使用 “ AWS Marketplace 供应商见解” 查看产品的安全配置文件

访问管理 3.1.1-安全身份验证-中的个人数据 UserId（需要手动认证）

您是否需要在用户 ID 中包含个人数据（姓名或电子邮件地址除外）？

说明是否需要除姓名或电子邮件地址之外的个人数据作为用户标识符的一部分。如果是，将使用哪些数据？ 它将用于什么用例？

否

访问管理 3.1.2 - 安全身份验证 - 应用程序支持双重身份验证（需要手动认证）

该应用程序是否支持双重身份验证？

说明应用程序是否可以使用双重身份验证。如果是，可以使用哪些工具？

是

访问管理 3.1.3 - 安全身份验证 - 账户锁定（需要手动认证）

如果多次登录失败，客户的账户是否被锁定？

说明在多次登录失败时是否启用账户锁定。如果是，请说明账户将被锁定的尝试次数。

是。5 次登录失败后，账户被锁定。

凭证管理

访问管理 3.2.1 - 凭证管理 - 密码策略

应用程序是否有强密码策略？

说明是否设置了强密码策略（例如 RequireUppercaseCharacters、RequireSymbols 或 PasswordReusePrevention）。

是

访问管理 3.2.2 - 凭证管理 - 密码加密

密码策略是否要求登录凭证（密码和用户 ID）在传输过程中加密，并在存储时进行哈希加盐处理？

说明凭证（密码和用户 ID）是否在传输过程中加密，以及在存储时是否使用加密盐对密码进行哈希处理。如果是，能否提供更多详细信息？

是的，我们使用代码进行适当的加盐处理。

访问管理 3.2.3 - 凭证管理 - 密钥管理

您是否使用密钥管理服务？

说明是否有密钥管理服务。如果是，能否提供更多详细信息？

是。所有凭证都存储在密钥管理服务中。它们定期轮换。

访问管理 3.2.4 - 凭证管理 - 代码中的凭证（需要手动认证）

代码中是否包含凭证？

说明是否在代码中包含凭证。如果是，能否提供更多详细信息？

否

访问生产环境

访问管理 3.3.1 - 访问生产环境 - 单点登录（需要手动认证）

是否SSO允许访问生产环境？

指定是否SSO可以与应用程序一起使用。如果是，用什么工具SSO？

是的，Duo SSO

访问管理 3.3.2 - 访问生产环境 - 双重身份验证

访问生产环境或托管环境是否需要双重身份验证？

说明是否需要双重身份验证 (2FA) 才能访问生产环境。如果是，2FA 使用什么工具？

是，Yubikey

访问管理 3.3.3 - 访问生产环境 - 根用户（需要手动认证）

是否仅在异常情况下才使用根用户访问生产环境？

说明只在异常情况下使用根用户。如果是，你能否确定它将用于哪些场景？

是。根用户仅用于设备管理目的。所有此类访问都将被记录和监控。

访问管理 3.3.4-访问生产环境-root 用户 MFA

root 用户是否需要多因素身份验证 (MFA)？

说明以根用户身份登录是否需要多重身份验证。如果是，用什么工具MFA？

是。root 用户必须使用MFA才能登录。他们的根凭证不同于普通的企业凭证。

访问管理 3.3.5 - 访问生产环境 - 远程访问

是否使用诸如加密通道或基于密钥的身份验证之类的机制来保护对生产环境的远程访问？

如果应用程序允许远程访问，请说明如何保护远程访问（例如，是否使用基于密钥的身份验证，以及是否通过加密通道进行通信？）

是。远程访问用于设备管理目的。远程访问生产环境时，我们要求MFA通过经批准的加密渠道。

访问管理 3.4.1 - 访问控制策略 - 最低权限访问

您是否遵循用户访问生产环境的最低权限访问策略？

说明是否为用户分配了最低权限。如果否，您如何控制访问？

是

访问管理 3.4.2 - 访问控制策略 - 访问策略审核

是否定期审核生产环境中的所有访问策略？

说明是否定期审核所有访问策略。如果是，请详细说明策略审核频率。

是。所有访问策略每 3 个月审核一次。

访问管理 3.4.3 - 访问控制策略 - 用户和安全策略配置（需要手动认证）

该应用程序是否允许客户配置用户及其权限？

说明客户是否可以配置有权访问其环境的用户（从客户和供应商端）。

是

访问管理 3.4.4 - 访问控制策略 - 逻辑分割（需要手动认证）

应用程序用户是否使用逻辑分割？

说明是否对用户进行逻辑分割。

是

访问管理 3.4.5 - 访问控制策略 - 离职后的访问审核

员工离职或角色变更后，是否所有相关的访问策略都会随之更新？

说明是在员工离职或角色变更时是否删除或更新访问策略。

是

访问管理 3.5.1 - 访问日志

您是否记录个人用户在生产环境中执行的活动？

说明是否记录用户（员工或客户）在生产环境中的操作和活动。如果是，日志会保留多长时间？

是。日志保留一年。

安全的软件开发生命周期

应用程序安全性 4.1.1 - 安全的软件开发生命周期 - 独立环境

开发、测试和暂存环境是否与生产环境是分开的？

说明开发、测试和暂存环境是否与生产环境分开。

是

应用程序安全性 4.1.2 - 安全的软件开发生命周期 - 安全编码实操

安全工程师是否与开发人员合作制定安全实操？

说明开发人员和安全工程师是否合作制定安全编码实操。

是

应用程序安全性 4.1.3 - 安全的软件开发生命周期 - 在测试环境中使用客户数据（需要手动认证）

客户数据是否曾在测试、开发或 QA 环境中使用？

客户数据是否曾在测试、开发或 QA 环境中使用？ 如果是，出于何种目的，使用了哪些数据？

否

应用程序安全性 4.1.4 - 安全的软件开发生命周期 - 安全连接

是否为所有使用客户数据的网页和通信TLS启用SSL/？

指定是否使用安全连接（例如SSL/TLS）与客户数据进行所有通信。

是

应用程序安全性 4.1.5 - 安全的软件开发生命周期 - 映像备份

应用程序映像快照是否已备份？

说明是否备份图像快照（例如支持应用程序的系统和托管客户数据的系统）。如果是，是否制定了流程来确保包含限定范围数据的映像快照在捕获之前获得授权？ 是否对映像快照实施了访问控制？

是。映像经过客户和管理层的批准进行备份。

应用程序安全性 4.2.1 - 应用程序安全审核 - 安全代码审核

是否在每次发布之前都完成了安全代码审核？

说明是否在每次发布之前进行安全代码审核。

是

应用程序安全性 4.2.2 - 应用程序安全审核 - 渗透测试

是否进行了渗透测试？ 我们可以获取渗透测试的报告吗？

说明是否在应用程序上进行渗透测试。如果是，您能否将最近 3 份报告作为人工证据分享？

是

应用程序安全性 4.2.3 - 应用程序安全审核 - 安全补丁

是否定期应用和验证所有可用的高风险安全补丁？

说明是否定期应用高风险安全补丁。如果是，多久使用一次？

是。安全补丁每月应用一次。

应用程序安全性 4.2.4 - 应用程序安全审核 - 应用程序漏洞扫描

是否在发生重大变更后定期对所有面向 Internet 的应用程序执行漏洞扫描？

说明是否对所有面向 Internet 的应用程序执行漏洞扫描。如果是，漏洞扫描多久执行一次？ 我们能获取报告的副本吗？

是。漏洞扫描每月执行一次。

应用程序安全性 4.2.5 - 应用程序安全审核 - 威胁和漏洞管理

是否制定了威胁管理和漏洞评估工具及其收集数据的流程？

说明是否制定了威胁管理和漏洞评估工具及其调查发现的流程。能否提供更多关于威胁和漏洞管理的详细信息？

是。来自不同来源的所有威胁和漏洞都将汇总到一个门户中，并按严重性对其进行管理。

应用程序安全性 4.2.6 - 应用程序安全审核 - 反恶意软件扫描

是否定期对托管应用程序的网络和系统进行反恶意软件扫描？

说明是否对托管应用程序的网络和系统进行反恶意软件扫描。如果是，多久扫描一次？ 您能提供报告吗？

是。反恶意软件扫描每月执行一次。

应用程序安全性 4.3.1 - 应用程序日志 - 应用程序日志

是否收集和审核应用程序日志？

说明是否收集和审核应用程序日志。如果是，日志会保留多长时间？

是。日志保留一年。

应用程序安全性 4.3.2 - 应用程序日志 - 访问日志

操作系统和应用程序日志是否受到保护，防止修改、删除和/或不当访问？

说明操作系统和应用程序日志是否受到保护，防止修改、删除和/或不当访问。在发生违规或事件时，您是否制定了检测应用程序日志丢失的流程？

是

您是否在日志中存储客户的个人身份信息 (PII)？

指定您是否在日志中存储客户的个人身份信息 (PII)。

不是。 日志中不会存储任何PII数据。

应用程序安全性 4.4.1 - 变更控制策略 - 功能和弹性测试

在发布变更之前是否已完成功能和弹性测试？

说明在新版本发布之前是否对应用程序进行功能和弹性测试。

是

应用程序安全性 4.4.2 - 变更控制策略 - 变更控制程序

是否生产环境的所有变更都需要变更控制程序？

说明是否为生产环境中所做的所有更改制定了变更控制程序。

是

应用程序安全性 4.4.3 - 变更控制策略 - 避免生产环境中的人为错误/风险

您是否制定了确保生人为错误/风险不会引入到生产环境？

说明是否制定了流程来确保人为错误/风险不会引入到生产环境。

是

应用程序安全性 4.4.4 - 变更控制策略 - 文档和日志更改

您是否记录可能影响服务的更改？

说明是否记录影响服务的更改。如果是，日志会保留多长时间？

是

应用程序安全性 4.4.5 - 变更控制策略 - 买家更改通知（需要手动认证）

是否制定了正式的流程来确保在做出可能影响服务的更改之前通知客户？

说明在做出可能影响服务的更改之前，是否会通知客户。如果是，应SLA向客户通报哪些影响变更的内容？

是。我们会在更改影响服务前的 90 天通知客户。

已完成的认证

审计与合规性 1.1.1 - 已完成的认证（需要手动认证）

列出您拥有的认证。

说明您拥有哪些认证。

SOC2，ISO/IEC27001

正在进行中的认证

审计与合规性 1.2.1 - 正在进行中的认证（需要手动认证）

列出当前正在审计或审核的所有其他证书，并附上预计完成日期。

是。PCI认证正在进行中（202 ETA 2 年第 2 季度）。

确保合规的程序

审计与合规性 1.3.1 - 确保合规的程序 - 确保合规的程序

您是否制定了策略或程序来确保遵守适用的立法、监管和合同要求？

说明是否制定了策略或程序来确保遵守适用的立法、监管和合同要求。如果是，请列出有关程序的详细信息并上传人工证据。

是。我们上传了诸如 SOC2ISO/IEC27001 之类的文档。

审计与合规性 1.3.2 - 确保合规的程序 - 审计以跟踪未达到要求

是否已完成审计，以跟踪未达到的监管和合规要求？

说明是否进行审计以跟踪未达到的要求。如果是，请提供详细信息。

审计与合规性 1.3.3 - 确保合规的程序 - 偏差和异常（需要手动认证）

您是否制定了流程来处理合规要求的偏差和异常？

说明是否制定了流程来处理合规要求的偏差和异常。如果是，请提供详细信息。

是。我们有偏差日志和报告工具。我们会调查每一个异常或偏差，以防再次发生。

业务弹性和连续性 6.1.1 - 业务弹性 - 失效转移测试（需要手动认证）

站点失效转移测试是否至少每年进行一次？

说明是否每年执行失效转移测试。如果否，那么多久执行一次？

是

业务弹性和连续性 6.1.2 - 业务弹性 - 业务影响分析（需要手动认证）

是否进行了业务影响分析？

说明是否进行了业务影响分析。如果是，上次完成是什么时候？ 请详细说明所进行的分析。

是。业务影响分析已在 6 个月前完成。

业务弹性和连续性 6.1.3 - 业务弹性 - 对第三方供应商的依赖性（需要手动认证）

是否依赖关键的第三方服务提供商（云服务提供商除外）？

说明是否依赖第三方供应商（云服务提供商除外）。如果是，能否提供供应商的详细信息？

否

业务弹性和连续性 6.1.4 - 业务弹性 - 第三方连续性和恢复测试（需要手动认证）

您是否要求第三方供应商拥有自己的灾难恢复流程和练习？

说明第三方供应商是否必须有自己的灾难恢复流程和练习。

不适用于此示例。

业务弹性和连续性 6.1.5 - 业务弹性 - 第三方供应商违反合同（需要手动认证）

与关键服务提供商签订的合同是否包括违反可用性和连续性的处罚或补救条款（由亚马逊出售和发货SSA）？

与第三方供应商签订的合同中是否包含对违反可用性和连续性的处罚或补救条款？

不适用于此示例。

业务弹性和连续性 6.1.6 - 业务弹性 - 系统运行状况

您是否配置了系统运行状况监控和警报？

说明是否配置了监控或警报以了解系统的运行状况。

是

业务连续性

业务弹性和连续性 6.2.1 - 业务连续性 - 业务连续性策略/程序

是否制定并记录了正式的业务连续性程序？

说明是否为确保业务连续性制定和维护了正式程序。如果是，请提供有关程序的更多详细信息。

是

业务弹性和连续性 6.2.2 - 业务连续性 - 响应和恢复策略

是否为高优先级活动制定了具体的响应和恢复策略？

说明是否为客户活动和服务制定了恢复和响应策略。

是

业务弹性和连续性 6.2.3 - 业务连续性 - 业务连续性测试

您是否执行恢复测试以确保业务连续性？

是。如果出现故障，业务连续性系统将在 2 小时内激活。

业务弹性和连续性 6.2.4 - 业务连续性 - 多租户环境中的可用性影响（需要手动认证）

您是否限制买家施加负载，以防止影响系统其他用户的可用性？

说明一个买家是否会影响另一买家的可用性。如果是，产生影响的阈值是多少？ 如果否，能否提供更多详细信息，说明如何确保服务在峰值用量及以上不会受到影响？

是。阈值不适用于此示例。

业务弹性和连续性 6.3.1 - 应用程序可用性 - 可用性记录（需要手动认证）

去年是否出现过与可靠性或可用性相关的重大问题？

请说明去年是否出现过任何与可靠性或可用性相关的重大问题。

否

业务弹性和连续性 6.3.2 - 应用程序可用性 - 计划维护时段（需要手动认证）

计划维护期间预计会停机吗？

说明是否有计划维护时段，在此期间是否会停服。如果是，停机时间有多长？

否

业务弹性和连续性 6.3.3 - 应用程序可用性 - 在线事件门户（需要手动认证）

是否有概述计划内和计划外停机的在线事件响应状态门户？

说明是否有概述计划内和计划外停机的事件状态门户。如果是，请提供有关客户如何访问它的详细信息。中断后多久才会更新门户？

是。客户可以通过 example.com 访问详细信息。

业务弹性和连续性 6.3.4 - 应用程序可用性 - 恢复时间目标（需要手动认证）

是否有特定的恢复时间目标 (RTO)？

指定是否有恢复时间目标 (RTO)。如果是，你能提供RTO吗？

是的，2 小时RTO。

业务弹性和连续性 6.3.5 - 应用程序可用性 - 恢复点目标（需要手动认证）

是否有具体的恢复点目标 (RPO)？

指定是否有恢复点目标 (RPO)。如果是，你能提供RPO吗？

是的，1 周RPO。

已摄取的客户数据

数据安全性 2.1.1 - 已摄取的客户数据（需要手动认证）

创建产品功能所需的客户数据列表。

描述客户使用的所有数据。说明是使用敏感数据还是机密数据。

不使用任何敏感和机密数据。本产品仅使用非敏感信息，例如来自应用程序、基础设施和 AWS 服务的日志。(AWS CloudTrail, AWS Config, VPC 流日志)

数据存储位置

数据安全性 2.2.1 - 数据存储位置（需要手动认证）

客户数据存储在哪里？ 列出存储数据的国家和地区。

说明存储数据的国家和地区列表。

俄亥俄州（美国）、俄勒冈州（美国）、爱尔兰（欧盟）

数据安全性 2.3.1 - 访问控制 - 员工访问权限（需要手动认证）

员工是否有权访问未加密的客户数据？

说明员工是否有权访问未加密的客户数据。如果是，请简要说明他们为什么需要访问权限。如果否，请简要说明如何控制访问权限。

否，所有数据在存储时均已加密。员工无权访问客户数据，只能访问有关其使用情况的数据。

数据安全性 2.3.2 - 访问控制 - 移动应用程序（需要手动认证）

客户能否通过移动应用程序访问其数据？

说明客户能否通过移动应用程序访问其数据。如果是，请提供更多详细信息。客户如何登录？ 凭证是否由应用程序缓存？ 令牌多久刷新一次？

否，无法使用移动应用程序访问服务。

数据安全性 2.3.3 - 访问控制 - 数据传输目的国家/地区（需要手动认证）

客户数据是否会传输到来源国以外的国家/地区？

客户数据是否会传输到来源国以外的国家/地区？ 如果是，请说明传输或接收客户数据的国家/地区列表。

否

数据安全性 2.3.4 - 访问控制 - 数据是否与第三方供应商共享（需要手动认证）

客户数据是否与第三方供应商（云服务提供商除外）共享？

客户数据是否与第三方供应商共享？ 如果是，请说明第三方供应商列表以及您提供客户数据的国家或地区。

否

数据安全性 2.3.5 - 访问控制 - 与第三方供应商相关的安全策略

您是否制定了策略或程序来确保第三方供应商维护客户数据的机密性、可用性和完整性？

说明您是否策略或程序来确保第三方供应商维护客户数据的机密性、可用性和完整性。如果是，请上传策略或程序的手册或文档。

不适用于此示例。

数据加密

数据安全性 2.4.1 - 数据加密 - 静态数据加密

是否所有静态数据都会加密？

说明是否所有静态数据都会加密。

是

数据安全性 2.4.2 - 数据加密 - 传输中数据加密

是否所有传输中的数据都会加密？

是

数据安全性 2.4.3 - 数据加密 - 强算法（需要手动认证）

您是否使用强加密算法？

您是否使用强加密算法？ 如果是，请指定使用的加密算法（例如RSA，，AES256）。

是。AES256 用于加密数据。

数据安全性 2.4.4 - 数据加密 - 唯一加密密钥（需要手动认证）

客户是否能够生成唯一的加密密钥？

客户能否提供或生成自己的唯一加密密钥？ 如果是，请提供更多详细信息并上传证据。

是

数据安全性 2.4.5 - 数据加密 - 加密密钥访问（需要手动认证）

是否禁止员工访问客户的加密密钥？

说明是否禁止员工访问客户的加密密钥。如果否，请解释员工访问客户密钥的原因。如果是，请解释如何进行访问控制。

是。加密密钥被安全存储并定期轮换。员工无权访问这些密钥。

数据存储和分类

数据安全性 2.5.1 - 数据存储和分类 - 数据备份

您是否备份客户数据？

说明是否备份客户数据。如果是，请描述您的备份策略（包括有关备份频率、备份存储位置、备份加密和冗余的详细信息。）

是，每三个月进行一次备份。备份经过加密并存储在与客户数据相同的区域。客户的支持工程师有权恢复备份，但不能恢复备份中的数据。

数据安全性 2.5.2 - 数据存储和分类 - 数据访问控制策略

您是否对存储的客户数据实施了适当的访问控制？ 提供您的访问控制策略。

指定是否对存储的客户数据实施了适当的访问控制（例如RBAC）。提供更多详细信息和人工证据，说明您如何进行数据访问控制。

是。为限制对客户数据的访问，实施了最低权限访问控制。

数据安全性 2.5.3 - 数据存储和分类 - 交易数据（需要手动认证）

客户的交易详细信息（例如支付卡信息和进行交易的组相关信息）是否存储在外围区域？

说明客户的交易详细信息（例如支付卡信息和进行交易的组相关信息）是否存储在外围区域中。如果是，请解释为什么需要将其存放在外围区域中。

否

数据安全性 2.5.4 - 数据存储和分类 - 信息分类

客户数据是否根据法律或监管要求、商业价值以及未经授权的泄露或修改的敏感度进行分类？

说明客户数据是否按敏感度分类。如果是，请上传此分类的人工证据。

是

数据安全性 2.5.5 - 数据存储和分类 - 数据分割（需要手动认证）

是否提供分割和分离客户间数据的功能？

说明是否提供分割和分离不同客户间数据的功能 如果否，请解释保护数据免受交叉污染的机制。

是

数据安全性 2.6.1 - 数据留存（需要手动认证）

您保留数据多长时间？

说明数据留存期限。如果保留期因数据分类和敏感度而异，能否提供每个保留期的详细信息？

6 个月

买家取消订阅后的数据留存

数据安全性 2.6.2 - 客户取消订阅后的数据留存（需要手动认证）

买家取消订阅后，您的数据会保留多长时间？

说明客户取消订阅后的数据留存期限。

3 个月

最终用户设备安全性 7.1.1 - 资产/软件清单 - 资产清单

资产清单是否定期更新？

说明是否维护资产清单。如果是，多久更新一次？

是。清单每周更新一次。

最终用户设备安全性 7.1.2 - 资产/软件清单 - 软件和应用程序清单

是否已清点范围系统上所有已安装的软件平台和应用程序？

说明是否维护所有已安装软件和应用程序的清单。如果是，多久更新一次？

是。清单每周更新一次。

最终用户设备安全性 7.2.1 - 资产安全 - 安全补丁

是否至少每月在所有最终用户设备上应用和验证所有可用的高风险安全补丁？

说明是否至少每月应用一次所有高风险安全补丁。如果否，多久应用一次？ 能否提供有关如何管理补丁的更多详细信息？

是。我们有一个安全团队，每两周执行一次此流程。

最终用户设备安全性 7.2.2 - 资产安全 - 端点安全

您是否安装了端点安全工具？

说明是否在所有设备上都安装了端点安全工具。如果是，能否提供有关该工具及其维护方式的更多详细信息？

是。我们的安全团队每两周使用内部工具处理此问题。

最终用户设备安全性 7.2.3 - 资产安全 - 资产维护和维修（需要手动认证）

是否使用经批准的受控工具执行和记录对组织资产的维护和维修？

说明是否使用受控工具执行和记录对资产的维护和维修。如果是，您能否提供更多关于如何进行管理的详细信息？

是。设备的所有维护都会被记录下来。这种维护不会导致停机。

最终用户设备安全性 7.2.4 - 资产安全 - 设备访问控制

设备是否启用访问控制？

指定设备是否启用了访问控制（例如RBAC）。

是。所有设备均实行最低权限访问。

最终用户设备安全性 7.3.1 - 设备日志 - 日志中有足够的详细信息（需要手动认证）

操作系统和设备日志中记录的详细信息是否足以支持事件调查？

说明日志中是否包含足够的详细信息（例如成功和失败的登录尝试以及对敏感配置设置和文件的更改），以支持事件调查。如果否，请提供有关如何处理事件调查的更多详细信息。

是

最终用户设备安全性 7.3.2 - 设备日志 - 访问设备日志

设备日志是否妥善保管，以防止修改、删除和/或不当访问？

说明设备日志是否妥善保管，以防止修改、删除和/或不当访问。如果是，您能否详细如何强制更改？

是。对日志的更改由访问控制强制执行。对日志的所有更改都会导致警报。

最终用户设备安全性 7.3.3 - 设备日志 - 日志保留（需要手动认证）

日志是否可以保留足够的时间以调查攻击？

日志将保留多长时间？

是，1 年。

最终用户设备安全性 7.4.1 - 移动设备管理 - 移动设备管理计划

是否制定移动设备管理程序？

说明是否制定移动设备管理程序。如果是，请说明用于移动设备管理的工具。

是。我们使用内部工具。

最终用户设备安全性 7.4.2 - 移动设备管理 - 从私有移动设备访问生产环境（需要手动认证）

是否阻止员工使用非托管私有移动设备访问生产环境？

说明是否阻止员工使用非托管私有移动设备访问生产环境。如果否，您如何强制执行这种控制？

是

最终用户设备安全性 7.4.3-移动设备管理 - 从移动设备访问客户数据（需要手动认证）

是否禁止员工使用非托管私有移动设备查看或处理客户数据？

说明是否阻止员工使用非托管移动设备访问客户数据。如果否，那么哪些场景允许访问？ 您如何进行访问监控？

是

人力资源 9.1.1 - 人力资源策略 - 员工背景调查

是否在雇佣前进行背景调查？

说明是否在雇佣前对所有员工进行背景调查。

是

人力资源 9.1.2 - 人力资源策略 - 员工协议

是否在雇佣前签订雇佣协议？

说明是否在雇佣前签订雇佣协议。

是

人力资源 9.1.3 - 人力资源策略 - 员工安全培训

是否所有员工都定期接受安全意识培训？

说明员工是否定期接受安全培训。如果是，多久接受一次安全培训？

是。他们每年接受安全培训。

人力资源 9.1.4 - 人力资源策略 - 不遵守策略的纪律处分程序

是否针对不遵守人力资源策略的情形制定纪律处分程序？

说明是否针对不遵守人力资源策略的情形制定纪律处分程序。

是

人力资源 9.1.5 - 人力资源策略 - 承包商/分包商背景调查（需要手动认证）

是否对第三方供应商、承包商和分包商进行背景调查？

说明是否对第三方供应商、承包商和分包商进行背景调查。如果是，是否定期进行背景调查？

是。背景调查每年进行一次。

人力资源 9.1.6 - 人力资源策略 - 离职后的资产返还

是否制定流程来核实离职后组成资产的返还？

说明是否制定流程来核实员工离职后组成资产的返还。

是

基础设施安全 8.1.1 - 物理安全 - 物理访问设施

需要亲自访问资产（例如建筑物、车辆或硬件）的个人是否需要提供身份证和任何必要的凭证？

说明需要亲自访问资产（例如建筑物、车辆、硬件）的个人是否需要提供身份证和任何必要的凭证。

是

基础设施安全 8.1.2 - 物理安全 - 物理安全和环境控制

数据中心和办公楼是否实施了物理安全和环境控制？

请说明是否为所有设施实施了物理安全和环境控制。

是

基础设施安全 8.1.3 - 物理安全 - 访客访问（需要手动认证）

您是否记录访客访问？

如果允许访客进入设施，是否会保留访客访问日志？ 如果是，日志会保留多长时间？

是。日志将保留一年。

基础设施安全 8.2.1 - 网络安全 - 禁用未使用的端口和服务（需要手动认证）

是否在生产环境和系统中禁用所有未使用的端口和服务？

说明是否在生产环境和系统中禁用所有未使用的端口和服务。

是

基础设施安全 8.2.2 - 网络安全 - 使用防火墙

是否使用防火墙将关键和敏感系统与不太敏感的系统隔离到不同的网段中？

说明是否使用防火墙将关键和敏感系统与不太敏感的系统隔离到不同的网段中。

是

基础设施安全 8.2.3 - 网络安全 - 防火墙规则审核

是否定期审核和更新所有防火墙规则？

防火墙规则多久审核和更新一次？

是。防火墙规则每 3 个月更新一次。

基础设施安全 8.2.4 - 网络安全 - 入侵检测/防御系统

是否在所有敏感网络区域以及启用防火墙的地方部署入侵检测和防御系统？

说明是否在所有敏感网络区域中启用入侵检测和防御系统。

是

基础设施安全 8.2.5 - 网络安全 - 安全和强化标准

是否为网络设备制定安全和强化标准？

说明否为网络设备制定安全标准和强化标准。如果是，能否提供更多详细信息（包括有关这些标准的实施和更新频率的详细信息）？

是。每月在网络设备上实施安全和强化标准。

基础设施安全 8.3.1 - 云服务 - 用于托管应用程序的平台（需要手动认证）

列出您用于托管应用程序的云平台。

说明您用于托管应用程序的云平台。

AWS

风险管理/事件响应 5.1.1 - 风险评估 - 应对和识别风险

是否专门制定了正式流程来识别和应对破坏性事件给组织带来的风险？

说明是否制定了流程来识别和应对破坏性事件给组织带来的风险。

是

风险管理/事件响应 5.1.2 - 风险评估 - 风险管理流程

是否制定了计划或流程来管理评估期间发现的风险的处理？

说明是否制定了计划或流程来管理风险及其缓解措施。如果是，您能否提供更多关于风险管理流程的详细信息？

是。我们会定期审核和补救问题，以解决不合格之处。针对影响我们环境的任何问题，需要确定以下信息：

• 已识别问题的详细信息

• 根本原因：

• 补偿控制措施

• 严重性

• 负责人

• 短期发展方向

• 长期发展方向

风险管理/事件响应 5.1.3 - 风险评估 - 风险评估

是否经常进行风险评估？

是否经常进行风险评估？ 如果是，请说明风险评估的频率。

是。风险评估每 6 个月完成一次。

风险管理/事件响应 5.1.4 - 风险评估 - 第三方供应商风险评估

是否对所有第三方供应商进行了风险评估？

说明是否对所有第三方供应商进行了风险评估。如果是，多久一次？

不适用于此示例。

风险管理/事件响应 5.1.5 - 风险评估 - 合同变更时的风险重新评估

当服务交付或合同变更时，是否会进行风险评估？

说明是否在每次服务交付或合同变更时都要进行风险评估。

不适用于此示例。

风险管理/事件响应 5.1.6 - 风险评估 - 接受风险（需要手动认证）

是否制定了流程以让管理层知晓并客观接受风险，然后批准行动计划？

说明是否制定了流程以让管理层知晓并客观接受风险，然后批准行动计划。该流程是否包括向管理层提供每项风险背后指标的详细信息？

是。在管理层批准风险之前，将向他们提供有关风险严重性以及如果不加以缓解则可能出现的问题的详细信息。

风险管理/事件响应 5.1.7 - 风险评估 - 风险指标（需要手动认证）

是否制定了定义、监控和报告风险指标的措施？

说明是否制定了定义、监控和报告风险指标的流程。

是

风险管理/事件响应 5.2.1 - 事件管理 - 事件响应计划

是否制定了正式的事件响应计划？

说明是否制定了正式的事件响应计划。

是

风险管理/事件响应 5.2.2 - 事件管理 - 联系报告安全事件（需要手动认证）

是否制定了客户报告安全事件的流程？

说明是否制定了客户报告安全事件的流程。如果是，客户应如何报告安全事件？

是。客户可以向 example.com 报告事件。

风险管理/事件响应 5.2.3 - 事件管理 - 报告事件/关键活动

是否支持报告关键活动？

是否支持报告关键活动？ 报告关键活动的SLA用法是什么？

是。所有关键活动将在一周内报告。

风险管理/事件响应 5.2.4 - 事件管理 - 事件恢复

是否制定了灾难恢复计划？

说明您是否制定了事件发生后的灾难恢复计划。如果是，能否分享有关恢复计划的详细信息？

是。事件发生后，将在 24 小时内完成恢复。

风险管理/事件响应 5.2.5 - 事件管理 - 发生攻击时可供买家使用的日志（需要手动认证）

发生攻击时，客户能否使用相关资源（例如日志、事件报告或数据）？

如果发生攻击或事件，客户能否使用与其使用相关的资源（例如日志、事件报告或数据）？

是

风险管理/事件响应 5.2.6 - 事件管理 - 安全公告（需要手动认证）

是否提供安全公告以概述影响应用程序的最新攻击和漏洞？

说明您是否提供安全公告以概述影响应用程序的最新攻击和漏洞。如果是，您能否提供详细信息？

是。客户可以向 example.com 报告事件。

风险管理/事件响应 5.3.1 - 事件检测 - 全面记录

是否提供全面的日志记录来支持事件识别和缓解？

说明是否启用了全面日志记录。确定系统能够记录的事件类型。日志会保留多长时间？

是。将记录以下事件：应用程序、设备 AWS 服务 等 AWS CloudTrail AWS Config，以及 VPC Flow Logs。日志保留 1 年。

风险管理/事件响应 5.3.2 - 事件检测 - 日志监控

是否使用诸如日志监控之类的检测机制来监控异常或可疑活动并发出警报？

说明是否定期进行安全监控和警报。如果是，它是否包括异常或可疑行为的日志监控？

是。监控所有日志是否存在异常行为，例如多次登录失败、从异常地理位置登录或其他可疑警报。

风险管理/事件响应 5.3.3 - 事件检测 - 第三方数据泄露

是否制定了流程来识别、检测和记录分包商安全、隐私或数据泄露问题？

说明是否制定了流程来识别和检测第三方供应商或分包商是否存在数据泄露、安全问题或隐私问题。

是

SLA用于事件通知

风险管理/事件响应 5.4.1-SLA 用于事件通知（需要手动认证）

发送SLA有关事件或违规的通知有什么用？

7 days

信息安全策略

安全和配置策略 10.1.1 - 信息安全策略 - 信息安全策略

是否提供由安全团队负责和维护的信息安全策略？

说明您是否制定了信息安全策略。如果是，请共享或上传人工证据。

是。我们基于NIST框架制定我们的安全策略。

安全和配置策略 10.1.2 - 信息安全策略 - 策略审核

是否所有安全策略都每年审核一次？

说明是否每年对安全策略进行审核。如果否，多久进行一次策略审核？

是。每年审核一次。

安全配置策略

安全和配置策略 10.2.1 - 安全配置策略 - 安全配置（需要手动认证）

是否维护和记录安全配置标准？

说明是否维护并记录了所有安全配置标准。如果是，请共享或上传人工证据。

是

安全和配置策略 10.2.2 - 安全配置策略 - 安全配置审核（需要手动认证）

是否至少每年对安全配置进行一次审核？

说明是否至少每年对安全配置进行一次审核。如果否，请说明审核频率。

是。每 3 个月审核一次。

安全和配置策略 10.2.3 - 安全配置策略 - 配置更改

是否记录对配置的更改？

说明是否记录配置更改。如果是，日志会保留多长时间？

是。对配置的所有更改都将受到监控和记录。配置更改时会发出警报。日志保留 6 个月。