SOC

Tổng quan

SOC-SizedLogo

Báo cáo AWS System and Organization Controls (SOC) là bản báo cáo kiểm tra độc lập của bên thứ ba thể hiện cách AWS đạt được các mục tiêu và kiểm soát tuân thủ quan trọng. Mục đích của các báo cáo này là để giúp bạn và chuyên viên kiểm tra nắm bắt các biện pháp kiểm soát của AWS được thiết lập để hỗ trợ các hoạt động và khả năng tuân thủ. Có năm loại báo cáo AWS SOC:

  • Báo cáo AWS SOC 1, khách hàng AWS có thể xem tại AWS Artifact.
  • Báo cáo AWS SOC 2 về mức độ bảo mật, tính khả dụng & bí mật, khách hàng AWS có thể xem tại AWS Artifact.
  • Báo cáo AWS SOC 2 về mức độ bảo mật, tính khả dụng & bí mật, khách hàng AWS có thể xem tại AWS Artifact (chỉ trong phạm vi Amazon DocumentDB).
  • Báo cáo AWS SOC 2 loại I về quyền riêng tư, khách hàng AWS có thể xem tại AWS Artifact.
  • Báo cáo tính bảo mật, sẵn sàng & tin cẩn của AWS SOC 3, được công khai dưới dạng báo cáo nghiên cứu chuyên sâu
  • Báo cáo AWS SOC cung cấp thông tin gì?

      SOC 1 SOC 2: Tính bảo mật, sẵn sàng & tin cẩn
    SOC 2: Quyền riêng tư 
    SOC 3: Tính bảo mật, sẵn sàng & tin cẩn
    Báo cáo là gì? Mô tả về môi trường kiểm soát và kiểm tra bên ngoài AWS đối với các biện pháp kiểm soát và mục tiêu mà AWS đã xác định Mô tả về môi trường thuộc biện pháp kiểm soát của AWS và hoạt động kiểm tra bên ngoài biện pháp kiểm soát AWS đáp ứng các Nguyên tắc và tiêu chí về tính bảo mật, sẵn sàng và tin cẩn của dịch vụ đáng tin cậy AICPA Mô tả về môi trường thuộc biện pháp kiểm soát của AWS và hoạt động kiểm tra bên ngoài biện pháp kiểm soát AWS đáp ứng các Nguyên tắc và tiêu chí về quyền riêng tư của dịch vụ đáng tin cậy AICPA Báo cáo công khai thể hiện AWS đáp ứng các Nguyên tắc và tiêu chuẩn về tính bảo mật, sẵn sàng và tin cẩn của dịch vụ đáng tin cậy AICPA
    Báo cáo kiểm tra được thực hiện theo tiêu chuẩn nào? SSAE số 18, Tiêu chuẩn chứng nhận: Làm rõ và sửa đổi (AICPA, Tiêu chuẩn chuyên nghiệp), bao gồm AT-C phần 320, Báo cáo về thanh tra kiểm soát tại tổ chức dịch vụ có liên quan đến kiểm soát nội bộ của thực thể người dùng trong báo cáo tài chính. Hướng dẫn AICPA, Tổ chức dịch vụ: Báo cáo về thanh tra kiểm soát tại tổ chức dịch vụ có liên quan đến kiểm soát nội bộ của thực thể người dùng trong báo cáo tài chính (SOC 1®) SSAE số 18, Tiêu chuẩn chứng nhận: Làm rõ và sửa đổi, bao gồm AT-C phần 105, Khái niệm chung cho tất cả các cam kết chứng nhận, và phần AT-C 205, Hướng dẫn AICPA về thực hiện thanh tra, Báo cáo về kiểm soát tại tổ chức dịch vụ liên quan đến tính bảo mật, khả năng sử dụng, tính liêm chính khi xử lý, tính tin cẩn hoặc quyền riêng tư (SOC 2®) TSP phần 100A, Tiêu chí của dịch vụ đáng tin cậy về tính bảo mật, tính sẵn sàng, tính liêm chính khi xử lý, tính tin cẩn và quyền riêng tư năm 2017 (AICPA, Tiêu chí dịch vụ đáng tin cậy năm 2017) Tương tự như SOC 2: Tính bảo mật, sẵn sàng & tin cẩn SSAE số 18, Tiêu chuẩn chứng nhận: Làm rõ và sửa đổi, bao gồm AT-C phần 105, Khái niệm chung cho tất cả các cam kết chứng nhận và phần AT-C 205, TSP thực hiện thanh tra phần 100A, Tiêu chí của dịch vụ đáng tin cậy về tính bảo mật, tính sẵn sàng, tính liêm chính khi xử lý, tính tin cẩn và quyền riêng tư năm 2017 (AICPA, Tiêu chí dịch vụ đáng tin cậy năm 2017)
    Mục đích báo cáo chính là gì?

    Cung cấp thông tin cho khách hàng về các môi trường kiểm soát của AWS có thể liên quan đến kiểm soát nội bộ của họ đối với báo cáo tài chính

    Để cung cấp thông tin cho khách hàng và chuyên viên đánh giá phục vụ đánh giá và ý kiến của họ về sự hiệu quả của kiểm soát nội bộ của họ đối với báo cáo tài chính (ICOFR)

    Cung cấp cho khách hàng và người dùng có nhu cầu kinh doanh một bản đánh giá độc lập về môi trường kiểm soát của AWS liên quan đến bảo mật hệ thống, khả năng sử dụng và tính tin cẩn

    Cung cấp cho khách hàng một bản đánh giá độc lập về hệ thống của AWS và độ phù hợp với thiết kế các biện pháp bảo đảm quyền riêng tư của AWS.

    Nguyên tắc đáng tin cậy về quyền riêng tư SOC 2, được xây dựng bởi Viện Kế toán viên Công Chứng Hoa Kỳ (AICPA) thiết lập các tiêu chí đánh giá biện pháp kiểm soát liên quan đến cách thức thu thập, sử dụng, tiết lộ và tiêu hủy thông tin cá nhân để đáp ứng các mục tiêu của tổ chức.

    Cung cấp cho khách hàng và người dùng có nhu cầu kinh doanh một bản đánh giá độc lập về môi trường kiểm soát của AWS liên quan đến bảo mật hệ thống, khả năng sử dụng và tính tin cẩn mà không làm tiết lộ thông tin nội bộ AWS
    Ai là người đọc báo cáo chính? Quản lý khách hàng và chuyên viên đánh giá của họ Người dùng có nhu cầu kinh doanh Người dùng có nhu cầu kinh doanh cần nắm bắt các biện pháp kiểm soát của AWS lên quan đến quyền riêng tư Được cung cấp công khai ở đây
    Báo cáo AWS bao gồm giai đoạn nào?

    6 tháng:

    1/10-31/3 và 1/4-30/9

    6 tháng:

    1/10-31/3 và 1/4-30/9

     

    Kể từ ngày 31/10/2018

    6 tháng:

    1/10-31/3 và 1/4-30/9

    SOC 2: Tính bảo mật, sẵn sàng & tin cẩn
  • Các dịch vụ AWS nào nằm trong phạm vi báo cáo SOC?

    Bạn có thể tìm thấy những dịch vụ AWS được áp dụng nằm trong phạm vi của báo cáo SOC ở Dịch vụ AWS trong phạm vi của Chương trình tuân thủ. Nếu bạn muốn tìm hiểu thêm về việc sử dụng những dịch vụ này và/hoặc quan tâm tới các dịch vụ khác, vui lòng liên hệ với chúng tôi.

  • Những vùng nào nằm trong phạm vi báo cáo SOC của AWS?

    Để có danh sách đầy đủ tất cả các vùng phạm vi, vui lòng tham khảo Báo cáo SOC 3 của AWS

  • Ai thực hiện việc kiểm tra độc lập bên thứ ba cho AWS về chứng nhận báo cáo SOC?

    Ernst & Young LLP thực hiện kiểm tra SOC 1, SOC 2 và SOC 3 của AWS.

  • Báo cáo SOC của AWS được phát hành với tần suất thế nào và khi nào tôi có thể mong chờ một báo cáo mới được phát hành?

    AWS phát hành báo cáo SOC 1, SOC 2 và SOC 3 một năm hai lần, bao hàm thông tin trong khoảng thời gian 6 tháng (ngày 1 tháng 10 đến ngày 31 tháng 3 và ngày 1 tháng 4 đến ngày 30 tháng 9). Báo cáo mới được phát hành vào giữa tháng 5 và giữa tháng 11.

  • Có báo cáo ISAE 3402 không?

    Kiểm tra AWS SOC 1 được thực hiện theo các tiêu chuẩn quốc tế về Cam kết đảm bảo số 3402 (ISAE 3402). Khách hàng cần báo cáo ISAE 3402 nên yêu cầu báo cáo AWS SOC 1 loại II bằng cách sử dụng AWS Artifact, một cổng tự phục vụ cho những truy cập theo yêu cầu đến các báo cáo tuân thủ của AWS. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS, hoặc tìm hiểu thêm tại Bắt đầu với AWS Artifact.

  • Có cần thỏa thuận bảo mật thông tin (NDA) để nhận báo cáo SOC của AWS không?

    Cần có NDA để xem xét báo cáo SOC 1 và SOC 2 của AWS. Báo cáo AWS SOC 3 là bản tóm tắt công khai của báo cáo SOC 2 của AWS. Báo cáo SOC 3 của AWS trình bày cách AWS đáp ứng Nguyên tắc bảo mật tin cậy của AICPA trong SOC 2 và bao gồm ý kiến của chuyên viên đánh giá bên ngoài về hoạt động kiểm soát. Bạn có thể đọc Báo cáo SOC 3 của AWS mới nhất được cung cấp công khai trên trang web của AWS.

  • Làm cách nào để yêu cầu báo cáo SOC, SOC 1 hoặc SOC 2 của AWS?

    Các báo cáo SOC 1 và SOC 2 của AWS được cung cấp cho khách hàng bằng cách sử dụng AWS Artifact, một cổng tự phục vụ để xem các báo cáo tuân thủ của AWS theo yêu cầu. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS, hoặc tìm hiểu thêm tại Bắt đầu với AWS Artifact.

  • Tôi có thể tìm thấy Báo cáo SOC 3 của AWS ở đâu?

    Báo cáo SOC 3 của AWS mới nhất được cung cấp công khai trên trang web của AWS.

  • Vì sao lại có báo cáo SOC 2 riêng cho Amazon DocumentDB (có khả năng tương thích với MongoDB)?

    Amazon DocumentDB thuộc phạm vi của báo cáo SOC 2 riêng bởi vì dịch vụ này bắt đầu đi vào hoạt động sau báo cáo SOC 2 thường được xuất bản vào tháng 11 năm 2018. Chúng tôi dự tính từ nay về sau sẽ đưa Amazon DocumentDB vào báo cáo SOC 1 và 2. Bản báo cáo tiếp theo sẽ được xuất bản vào giữa tháng 5 năm 2019.

Tài nguyên SOC

compliance-contactus-icon
Bạn có câu hỏi? Hãy kết nối với đại diện kinh doanh AWS
Bạn đang khám phá vai trò của tuân thủ?
Hãy đăng ký ngay hôm nay »
Bạn muốn cập nhật Tuân thủ AWS?
Hãy theo dõi chúng tôi trên Twitter »