SSAE-18 2 SOC

AWS Audit Manager 提供了一个预先构建的标准框架，支持《认证参与标准声明》(SSAE) 第 18 号，《服务组织控制 (SOC) 报告 2》。

什么是 SOC 2？

SOC2，由美国注册会计师协会 (AICPA) 定义，是审计期间生成的一组报告的名称。它旨在供服务组织（向其他组织提供信息系统即服务的组织）使用，向这些服务的用户发布可靠的信息系统内部控制报告。这些报告侧重于分为五类的控制，即信托服务原则。

AWS SOC报告是独立的第三方检查报告，用于演示如何 AWS 实现关键的合规控制和目标。这些报告的目的是帮助您和您的审计师理解 AWS 为支持运营和合规而建立的控制措施。有五个 AWS SOC报告：

• AWS SOC1 份报告，可用于 AWS 客户来自 AWS Artifact.

• AWS SOC2 安全性、可用性和机密性报告，可用于 AWS 客户来自 AWS Artifact.

• AWS SOC2 安全性、可用性和保密性报告可用于 AWS 客户来自 AWS Artifact（范围仅包括亚马逊 DocumentDB）。

• AWS SOC2 I 类隐私报告，可用于 AWS 客户来自 AWS Artifact.

• AWS SOC3 安全性、可用性和保密性报告，以白皮书的形式公开发布。

使用此框架支持您的审计准备

您可以使用此框架帮助您为审计做准备。此框架包括预先构建的控件集合，其中包含描述和测试程序。这些控件按照 SOC 2 个要求分组为控制集。您还可以根据具体要求，自定义此框架及其控件，以支持内部审计。

以该框架作为起点，您可以创建 Audit Manager 评测并开始收集与您的审计相关的证据。创建评估后，Audit Manager 会开始评估您的 AWS 资源的费用。它基于框架中定义的控件执行此操作。当需要进行审计时，您或您选择的委托人可以查看 Audit Manager 收集的证据。或者，您可浏览评测的证据文件夹，然后选择要将哪些证据纳入评测报告。或者，如果您启用了证据查找器，则可以搜索特定证据并以CSV格式将其导出，或者根据搜索结果创建评估报告。无论采用哪种方式，此评测报告可帮助您证明您的控件是否按预期运行。

框架详细信息如下：

中的框架名称 AWS Audit Manager	自动控件数量	手动控件数量	控件集数量
关于认证参与标准的声明 (SSAE) 第 18 号，Service Organiations Controls (SOC) 报告 2	8	53	20

提示

要查看 AWS Config 在此标准框架中用作数据源映射的规则，请下载 AuditManagerConfigDataSourceMappings_ _ SSAE-No.-18--Report-2.zip 文件。SOC

其中的控件 AWS Audit Manager 框架的目的不是为了验证您的系统是否合规。此外，他们无法保证您通过审计。 AWS Audit Manager 不会自动检查需要手动收集证据的程序控制。

您可以在 Audit Manager 中框架库的 “标准框架” 选项卡下找到此框架。

后续步骤

有关如何使用此框架创建评测的说明，请参阅 在中创建评估 AWS Audit Manager。

有关如何自定义此框架以支持您的特定要求的说明，请参阅在中制作现有框架的可编辑副本 AWS Audit Manager。

其他 资源

• AWS 的合规性页面 SOC