SOC
概览
AWS 系统及组织控制 (SOC) 报告是独立的第三方审查报告,可展示 AWS 如何实现关键合规性控制措施和目标。这些报告的目的是帮助您和您的审计师理解旨在支持运营与合规性的 AWS 控制措施。AWS SOC 报告分为三种:
- AWS SOC 1 报告,AWS 客户可使用 AWS Artifact 获取该报告。
- AWS SOC 2 安全性、可用性、机密性和隐私性报告,AWS 客户可使用 AWS Artifact 获取该报告。
- AWS SOC 3 安全性、可用性、机密性和隐私性报告,以白皮书形式公开提供。
常见问题
-
AWS SOC 报告提供哪些信息?
SOC 1 SOC 2:安全性、可用性、机密性和隐私性
SOC 3:安全性、可用性、机密性和隐私性
该报告是什么? 对 AWS 控制环境与 AWS 定义的控制措施及目标的外部审计的描述 对 AWS 控制环境,以及满足 AICPA 信托服务的安全性、可用性、机密性和隐私性标准的 AWS 控制措施的外部审计的描述
一份面向公众的报告,表明 AWS 符合 AICPA 信托服务的安全性、可用性、机密性和隐私性标准
执行审计报告时遵循的是什么标准? SSAE 第 18 号“鉴证标准:澄清和重编码 (Attestation Standards: Clarification and Recodification)”(AICPA,简称“专业标准”),其中包括 AT-C 第 320 节“就与用户实体对财务报告的内部控制有关的服务组织的控制审查提出报告 (Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting)”。AICPA 指南“服务组织:就与用户实体对财务报告的内部控制有关的服务组织的控制审查提出报告(Service Organizations: Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting)”(SOC 1®) SSAE 第 18 号“鉴证标准:澄清和重编码 (Attestation Standards: Clarification and Recodification)”,其中包括 AT-C 第 105 节“所有鉴证业务的通用概念 (Concepts Common to All Attestation Engagements)”和 AT-C 第 205 节“审查业务 (Examination Engagements)”;AICPA 指南“就服务组织中与安全性、可用性、处理完整性、机密性或隐私相关的控制提出报告 (Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy)”(SOC 2®);TSP 第 100A 节“2017 年有关安全性、可用性、处理完整性、机密性和隐私的信任服务标准 (2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy)”(AICPA,简称“2017 年信托服务标准”) SSAE 第 18 号“鉴证标准:澄清和重编码(Attestation Standards: Clarification and Recodification)”,其中包括 AT-C 第 105 节“所有鉴证业务的通用概念(Concepts Common to All Attestation Engagements)”和 AT-C 第 205 节“审查业务(Examination Engagements)”;TSP 第 100A 节“2017 年有关安全性、可用性、处理完整性、机密性和隐私的信任服务标准(2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy)”(AICPA,简称“2017 年信托服务标准”) 主要报告的目的是什么? 为客户提供有关 AWS 控制环境的信息,该环境可能与他们对财务报告的内部控制相关
为客户及其审计师提供信息,供其就财务报告内部控制 (ICOFR) 的有效性进行评估并提出观点
为有业务需求的客户和用户提供对与系统安全性、可用性、机密性和隐私性相关的 AWS 控制环境的独立评估
为有业务需求的客户和用户提供对与系统安全性、可用性、机密性和隐私性相关的 AWS 控制环境的独立评估,而不公开 AWS 内部信息
主要报告的目标人群是谁? 客户管理和他们的审计师 有业务需求的用户 请单击此处了解公开发布的内容 AWS 报告覆盖哪个时间段? 12 个月:
将于 3 月 31 日、6 月 30 日、9 月 30 日、12 月 31 日结束12 个月:
将于 3 月 31 日、9 月 30 日结束12 个月:
将于 3 月 31 日、9 月 30 日结束 -
SOC 报告涵盖哪些 AWS 服务?
SOC 报告目前涵盖的 AWS 服务可以在 AWS 按合规性计划提供的范围内服务中找到。如果您想要了解有关使用这些服务的更多信息,并且/或者对其他服务感兴趣,请联系我们。
-
AWS SOC 报告涵盖哪些区域?
有关所有范围内区域的完整列表,请参阅 AWS SOC 3 报告。
-
SOC 报告中 AWS 的独立第三方审计是谁做的?
安永会计师事务所进行了 AWS SOC 1、SOC 2 和 SOC 3 审计。
-
AWS SOC 报告的发布频率如何?预计何时发布新报告?
AWS 每季度发布 SOC 1 报告,每年发布两次 SOC 2/3 报告。每份报告涵盖12个月的周期。新的 SOC 报告将在审计期结束后大约 6-7 周发布(2 月中旬和 8 月中旬仅发布 SOC 1,5 月中旬和 11 月中旬发布 SOC 1/2/3)。
-
有 ISAE 3402 报告吗?
AWS SOC 1 审计的执行符合鉴证业务国际准则第 3402 号 (ISAE 3402)。需要 ISAE 3402 报告的客户应使用 AWS Artifact(一个允许按需访问 AWS 合规性报告的自助式门户)请求 AWS SOC 1 II 类报告。您可以登录 AWS 管理控制台中的 AWS Artifact 或通过 AWS Artifact 入门了解更多信息。
-
接收 AWS SOC 报告是否需要签订保密协议(NDA)?
查阅 AWS SOC 1 和 SOC 2 报告时需要签订 NDA。AWS SOC 3 报告是公开发布的 AWS SOC 2 报告摘要。AWS SOC 3 报告概述了 AWS 如何满足 SOC 2 中的 AICPA 信任服务标准,并附加了外部审计员对运行控制措施的意见。您可以在 AWS 网站上阅读最新的 AWS SOC 3 报告。
-
如何申请 AWS SOC 1 或 SOC 2 报告?
客户可以使用 AWS Artifact(一个允许按需访问 AWS 合规性报告的自助式门户)来获取 AWS SOC 1 和 SOC 2 报告。您可以登录 AWS 管理控制台中的 AWS Artifact 或通过 AWS Artifact 入门了解更多信息。
-
在哪里可以找到 AWS SOC 3 报告?
AWS 网站上公开发布了最新的 AWS SOC 3 报告。
-
SOC 报告何时将涵盖新区域?
AWS 每季度发布 SOC 1 报告,每年发布两次 SOC 2/3 报告。每份报告涵盖12个月的周期。在适当的情况下,我们将在下一个可用的审核周期中将新区域范围纳入我们的 SOC 报告中。