SOC
概觀
AWS 系統和組織控制 (SOC) 報告是獨立的第三方檢驗報告,其中展現了 AWS 如何達成關鍵合規性控制與目標。這些報告的用途是協助您和稽核人員了解為了支援運作與合規所建立的 AWS 控制。AWS SOC 報告有三種:
- AWS 客戶可透過 AWS Artifact 取得 AWS SOC 1 報告。
- AWS SOC 2 安全性、可用性、機密性及隱私權報告,AWS 客戶可自 AWS Artifact 取得。
- AWS SOC 3 安全性、可用性、機密性及隱私權報告,以白皮書形式公開提供。
AWS SOC 報告
- SOC 1
AWS 控制環境的描述以及 AWS 定義的控制與目標的外部稽核。 - SOC 2:安全性、可用性、機密性及隱私權
AWS 控制環境的描述,以及符合 AICPA 信託服務安全性、可用性、機密性及隱私權條件的 AWS 控制外部稽核 - SOC 3:安全性、可用性、機密性及隱私權
展現 AWS 已達到 AICPA 信託服務安全性、可用性、機密性及隱私權條件的公開報告
- SOC 1
SSAE No. 18, Attestation Standards: Clarification and Recodification (AICPA, Professional Standards),其中包括 AT-C section 320, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting。AICPA 指南,Service Organizations: Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting (SOC 1®) - SOC 2:安全性、可用性、機密性及隱私權
SSAE No. 18, Attestation Standards: Clarification and Recodification,其中包括 AT-C section 105, Concepts Common to All Attestation Engagements 及 AT-C section 205, Examination Engagements AICPA Guide, Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy(SOC 2®) TSP section 100, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria) - SOC 3:安全性、可用性、機密性及隱私權
SSAE No. 18, Attestation Standards: Clarification and Recodification,其中包括 AT-C section 105, Concepts Common to All Attestation Engagements 及 AT-C section 205, Examination Engagements TSP section 100A, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria)
- SOC 1
為客戶提供與他們內部控制財務報告相關的 AWS 控制環境資訊。
為客戶及其稽核人員提供對於他們財務報告內部控制 (ICFR) 有效性的評估和意見等資訊。 - SOC 2:安全性、可用性、機密性及隱私權
為具有商業需求的客戶和使用者提供與系統安全性、可用性、機密性及隱私權相關之 AWS 控制環境的公正評估。 - SOC 3:安全性、可用性、機密性及隱私權
為具有商業需求的客戶和使用者提供與系統安全性、可用性、機密性及隱私權相關之 AWS 控制環境的公正評估,但不透露 AWS 內部資訊。
- SOC 1
客戶管理階層及其稽核人員 - SOC 2:安全性、可用性、機密性及隱私權
具有商業需求的使用者 - SOC 3:安全性、可用性、機密性及隱私權
公開資訊請參閱這裡
- SOC 1
為期 12 個月:截至 3 月 31 日、6 月 30 日、9 月 30 日、12 月 31 日 - SOC 2:安全性、可用性、機密性及隱私權
為期 12 個月:截至 3 月 31 日、9 月 30 日 - SOC 3:安全性、可用性、機密性及隱私權
為期 12 個月:截至 3 月 31 日、9 月 30 日
一般常見問答集
全部開啟AWS SOC 1 和 SOC 2 報告的 SOC 持續營運聲明 (亦稱為過渡聲明或 COL) 會每月更新,並且可在 Artifact 中提供 (標題:SOC 持續營運聲明)。COL 通常在每個月的第一週發布,涵蓋從上次簽發 SOC 報告之日起至 COL 發布日期間的期間。
SOC 上的 AWS
全部開啟您可以在合規計劃的 AWS 服務範圍找到已涵蓋在 SOC 報告範圍內的 AWS 服務。如果您想進一步了解使用這些服務的資訊及/或對其他服務感興趣,請聯絡我們。
如需範圍內所有區域的完整清單,請參閱 AWS SOC 3 報告。
Ernst & Young LLP 進行 AWS SOC 1、SOC 2 和 SOC 3 稽核。
- 春季週期:(4 月 1 日至 3 月 31 日) [SOC 1/2/3 約 5 月下旬簽發]
- 夏季週期:(7 月 1 日至 6 月 30 日) [SOC 1 僅約 8 月下旬簽發]
- 秋季週期:(10 月 1 日至 9 月 30 日) [SOC 1/2/3 約 11 月下旬簽發]
- 冬季週期:(1 月 1 日至 12 月 31 日) [SOC 1 僅約 2 月下旬簽發]
AWS 每季度發布一次 SOC 1 報告,並且每年發布兩次 SOC 2 和 SOC 3 報告。每份報告涵蓋過去 12 個月。影響報告發布日期的因素有很多,但新的報告通常會在該期間結束日期後大約 9-10 週發布。
AWS SOC 1 稽核是根據國際鑑證業務準則第 3402 (ISAE 3402) 號而進行的。需要 ISAE 3402 報告的客戶應該使用 AWS Artifact (隨需存取 AWS 合規報告的自助服務入口網站) 請求 AWS SOC 1 Type II 報告。登入 AWS 管理主控台中的 AWS Artifact,或者參閱 AWS Artifact 入門進一步了解詳細資訊。
需要簽署 NDA 才能查看 AWS SOC 1 和 SOC 2 報告。AWS SOC 3 報告是公開的 AWS SOC 2 報告摘要。AWS SOC 3 報告概述 AWS 如何符合 SOC 2 中 AICPA 的 信託服務條件,且包含外部稽核員對控制操作的意見。您可以在 AWS 網站上閱讀最新的 AWS SOC 3 報告。
客戶可透過 AWS Artifact (隨需存取 AWS 合規報告的自助服務入口網站) 取得 AWS SOC 1 和 SOC 2。登入 AWS 管理主控台中的 AWS Artifact,或者參閱 AWS Artifact 入門進一步了解詳細資訊。
AWS 網站已公開發佈最新的 AWS SOC 3 報告。
AWS 每季度發佈 SOC 1 報告,並且每年發佈兩次 SOC 2/3 報告。每份報告包括 12 個月的期間。在適當的情況下,我們將在下一個可用的稽核週期將新區域範圍納入我們的 SOC 報告。