SOC

Tổng quan

Báo cáo Kiểm soát hệ thống và tổ chức (SOC) AWS là báo cáo kiểm tra độc lập của bên thứ ba thể hiện cách AWS đạt được các mục tiêu và biện pháp kiểm soát tuân thủ chính. Mục đích của các báo cáo này là để giúp bạn và chuyên viên đánh giá hiểu được rằng các kiểm soát của AWS được thiết lập để hỗ trợ các hoạt động và tính tuân thủ. Có ba loại báo cáo AWS SOC:

Báo cáo AWS SOC 1, khách hàng AWS có thể xem tại AWS Artifact.
Báo cáo AWS SOC 2 về tính bảo mật, tính sẵn sàng, tính bí mật và quyền riêng tư, khách hàng AWS có thể xem tại AWS Artifact.
Báo cáo AWS SOC 3 về tính bảo mật, tính sẵn sàng, tính bí mật và quyền riêng tư, được công khai dưới dạng báo cáo nghiên cứu chuyên sâu.

Câu hỏi thường gặp

Báo cáo AWS SOC cung cấp thông tin gì?

	SOC 1	SOC 2: Tính bảo mật, tính sẵn sàng, tính bí mật và quyền riêng tư	SOC 3: Tính bảo mật, tính sẵn sàng, tính bí mật và quyền riêng tư
Báo cáo là gì?	Bản mô tả về môi trường kiểm soát của AWS và hoạt động kiểm tra bên ngoài đối với các biện pháp kiểm soát và mục tiêu mà AWS đã xác định	Bản mô tả về môi trường kiểm soát của AWS và hoạt động kiểm tra bên ngoài đối với các biện pháp kiểm soát của AWS đáp ứng các Tiêu chí về tính bảo mật, tính sẵn sàng, tính bí mật và quyền riêng tư trong dịch vụ đáng tin cậy của AICPA	Báo cáo công khai thể hiện rằng AWS đáp ứng các Tiêu chí về tính bảo mật, tính sẵn sàng, tính bí mật và quyền riêng tư trong dịch vụ đáng tin cậy của AICPA
Báo cáo kiểm tra được thực hiện theo tiêu chuẩn nào?	SSAE số 18, Tiêu chuẩn chứng nhận: Làm rõ và sửa đổi (AICPA, Tiêu chuẩn chuyên nghiệp), bao gồm AT-C phần 320, Báo cáo về thanh tra kiểm soát tại tổ chức dịch vụ có liên quan đến kiểm soát nội bộ của thực thể người dùng trong báo cáo tài chính. Hướng dẫn AICPA, Tổ chức dịch vụ: Báo cáo về thanh tra kiểm soát tại tổ chức dịch vụ có liên quan đến kiểm soát nội bộ của thực thể người dùng trong báo cáo tài chính (SOC 1®)	SSAE số 18, Tiêu chuẩn chứng nhận: Làm rõ và sửa đổi, bao gồm AT-C phần 105, Khái niệm chung cho tất cả các cam kết chứng nhận và AT-C phần 205, Hướng dẫn AICPA về cam kết kiểm tra, Báo cáo về kiểm soát tại tổ chức dịch vụ liên quan đến tính bảo mật, tính sẵn sàng, tính liêm chính khi xử lý, tính bí mật hoặc quyền riêng tư (SOC 2®) TSP phần 100A, Tiêu chí của dịch vụ đáng tin cậy về tính bảo mật, tính sẵn sàng, tính liêm chính khi xử lý, tính bí mật và quyền riêng tư năm 2017 (AICPA, Tiêu chí dịch vụ đáng tin cậy năm 2017)	SSAE số 18, Tiêu chuẩn chứng nhận: Làm rõ và sửa đổi, bao gồm AT-C phần 105, Khái niệm chung cho tất cả các cam kết chứng nhận và AT-C phần 205, Cam kết kiểm tra TSP phần 100A, Tiêu chí của dịch vụ đáng tin cậy về tính bảo mật, tính sẵn sàng, tính liêm chính khi xử lý, tính bí mật và quyền riêng tư năm 2017 (AICPA, Tiêu chí dịch vụ đáng tin cậy năm 2017)
Mục đích báo cáo chính là gì?	Cung cấp thông tin cho khách hàng về các môi trường kiểm soát của AWS có thể liên quan đến kiểm soát nội bộ của họ đối với báo cáo tài chính Cung cấp thông tin cho khách hàng và chuyên viên đánh giá phục vụ đánh giá và ý kiến của họ về sự hiệu quả của biện pháp kiểm soát nội bộ đối với báo cáo tài chính (ICOFR)	Cung cấp cho khách hàng và người dùng có nhu cầu kinh doanh một bản đánh giá độc lập về môi trường kiểm soát của AWS liên quan đến tính bảo mật, tính sẵn sàng, tính bí mật và quyền riêng tư của hệ thống	Cung cấp cho khách hàng và người dùng có nhu cầu kinh doanh một bản đánh giá độc lập về môi trường kiểm soát của AWS liên quan đến tính bảo mật, tính sẵn sàng, tính bí mật và quyền riêng tư của hệ thống mà không làm tiết lộ thông tin nội bộ AWS
Ai là người đọc báo cáo chính?	Quản lý khách hàng và chuyên viên đánh giá của họ	Người dùng có nhu cầu kinh doanh	Được cung cấp công khai tại đây
Báo cáo AWS bao gồm giai đoạn nào?	12 tháng: kết thúc ngày 31 tháng 3, ngày 30 tháng 6, ngày 30 tháng 9, ngày 31 tháng 12	12 tháng: kết thúc ngày 31 tháng 3, ngày 30 tháng 9	12 tháng: kết thúc ngày 31 tháng 3, ngày 30 tháng 9

Các dịch vụ AWS nào nằm trong phạm vi báo cáo SOC?

Bạn có thể tìm thấy những dịch vụ AWS được áp dụng nằm trong phạm vi của báo cáo SOC ở Dịch vụ AWS trong phạm vi của Chương trình tuân thủ. Nếu bạn muốn tìm hiểu thêm về việc sử dụng những dịch vụ này và/hoặc quan tâm tới các dịch vụ khác, vui lòng liên hệ với chúng tôi.
Những vùng nào nằm trong phạm vi báo cáo SOC của AWS?

Để có danh sách đầy đủ tất cả các vùng phạm vi, vui lòng tham khảo Báo cáo SOC 3 của AWS.
Ai thực hiện việc kiểm tra độc lập bên thứ ba cho AWS về chứng nhận báo cáo SOC?

Ernst & Young LLP thực hiện kiểm tra SOC 1, SOC 2 và SOC 3 của AWS.
Báo cáo SOC của AWS được phát hành với tần suất thế nào và dự kiến khi nào tôi có một báo cáo mới được phát hành?
AWS phát hành báo cáo SOC 1 hàng quý và báo cáo SOC 2 và 3 hai lần mỗi năm. Mỗi báo cáo bao quát thông tin của 12 tháng trước đó. Có nhiều yếu tố ảnh hưởng đến ngày phát hành báo cáo, nhưng báo cáo mới thường được phát hành sau ngày kết thúc giai đoạn đó khoảng 9 – 10 tuần.
- Chu kỳ mùa xuân: (ngày 1 tháng 4 – ngày 31 tháng 3) [phát hành SOC 1/2/3 vào khoảng cuối tháng 5]
- Chu kỳ mùa hè: (ngày 1 tháng 7 – ngày 30 tháng 6) [chỉ phát hành SOC 1 vào khoảng cuối tháng 8]
- Chu kỳ mùa thu: (ngày 1 tháng 10 – ngày 30 tháng 9) [phát hành SOC 1/2/3 vào khoảng cuối tháng 11]
- Chu kỳ mùa đông: (ngày 1 tháng 1 – ngày 31 tháng 12) [chỉ phát hành SOC 1 vào khoảng cuối tháng 2]
Có báo cáo ISAE 3402 không?

Kiểm tra AWS SOC 1 được thực hiện theo các tiêu chuẩn quốc tế về Cam kết đảm bảo số 3402 (ISAE 3402). Khách hàng cần báo cáo ISAE 3402 nên yêu cầu báo cáo AWS SOC 1 loại II bằng cách sử dụng AWS Artifact, một cổng tự phục vụ cho những truy cập theo yêu cầu đến các báo cáo tuân thủ của AWS. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS, hoặc tìm hiểu thêm tại Bắt đầu với AWS Artifact.
Có cần thỏa thuận bảo mật thông tin (NDA) để nhận báo cáo SOC của AWS không?

Cần có NDA để xem xét báo cáo SOC 1 và SOC 2 của AWS. Báo cáo AWS SOC 3 là bản tóm tắt công khai của báo cáo SOC 2 của AWS. Báo cáo SOC 3 của AWS trình bày cách AWS đáp ứng Tiêu chí dịch vụ đáng tin cậy của AICPA trong SOC 2 và bao gồm ý kiến của chuyên viên đánh giá bên ngoài về hoạt động kiểm soát. Bạn có thể đọc Báo cáo SOC 3 của AWS mới nhất trên trang web của AWS.
Làm cách nào để yêu cầu báo cáo SOC, SOC 1 hoặc SOC 2 của AWS?

Các báo cáo SOC 1 và SOC 2 của AWS được cung cấp cho khách hàng bằng cách sử dụng AWS Artifact, một cổng tự phục vụ để xem các báo cáo tuân thủ của AWS theo yêu cầu. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS, hoặc tìm hiểu thêm tại Bắt đầu với AWS Artifact.
Tôi có thể tìm thấy Báo cáo SOC 3 của AWS ở đâu?

Báo cáo AWS SOC 3 mới nhất được cung cấp công khai trên trang web của AWS.
Khi nào Báo cáo SOC sẽ đề cập đến các khu vực mới?

AWS phát hành báo cáo SOC 1 hàng quý và báo cáo SOC 2/3 hai lần mỗi năm. Nội dung của mỗi báo cáo dành cho khoảng thời gian 12 tháng. Khi thích hợp, chúng tôi sẽ đưa các khu vực mới vào báo cáo SOC trong chu kỳ đánh giá tiếp theo.
Tôi có thể tìm thấy Thư tiếp tục hoạt động SOC (còn được gọi là Thư cầu nối) ở đâu?

Thư tiếp tục hoạt động SOC (còn được gọi là Thư cầu nối hay COL) cho báo cáo SOC 1 và SOC 2 của AWS được cập nhật hàng tháng và được đăng tải trên Artifact (Tiêu đề: Thư tiếp tục hoạt động SOC). COL thường được phát hành vào tuần đầu tiên của mỗi tháng, bao quát thông tin trong khoảng thời gian từ ngày phát hành báo cáo SOC gần nhất cho đến ngày phát hành COL.