[ISC]SOC Engagement - Categories and Types

SOC ; System and Organizational Controls
SOC engagement : Outsourcing
-User Entity : utilize
-Service Organization : provide

SOC1 : Internal control over Financial reporting
SOC2 : focus on Trust Service Criteria
SOC3 : focus on Trust Service Criteria for General Use Report

SOC3 does not include
- a description of the system 
- a descruption of the service auditor's tests of controls

Type1 : design as of a specified date(given point in time)
Type2 : design & operating effectiveness, throughout a specified period(over a period of time)

SOC3 report : always issued as a Type2 report,
does not include a detailed description

Trust Services - 5 categories (CAPPS)
1. Confidnetiality
2. Availability
3. Processing integrity : complete, valid, accurate, timely, and authorized to meet the entity's objectives
4. Privacy
5. Security

COSO(Committee of Sponsoring Organization of the Treadway Commission)
- 5component, 17 principles
1. Control Environment : tone at the top, integrity, BOD independence from mgt, board oversight, competent individuals

2. Risk Assessment : identify risk to the achievement of its objectives, considers the potential for fraud, understanding changes

3. Control Activities : proper application of policies and procedures, select and develops control activities, technology to support, logical and physical access controls(provide and removes access), system operations, change management, risk mitigation

4. Information and communication : otain or generates and use relevant, quality information, internal communication

5. Monitoring : selects, develops, and performs ongoing and/or separate eveluations, communicate deficiencies

A series (Availability)
- maintain and monitor processing capacity
- identify and respond to threats
- ensure a recovery plan

A1.1 : manage capacity demand
A1.2 : ensures systems are available - environmental threats, desining detection measures, protection mechanisms and alerts, communicate threat events, performing data backup, off-site storage, alternate infrastrucure, data recoverability
A1.3 : test its recovery plan

PI series (Processing Integrity)
PI1.1 : obtain or generate, uses and communicates relevant, quality information
PI1.2 : implements policies
PI1.3 : processing to result in products, services, and reporting 
PI1.4 : make available or deliver output completely, accurately
PI1.5 : outputs completely

C series (Confidentiality)
C1.1 : maintain confidential information
C1.2 : dispose of confidential information

P series (Privacy)
- collecting personal data
- obtaining consent
- specific purposes only
- managing access
- disclosing policies
- maintain complete and accurate records
- monitoring and enforcing practices in place

P1.0 : Notice and Communication of Objectives Realted to Privacy
P2.0 : Choice and Consent
P3.0 : Collection
P4.0 : Use, Retention, and Disposal
P5.0 : Access
P6.0 : Disclosure and Notification
P7.0 : Quality
p8.0 : Monitoring and Enforcement