本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
SSAE-18 2 SOC
AWS Audit Manager 提供了一个预先构建的标准框架,支持《认证参与标准声明》(SSAE) 第 18 号,《服务组织控制 (SOC) 报告 2》。
什么是 SOC 2?
SOC2,由美国注册会计师协会
AWS SOC报告是独立的第三方检查报告,用于展示如何 AWS 实现关键合规控制和目标。这些报告的目的是帮助您和您的审计师了解为支持运营和合规而建立的 AWS 控制措施。有五 AWS SOC份报告:
-
AWS SOC1 份报告, AWS 客户可从中获得AWS Artifact
。 -
AWS SOC2 安全、可用性和机密性报告,可供 AWS 客户从AWS Artifact
。 -
AWS SOC2 向 AWS 客户提供的安全、可用性和机密性报告 AWS Artifact
(范围仅包括亚马逊 DocumentDB)。 -
AWS SOC2 第一类隐私报告,可供 AWS 客户从中获得AWS Artifact
。 -
AWS SOC3 安全性、可用性和保密性报告,作为白皮书公开发布
。
使用此框架支持您的审计准备
您可以使用此框架帮助您为审计做准备。此框架包括预先构建的控件集合,其中包含描述和测试程序。这些控件按照 SOC 2 个要求分组为控制集。您还可以根据具体要求,自定义此框架及其控件,以支持内部审计。
以该框架作为起点,您可以创建 Audit Manager 评测并开始收集与您的审计相关的证据。创建评估后,Audit Manager 会开始评估您的 AWS 资源。它基于框架中定义的控件执行此操作。当需要进行审计时,您或您选择的委托人可以查看 Audit Manager 收集的证据。或者,您可浏览评测的证据文件夹,然后选择要将哪些证据纳入评测报告。或者,如果您启用了证据查找器,则可以搜索特定证据并以CSV格式将其导出,或者根据搜索结果创建评估报告。无论采用哪种方式,此评测报告可帮助您证明您的控件是否按预期运行。
框架详细信息如下:
中的框架名称 AWS Audit Manager | 自动控件数量 | 手动控件数量 | 控件集数量 |
---|---|---|---|
关于认证参与标准的声明 (SSAE) 第 18 号,Service Organiations Controls (SOC) 报告 2 | 8 | 53 | 20 |
重要
要确保此框架从中收集预期的证据 AWS Security Hub,请确保在 Security Hub 中启用了所有标准。
为确保此框架从 AWS Config中收集预期的证据,请确保启用必要的 AWS Config 规则。要查看此标准框架中用作数据源映射的 AWS Config 规则,请下载 AuditManagerConfigDataSourceMappings_ _ SSAE-No.-18--Report-2.zip 文件。SOC
此 AWS Audit Manager 框架中的控件并不旨在验证您的系统是否合规。此外,他们无法保证您会通过审计。 AWS Audit Manager 不会自动检查需要手动收集证据的程序控制。
您可以在 Audit Manager 中框架库的 “标准框架” 选项卡下找到此框架。
后续步骤
有关如何使用此框架创建评测的说明,请参阅 在中创建评估 AWS Audit Manager。
有关如何自定义此框架以支持您的特定要求的说明,请参阅在中制作现有框架的可编辑副本 AWS Audit Manager。