SOC

概觀

SOC-SizedLogo

AWS 系統與組織控制 (SOC) 報告是獨立的第三方檢驗報告,其中展現了 AWS 如何達成關鍵合規性控制與目標。這些報告的用途是協助您和稽核人員了解為了支援運作與合規所建立的 AWS 控制。AWS SOC 報告有三種:

  • AWS SOC 報告提供哪些資訊?

      SOC 1 SOC 2:安全性、可用性和機密性 SOC 3:安全性、可用性和機密性
    報告內容為何? AWS 控制環境的描述以及 AWS 定義的控制與目標的外部稽核 AWS 控制環境的描述以及符合 AICPA 信託服務安全性、可用性和機密性原則和條件的 AWS 控制的外部稽核 展現 AWS 已達到 AICPA 信託服務安全性、可用性和機密性原則和條件的公開報告
    稽核報告執行的依循標準為何? SSAE No. 18, Attestation Standards: Clarification and Recodification (AICPA, Professional Standards),其中包括 AT-C section 320, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting。AICPA 指南,Service Organizations: Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting (SOC 1®) SSAE No. 18, Attestation Standards: Clarification and Recodification,其中包括 AT-C section 105, Concepts Common to All Attestation Engagements 及 AT-C section 205, Examination Engagements AICPA Guide, Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy(SOC 2®) TSP section 100, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria) SSAE No. 18, Attestation Standards: Clarification and Recodification,其中包括 AT-C section 105, Concepts Common to All Attestation Engagements 及 AT-C section 205, Examination Engagements TSP section 100, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria)
    報告的主要用途是什麼?

    為客戶提供與他們內部控制財務報告相關的 AWS 控制環境資訊

    為客戶及其稽核人員提供對於他們內部控制財務報告 (ICOFR) 有效性的評估和意見等資訊

    為具有商業需求的客戶和使用者提供與系統安全性、可用性和機密性相關的 AWS 控制環境的公正評估 為具有商業需求的客戶和使用者提供與系統安全性、可用性和機密性相關的 AWS 控制環境的公正評估,但不透露 AWS 內部資訊
    報告的主要適用對象有哪些? 客戶管理階層及其稽核人員 具有商業需求的使用者 公開資訊,請參閱這裡
    AWS 報告涵蓋的期間為何?

    6 個月:

    10 月 1 日到 3 月 31 日,4 月 1 日到 9 月 30 日

    6 個月:

    10 月 1 日到 3 月 31 日,4 月 1 日到 9 月 30 日

    6 個月:

    10 月 1 日到 3 月 31 日,4 月 1 日到 9 月 30 日

  • SOC 報告範圍內包含哪些 AWS 服務?

    您可以在合規計劃的 AWS 服務範圍找到已經涵蓋在 SOC 報告範圍內的 AWS 服務。如果您想進一步了解使用這些服務的資訊及/或對其他服務感興趣,請聯絡我們

  • AWS SOC 報告涵蓋哪些區域?

    如需範圍內所有區域的完整清單,請參閱 AWS SOC 3 報告

  • 哪些機構為 AWS 進行獨立第三方稽核的 SOC 報告?

    Ernst & Young LLP 進行 AWS SOC 1、SOC 2 和 SOC 3 稽核。

  • AWS SOC 報告多久簽發一次,何時預計會簽發新的報告?

    AWS 每年會發佈 SOC 1、SOC 2 和 SOC 3 報告兩次,每次涵蓋 6 個月的時間 (分別是 10 月 1 日到 3 月 31 日和 4 月 1 日到 9 月 30 日)。新報告會在五月中和十一月中發佈。

  • 有 ISAE 3402 報告嗎?

    AWS SOC 1 稽核是根據國際鑑證業務準則第3402 號 (ISAE 3402) 來進行。需要 ISAE 3402 報告的客戶應該使用 AWS Artifact (隨需存取 AWS 合規報告的自助服務入口網站) 請求 AWS SOC 1 Type II 報告。登入 AWS 管理主控台中的 AWS Artifact,或者參閱 AWS Artifact 入門進一步了解詳細資訊。

  • 接收 AWS SOC 報告是否需要保密協議 (NDA)?

    需要簽署 NDA 才能查看 AWS SOC 1 和 SOC 2 報告。AWS SOC 3 報告是公開的 AWS SOC 2 報告摘要。AWS SOC 3 報告概述 AWS 如何符合 SOC 2 中 AICPA 的 Trust Security Principles,且包含外部稽核員對控制操作的意見。您可以在 AWS 網站上閱讀最新的 AWS SOC 3 報告

  • 如何請求 AWS SOC 1 或 SOC 2 報告?

    客戶可透過 AWS Artifact (隨需存取 AWS 合規報告的自助服務入口網站) 取得 AWS SOC 1 和 SOC 2。登入 AWS 管理主控台中的 AWS Artifact,或者參閱 AWS Artifact 入門進一步了解詳細資訊。

  • 我可以在哪裡找到 AWS SOC 3 報告?

    AWS 網站已公開發布最新的 AWS SOC 3 報告

compliance-contactus-icon
有問題?與 AWS 合規代表聯繫
探索合規職缺?
立即申請 »
需要 AWS 合規更新?
在 Twitter 上關注我們 »