SOC
概觀
AWS 系統與組織控制 (SOC) 報告是獨立的第三方檢驗報告,其中展現了 AWS 如何達成關鍵合規性控制與目標。這些報告的用途是協助您和稽核人員了解為了支援運作與合規所建立的 AWS 控制。AWS SOC 報告有三種:
- AWS 客戶可透過 AWS Artifact 取得 AWS SOC 1 報告。
- AWS SOC 2 安全性、可用性、機密性及隱私權報告,AWS 客戶可自 AWS Artifact 取得。
- AWS SOC 3 安全性、可用性、機密性及隱私權報告,以白皮書形式公開提供。
-
AWS SOC 報告提供哪些資訊?
SOC 1 SOC 2:安全性、可用性、機密性及隱私權
SOC 3:安全性、可用性、機密性及隱私權
報告內容為何? AWS 控制環境的描述以及 AWS 定義的控制與目標的外部稽核 AWS 控制環境的描述,以及符合 AICPA 信託服務安全性、可用性、機密性及隱私權條件的 AWS 控制外部稽核
展現 AWS 已達到 AICPA 信託服務安全性、可用性、機密性及隱私權條件的公開報告
稽核報告執行的依循標準為何? SSAE No. 18, Attestation Standards: Clarification and Recodification (AICPA, Professional Standards),其中包括 AT-C section 320, Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting。AICPA 指南,Service Organizations: Reporting on an Examination of Controls at a Service Organization Relevant to User Entities’ Internal Control Over Financial Reporting (SOC 1®) SSAE No. 18, Attestation Standards: Clarification and Recodification,其中包括 AT-C section 105, Concepts Common to All Attestation Engagements 及 AT-C section 205, Examination Engagements AICPA Guide, Reporting on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy(SOC 2®) TSP section 100, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria) SSAE No. 18, Attestation Standards: Clarification and Recodification,其中包括 AT-C section 105, Concepts Common to All Attestation Engagements 及 AT-C section 205, Examination Engagements TSP section 100A, 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, 2017 Trust Services Criteria) 報告的主要用途是什麼? 為客戶提供與他們內部控制財務報告相關的 AWS 控制環境資訊
為客戶及其稽核人員提供對於他們內部控制財務報告 (ICOFR) 有效性的評估和意見等資訊
為具有商業需求的客戶和使用者提供與系統安全性、可用性、機密性及隱私權相關之 AWS 控制環境的公正評估
為具有商業需求的客戶和使用者提供與系統安全性、可用性、機密性及隱私權相關之 AWS 控制環境的公正評估,但不透露 AWS 內部資訊
報告的主要適用對象有哪些? 客戶管理階層及其稽核人員 具有商業需求的使用者 公開資訊請參閱這裡 AWS 報告涵蓋的期間為何? 為期 12 個月:
截至 3 月 31 日、6 月 30 日、9 月 30 日、12 月 31 日為期 12 個月:
截至 3 月 31 日、9 月 30 日為期 12 個月:
截至 3 月 31 日、9 月 30 日 -
SOC 報告範圍內包含哪些 AWS 服務?
您可以在合規計劃的 AWS 服務範圍找到已經涵蓋在 SOC 報告範圍內的 AWS 服務。如果您想進一步了解使用這些服務的資訊及/或對其他服務感興趣,請聯絡我們。
-
AWS SOC 報告涵蓋哪些區域?
如需範圍內所有區域的完整清單,請參閱 AWS SOC 3 報告。
-
哪些機構為 AWS 進行獨立第三方稽核的 SOC 報告?
Ernst & Young LLP 進行 AWS SOC 1、SOC 2 和 SOC 3 稽核。
-
AWS SOC 報告多久簽發一次,何時預計會簽發新的報告?
AWS 每季度發佈 SOC 1 報告,並且每年發佈兩次 SOC 2/3 報告。每份報告包括 12 個月的期間。新的 SOC 報告會在稽核期 (僅對於 SOC 1 為 2 月中旬和 8 月中旬;對於 SOC 1/2/3 則是 5 月中旬和 11 月中旬) 結束後約 6-7 週發佈。
-
有 ISAE 3402 報告嗎?
AWS SOC 1 稽核是根據國際鑑證業務準則第 3402 (ISAE 3402) 號而進行的。需要 ISAE 3402 報告的客戶應該使用 AWS Artifact (隨需存取 AWS 合規報告的自助服務入口網站) 請求 AWS SOC 1 Type II 報告。登入 AWS 管理主控台中的 AWS Artifact,或者參閱 AWS Artifact 入門進一步了解詳細資訊。
-
接收 AWS SOC 報告是否需要保密協議 (NDA)?
需要簽署 NDA 才能查看 AWS SOC 1 和 SOC 2 報告。AWS SOC 3 報告是公開的 AWS SOC 2 報告摘要。AWS SOC 3 報告概述 AWS 如何符合 SOC 2 中 AICPA 的 Trust Security Principles,且包含外部稽核員對控制操作的意見。您可以在 AWS 網站上閱讀最新的 AWS SOC 3 報告。
-
如何請求 AWS SOC 1 或 SOC 2 報告?
客戶可透過 AWS Artifact (隨需存取 AWS 合規報告的自助服務入口網站) 取得 AWS SOC 1 和 SOC 2。登入 AWS 管理主控台中的 AWS Artifact,或者參閱 AWS Artifact 入門進一步了解詳細資訊。
-
我可以在哪裡找到 AWS SOC 3 報告?
AWS 網站已公開發佈最新的 AWS SOC 3 報告。
-
SOC 報告何時會涵蓋新區域?
AWS 每年會發佈 SOC 1、SOC 2 和 SOC 3 報告兩次,每次涵蓋 6 個月的時間 (分別是 10 月 1 日到 3 月 31 日和 4 月 1 日到 9 月 30 日)。在適當的情況下,我們將在下一個可用的稽核週期將新區域範圍納入我們的 SOC 報告。