SOC
概览
AWS 系统及组织控制(SOC)报告是独立的第三方审查报告,可展示 AWS 如何实现关键合规性控制措施和目标。这些报告的目的是帮助您和您的审计师理解旨在支持运营和合规性的 AWS 控制措施。AWS SOC 报告分为三种:
- AWS SOC 1 报告,AWS 客户可使用 AWS Artifact 获取该报告。
- AWS SOC 2 安全性、可用性、机密性和隐私性报告,AWS 客户可使用 AWS Artifact 获取该报告。
- AWS SOC 3 安全性、可用性、机密性和隐私性报告,以白皮书形式公开提供。
AWS SOC 报告
- SOC 1
对 AWS 控制环境与 AWS 定义的控制措施及目标的外部审计的描述。 - SOC 2:安全性、可用性、机密性和隐私性
对 AWS 控制环境,以及满足 AICPA 信托服务的安全性、可用性、机密性和隐私性标准的 AWS 控制措施的外部审计的描述 - SOC 3:安全性、可用性、机密性和隐私性
一份面向公众的报告,表明 AWS 符合 AICPA 信托服务的安全性、可用性、机密性和隐私性标准
- SOC 1
SSAE 第 18 号“鉴证标准:澄清和重编码(Attestation Standards: Clarification and Recodification)”(AICPA,简称“专业标准”),其中包括 AT-C 第 320 节“就与用户实体对财务报告的内部控制有关的服务组织的控制审查提出报告(Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting)”。AICPA 指南“服务组织:就与用户实体对财务报告的内部控制有关的服务组织的控制审查提出报告(Service Organizations: Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting)”(SOC 1®) - SOC 2:安全性、可用性、机密性和隐私性
SSAE 第 18 号“鉴证标准:澄清和重编码(Attestation Standards: Clarification and Recodification)”,其中包括 AT-C 第 105 节“所有鉴证业务的通用概念(Concepts Common to All Attestation Engagements)”和 AT-C 第 205 节“审查业务(Examination Engagements)”;AICPA 指南“就服务组织中与安全性、可用性、处理完整性、机密性或隐私相关的控制提出报告(Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy)”(SOC 2®);TSP 第 100A 节“2017 年有关安全性、可用性、处理完整性、机密性和隐私的信任服务标准(2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy)”(AICPA,简称“2017 年信托服务标准”) - SOC 3:安全性、可用性、机密性和隐私性
SSAE 第 18 号“鉴证标准:澄清和重编码(Attestation Standards: Clarification and Recodification)”,其中包括 AT-C 第 105 节“所有鉴证业务的通用概念(Concepts Common to All Attestation Engagements)”和 AT-C 第 205 节“审查业务(Examination Engagements)”;TSP 第 100A 节“2017 年有关安全性、可用性、处理完整性、机密性和隐私的信任服务标准(2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy)”(AICPA,简称“2017 年信托服务标准”)
- SOC 1
向客户提供有关 AWS 控制环境的信息,该环境可能与他们对财务报告的内部控制相关。
为客户及其审计师提供信息,供其就财务报告内部控制(ICFR)的有效性进行评测并提出观点。 - SOC 2:安全性、可用性、机密性和隐私性
向有业务需求的客户和用户提供对与系统安全性、可用性、机密性和隐私性相关的 AWS 控制环境的独立评测。 - SOC 3:安全性、可用性、机密性和隐私性
向有业务需求的客户和用户提供对与系统安全性、可用性、机密性和隐私性相关的 AWS 控制环境的独立评测,而不公开 AWS 内部信息。
- SOC 1
客户管理和他们的审计师 - SOC 2:安全性、可用性、机密性和隐私性
有业务需求的用户 - SOC 3:安全性、可用性、机密性和隐私性
点击此处了解公开发布的内容
- SOC 1
12 个月:将于 3 月 31 日、6 月 30 日、9 月 30 日、12 月 31 日结束 - SOC 2:安全性、可用性、机密性和隐私性
12 个月:将于 3 月 31 日、9 月 30 日结束 - SOC 3:安全性、可用性、机密性和隐私性
12 个月:将于 3 月 31 日、9 月 30 日结束
一般常见问题
全部打开针对 AWS 的 SOC 1 和 SOC 2 报告的 SOC 持续运营函(也叫衔接函或 COL)每月更新,可在 Artifact 平台获取(标题:SOC 持续运营函)。该持续运营函通常在每月第一周发布,涵盖的时间段为上次发布的 SOC 报告日期至该持续运营函发布之日。
AWS SOC
全部打开SOC 报告目前涵盖的 AWS 服务可在按合规性计划提供的范围内 AWS 服务中找到。如果您想要了解有关使用这些服务的更多信息,并且/或者想了解其他服务,请联系我们。
有关所有范围内区域的完整列表,请参阅 AWS SOC 3 报告。
安永会计师事务所执行 AWS SOC 1、SOC 2 及 SOC 3 审计。
- 春季周期:(4 月 1 日 - 次年 3 月 31 日)[SOC 1/2/3 报告大约在 5 月下旬发布]
- 夏季周期:(7 月 1 日 - 次年 6 月 30 日)[仅发布 SOC 1 报告,大约在 8 月下旬发布]
- 秋季周期:(10 月 1 日 - 次年 9 月 30 日)[SOC 1/2/3 报告大约在 11 月下旬发布]
- 冬季周期:(1 月 1 日 - 12 月 31 日)[仅发布 SOC 1 报告,大约在 2 月下旬发布]
AWS 每季度发布一次 SOC 1 报告,每年发布两次 SOC 2 和 3 报告。每份报告涵盖过去 12 个月的情况。报告发布日期受多种因素影响,但新报告通常在报告期结束后的 9 - 10 周左右发布。
AWS SOC 1 审计的执行符合鉴证业务国际准则第 3402 号(ISAE 3402)。需要 ISAE 3402 报告的客户应使用 AWS Artifact(一个允许按需访问 AWS 合规性报告的自助式门户)请求 AWS SOC 1 II 类报告。您可以登录 AWS 管理控制台中的 AWS Artifact 或通过 AWS Artifact 入门了解更多信息。
查阅 AWS SOC 1 和 SOC 2 报告时需要签订 NDA。AWS SOC 3 报告是公开发布的 AWS SOC 2 报告摘要。AWS SOC 3 报告概述了 AWS 如何满足 SOC 2 中的 AICPA 信任服务标准,并附加了外部审计员对运行控制措施的意见。可在 AWS 网站上阅读最新的 AWS SOC 3 报告。
客户可使用 AWS Artifact(允许按需访问 AWS 合规性报告的自助式门户)获取 AWS SOC 1 和 SOC 2 报告。您可以登录 AWS 管理控制台中的 AWS Artifact 或通过 AWS Artifact 入门了解更多信息。
AWS 网站上公开发布了最新的 AWS SOC 3 报告。
AWS 每季度发布 SOC 1 报告,每年发布两次 SOC 2/3 报告。每份报告涵盖 12 个月的周期。在适当的情况下,我们将在下一个可用的审核周期中将新区域范围纳入我们的 SOC 报告中。