SOC

概览

SOC-SizedLogo

AWS 系统及组织控制 (SOC) 报告是独立的第三方审查报告,可展示 AWS 如何实现关键合规性控制措施和目标。这些报告的目的是帮助您和您的审计师理解旨在支持运营与合规性的 AWS 控制措施。AWS SOC 报告分为五种:

  • AWS SOC 1 报告,AWS 客户可使用 AWS Artifact 获取该报告。
  • AWS SOC 2 安全性、可用性与机密性报告,AWS 客户可使用 AWS Artifact 获取该报告。
  • AWS SOC 2 安全性、可用性与机密性报告(仅涵盖 Amazon DocumentDB),AWS 客户可使用 AWS Artifact 获取该报告。
  • AWS SOC 2 隐私类型 I 报告,AWS 客户可使用 AWS Artifact 获取该报告。
  • AWS SOC 3 安全性、可用性与机密性报告,以白皮书形式公开提供。 
  • AWS SOC 报告提供哪些信息?

      SOC 1 SOC 2:安全性、可用性与机密性
    SOC 2:隐私 
    SOC 3:安全性、可用性与机密性
    该报告是什么? 对 AWS 控制环境与 AWS 定义的控制措施及目标的外部审计的描述 对 AWS 控制环境,以及满足 AICPA 信托服务的安全性、可用性与机密性原则和标准的 AWS 控制措施的外部审计的描述 对 AWS 控制环境,以及满足 AICPA 信托服务的隐私原则和标准的 AWS 控制措施的外部审计的描述 一份面向公众的报告,表明 AWS 符合 AICPA 信托服务的安全性、可用性与机密性原则和标准
    执行审计报告时遵循的是什么标准? SSAE 第 18 号“鉴证标准:澄清和重编码 (Attestation Standards: Clarification and Recodification)”(AICPA,简称“专业标准”),其中包括 AT-C 第 320 节“就与用户实体对财务报告的内部控制有关的服务组织的控制审查提出报告 (Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting)”。AICPA 指南“服务组织:就与用户实体对财务报告的内部控制有关的服务组织的控制审查提出报告 (Service Organizations: Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting)”(SOC 1®) SSAE 第 18 号“鉴证标准:澄清和重编码 (Attestation Standards: Clarification and Recodification)”,其中包括 AT-C 第 105 节“所有鉴证业务的通用概念 (Concepts Common to All Attestation Engagements)”和 AT-C 第 205 节“审查业务 (Examination Engagements)”;AICPA 指南“就服务组织中与安全性、可用性、处理完整性、机密性或隐私相关的控制提出报告 (Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy)”(SOC 2®);TSP 第 100A 节“2017 年有关安全性、可用性、处理完整性、机密性和隐私的信任服务标准 (2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy)”(AICPA,简称“2017 年信托服务标准”) 与“SOC 2:安全性、可用性与机密性”相同 SSAE 第 18 号“鉴证标准:澄清和重编码 (Attestation Standards: Clarification and Recodification)”,其中包括 AT-C 第 105 节“所有鉴证业务的通用概念 (Concepts Common to All Attestation Engagements)”和 AT-C 第 205 节“审查业务 (Examination Engagements)”;TSP 第 100A 节“2017 年有关安全性、可用性、处理完整性、机密性和隐私的信任服务标准 (2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy)”(AICPA,简称“2017 年信托服务标准”)
    主要报告的目的是什么?

    为客户提供有关 AWS 控制环境的信息,该环境可能与他们对财务报告的内部控制相关

    为客户及其审计师提供信息,供其就财务报告内部控制 (ICOFR) 的有效性进行评估并提出观点

    为有业务需求的客户和用户提供对与系统安全性、可用性和机密性相关的 AWS 控制环境的独立评估

    为客户提供对 AWS 系统和 AWS 隐私控制设计的适用性的独立评估。

    SOC 2 隐私信任原则由美国注册会计师协会 (AICPA) 制定,为评估与个人信息如何收集、使用、保留、披露和处理以满足实体目标相关的控制措施建立了标准。

    为有业务需求的客户和用户提供对与系统安全性、可用性和机密性相关的 AWS 控制环境的独立评估,而不公开 AWS 内部信息
    主要报告的目标人群是谁? 客户管理和他们的审计师 有业务需求的用户 业务需要其了解与隐私相关的 AWS 控制措施的用户 请单击此处了解公开发布的内容
    AWS 报告覆盖哪个时间段?

    6 个月:

    10 月 1 日 – 3 月 31 日和 4 月 1 日 – 9 月 30 日

    6 个月:

    10 月 1 日 – 3 月 31 日和 4 月 1 日 – 9 月 30 日

     

    截至 2018 年 10 月 31 日

    6 个月:

    10 月 1 日 – 3 月 31 日和 4 月 1 日 – 9 月 30 日

    SOC 2:安全性、可用性与机密性
  • SOC 报告涵盖哪些 AWS 服务?

    SOC 报告目前涵盖的 AWS 服务可以在 AWS 按合规性计划提供的范围内服务中找到。如果您想要了解有关使用这些服务的更多信息,并且/或者对其他服务感兴趣,请联系我们

  • AWS SOC 报告涵盖哪些区域?

    有关所有范围内区域的完整列表,请参阅 AWS SOC 3 报告。 

  • SOC 报告中 AWS 的独立第三方审计是谁做的?

    安永会计师事务所进行了 AWS SOC 1、SOC 2 和 SOC 3 审计。

  • AWS SOC 报告的发布频率如何?预计何时发布新报告?

    AWS 每年发布两次 SOC 1、SOC 2 和 SOC 3 报告,报告范围涵盖 6 个月(10 月 1 日 – 3 月 31 日和 4 月 1 日 – 9 月 30 日)。新报告在 5 月中旬和 11 月中旬发布。

  • 有 ISAE 3402 报告吗?

    AWS SOC 1 审计的执行符合鉴证业务国际准则第 3402 号 (ISAE 3402)。需要 ISAE 3402 报告的客户应使用 AWS Artifact(一个允许按需访问 AWS 合规性报告的自助式门户)请求 AWS SOC 1 II 类报告。您可以登录 AWS 管理控制台中的 AWS Artifact 或通过 AWS Artifact 入门了解更多信息。

  • 接收 AWS SOC 报告是否需要签订保密协议 (NDA)?

    查阅 AWS SOC 1 和 SOC 2 报告时需要签订 NDA。AWS SOC 3 报告是公开发布的 AWS SOC 2 报告摘要。AWS SOC 3 报告概述了 AWS 如何满足 SOC 2 中的 AICPA 信任安全原则,并附加了外部审计员对运行控制措施的意见。您可以在 AWS 网站上阅读最新的 AWS SOC 3 报告

  • 如何申请 AWS SOC 1 或 SOC 2 报告?

    客户可以使用 AWS Artifact(一个允许按需访问 AWS 合规性报告的自助式门户)来获取 AWS SOC 1 和 SOC 2 报告。您可以登录 AWS 管理控制台中的 AWS Artifact 或通过 AWS Artifact 入门了解更多信息。

  • 在哪里可以找到 AWS SOC 3 报告?

    AWS 网站上公开发布了最新的 AWS SOC 3 报告

  • 为什么 Amazon DocumentDB(MongoDB 兼容版)有单独的 SOC 2 报告?

    Amazon DocumentDB 包含在单独的 SOC 2 报告中,因为它是在 2018 年 11 月发布常规 SOC 2 报告之后发布的。我们计划在常规 SOC 1 和 SOC 2 报告中包含 Amazon DocumentDB。下一份报告将于 2019 年 5 月中旬发布。

compliance-contactus-icon
有问题? 联系 AWS 业务代表
想要提供合规性服务?
立即申请 »
想要了解 AWS 合规性动态?
在 Twitter 上关注我们 »