我想了解有关云中的 SOC 的信息
AWS SOC 合规性

AWS 系统及组织控制 (SOC) 报告是独立的第三方检查报告,阐明 AWS 如何达成关键合规性控制和目标。这些报告的目的是帮助您和您的审计师理解旨在支持运营和合规性的 AWS 控制措施。AWS SOC 报告分为三种类型:



  SOC 1 SOC 2:安全性、可用性与机密性
SOC 3:安全性、可用性与机密性
该报告是什么? 对 AWS 控制环境与 AWS 定义的控制措施及目标的外部审计的描述 对 AWS 控制环境,以及满足 AICPA 信托服务的安全性、可用性与机密性原则和标准的 AWS 控制措施的外部审计的描述 一份面向公众的报告,表明 AWS 符合 AICPA 信托服务的安全性、可用性与机密性原则和标准
审计报告是在什么标准下完成的? SSAE No. 18,“Attestation Standards: Clarification and Recodification”(AICPA,“Professional Standards”),其中包括 AT-C 第 320 节“Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting”。AICPA 指南,“Service Organizations: Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting (SOC 1®)”

SSAE No. 18,“Attestation Standards: Clarification and Recodification”,其中包括 AT-C 第 105 节“Concepts Common to All Attestation Engagements”和 AT-C 第 205 节“Examination Engagements”。AICPA 指南,“Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy(SOC 2®)”。TSP 第 100 节,“2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy”(AICPA,“2017 Trust Services Criteria”)

SSAE No. 18,“Attestation Standards: Clarification and Recodification”,其中包括 AT-C 第 105 节“Concepts Common to All Attestation Engagements”和 AT-C 第 205 节“Examination Engagements”。TSP 第 100 节“2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy”(AICPA,“2017 Trust Services Criteria”)
主要报告的目的是什么?

为客户提供有关 AWS 控制环境的信息,该环境可能与他们对财务报告的内部控制相关

为客户及其审计师提供信息,供其就财务报告内部控制 (ICOFR) 的有效性进行评估并形成观点

为有业务需求的客户和用户提供对与系统安全性、可用性和机密性相关的 AWS 控制环境的独立评估 为有业务需求的客户和用户提供对与系统安全性、可用性和机密性相关的 AWS 控制环境的独立评估,而不公开 AWS 内部信息
主要报告的目标人群是谁? 客户管理和他们的审计师 具有业务需求的用户 请访问此处了解公开内容
AWS 报告覆盖的时间段是什么?

6 个月:

10/1-3/31 和 4/1-9/30

6 个月:

10/1-3/31 和 4/1-9/30

6 个月:

10/1-3/31 和 4/1-9/30

您可以在 AWS 按合规性计划提供的范围内服务中找到 SOC 报告中所含的 AWS 服务。如果您想要了解有关使用这些服务的更多信息,并且/或对其他服务感兴趣,请联系我们

美国东部 (弗吉尼亚北部)、美国东部 (俄亥俄)、美国西部 (俄勒冈)、美国西部 (加利福尼亚北部)、AWS GovCloud (美国)、加拿大 (中部)、欧洲 (爱尔兰)、欧洲 (法兰克福)、欧洲 (伦敦)、亚太地区 (新加坡)、亚太地区 (悉尼)、亚太地区 (东京)、亚太地区 (首尔)、亚太地区 (孟买) 和南美洲 (圣保罗) 地区,以及位于以下地区的 AWS 边缘站点:

  • 澳大利亚墨尔本
  • 澳大利亚悉尼
  • 奥地利维也纳
  • 巴西里约热内卢
  • 巴西圣保罗
  • 加拿大蒙特利尔
  • 加拿大多伦多
  • 捷克共和国布拉格
  • 中国香港
  • 英国伦敦
  • 法国马赛尔
  • 法国巴黎
  • 德国柏林
  • 德国法兰克福
  • 德国慕尼黑
  • 印度金奈
  • 印度孟买
  • 印度新德里
  • 爱尔兰都柏林
  • 意大利米兰
  • 日本大阪
  • 日本东京
  • 韩国首尔
  • 马来西亚吉隆坡
  • 荷兰阿姆斯特丹
  • 菲律宾马尼拉
  • 波兰华沙
  • 新加坡
  • 西班牙马德里
  • 瑞典斯德哥尔摩
  • 台湾台北
  • 美国加利福尼亚
  • 美国弗罗里达
  • 美国乔治亚
  • 美国伊利诺斯州
  • 美国印第安纳
  • 美国明尼苏达
  • 美国密苏里
  • 美国新泽西
  • 美国纽约
  • 美国俄亥俄
  • 美国俄勒冈
  • 美国宾夕法尼亚
  • 美国德克萨斯
  • 美国弗吉尼亚
  • 美国华盛顿

安永会计师事务所进行了 AWS SOC 1、SOC 2 和 SOC 3 审计。

AWS 每年发布两份 SOC 1、SOC 2 和 SOC 3 报告,覆盖 6 个月(第一份报告覆盖 10 月 1 日至 3 月 31 日,第二份报告覆盖 4 月 1 日至 9 月 30 日)。新报告在五月中旬和十一月中旬发布。

AWS SOC 1 审计的执行符合 International Standards for Assurance Engagements No.3402 (ISAE 3402)。需要 ISAE 3402 报告的客户应该申请 AWS SOC 1 Type II 报告。

只有当查阅 AWS SOC 1 和 2 报告时才需要签订 NDA;AWS SOC 3 报告则在 此处公开发布。AWS SOC 3 报告是 AWS SOC 2 报告的摘要。它依据 SOC 2 概述了 AWS 符合 AICPA 的信任安全原则 (Trust Security Principles),并附加了外部审计员对运行监控的意见。

AWS SOC 1 和 SOC 2 报告面向使用 AWS Artifact 的客户提供。AWS Artifact 是一个自助服务门户,借此可按照需要访问 AWS 的合规性报告。立即开始使用 AWS Artifact。

AWS SOC 3 是一份公开报告,可在此查阅。

SOC 资源

 

联系我们