、不证明设备在定期维护、不证明下雨天有人查湿度。设计合规不等于运营合规。

老板痛定思痛,把整改分成了两期。第一期:把剩下的灭火器全部换新,加装自动湿度报警器,设计层面补到无可挑剔。第二期:花钱雇了一个全职安全员,专门负责每日巡检记录、设备过期预警、雨天应急流程。第二期的成本比第一期高了十倍不止——设备本身没有那么贵,真正昂贵的是每天证明控制措施仍然有效;这靠持续的运营证据链,不靠一次性的设计文档。

半年后,老审查官又来了一次,翻遍了六个月的完整运营记录,在报告上写了最终结论:安全控制在设计层面和运营层面均达到合规标准。粮仓的通行证恢复了,而且拿到了比前一年更高等级的订单资格。

老板后来跟同行分享教训时只说了两句:设计合规的报告,三天就能出。运营合规的报告,没有半年以上的真实数据,谁都不敢签。

后来仓头把两套报告分柜存放:设计报告贴绿签,运营报告贴蓝签。谈订单时,官府要先翻蓝签;只有绿签的仓,只能接最对安全要求最轻的散单。

SOC 2 Type I

在某个时间点上评估安全控制的设计是否合理。报告描述控制的描述和设计,不考察控制在时间维度上的实际运行效果。出具周期短,通常几周到一个月。

SOC 2 Type II

在一段持续时间内(通常 6-12 个月)评估安全控制的实际运行有效性。报告不仅描述设计,还要提供控制在连续运营中的运行证据。出具周期长、成本高。

故事对应

  • 第一年审查官看图纸和摆放:SOC 2 Type I,检查控制设计是否合规(时间点快照)。
  • 老审查官翻六个月的运营记录:SOC 2 Type II,检查控制在时间中的运行有效性。
  • 灭火器过期、湿度超标未处理:Type II 审计才会暴露的运营失效。
  • 第二期整改成本十倍于第一期:从设计合规到运营合规的成本跃升。
  • 绿签和蓝签分开:Type I 和 Type II 在商务场景中的信任等级差异。

落到项目里

企业客户问你有没有 SOC 2 报告时,绝大多数情况下他们要的是 Type II。Type I 只能证明你知道该怎么做,Type II 才能证明你真的每天都这么做了。如果你的产品还处于早期,一年内拿不出 Type II,有两种务实的做法:第一,先拿 Type I 作为过渡,同时在合同里承诺 Type II 的交付时间表。第二,把日常运营的日志、监控、告警、处理记录从第一天就结构化存储——这些是未来 Type II 审计的证据原材料,临时补是补不出来的。