美国注册会计师协会(英语:American Institute of Certified Public Accountants)(AICPA)定义的系统与组织控制(英语:System and Organization Controls,简称SOC;有时也称服务组织控制)是指随审计过程制成的一套报告。这套报告旨在供将信息系统作为服务提供给其他组织的组织(这被称为“服务组织”)向这些系统所服务的用户发布经过验证的这些信息系统之内部控制的报告。报告侧重的五类原则被称为信任服务原则(或准则)。AICPA审计标准《关于鉴证业务标准的声明第18号(英语:Statement on Standards for Attestation Engagements no. 18)》(SSAE 18),第320节,定义了类型1与类型2两个级别的报告。其他AICPA指南中则规定了三种报告类型:SOC 1、SOC 2和SOC 3。
SOC报告重点关注被称为“信任服务原则”的五大类问题(其中问题有所重叠),以满足“CIA triad(机密性、完整性、可用性)”这三大要素的目标:
SSAE 18规定了两种SOC报告的级别:
SOC报告也被分为三种类型。
此外,还有专门针对网络安全和供应链的SOC报告。
SOC 1和SOC 2报告是面向有限受众,尤其是对相关系统有充分了解的用户。SOC 3报告则较少包含具体信息,可以向一般公众分发。
