AWS Audit Manager 不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [AWS Audit Manager 可用性变更](https://docs.aws.amazon.com/audit-manager/latest/userguide/audit-manager-availability-change.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# SSAE-18 SOC 2
<a name="SOC2"></a>





AWS Audit Manager 提供了一个预先构建的标准框架，该框架支持《认证参与标准声明》(SSAE) 第 18 号，《服务组织控制 (SOC) 报告 2》。

**Topics**
+ [什么是 SOC 2？](#what-is-SOC2)
+ [使用此框架](#framework-SOC2)
+ [后续步骤](#next-steps-SOC2)
+ [其他资源](#resources-SOC2)

## 什么是 SOC 2？
<a name="what-is-SOC2"></a>

**SOC 2 由 [American Institute of Certified Public Accountants](https://en.wikipedia.org/wiki/American_Institute_of_Certified_Public_Accountants)（AICPA）定义，是审计期间生成的一组报告的名字。它旨在供服务组织（向其他组织提供信息系统即服务的组织）使用，向这些服务的用户发布可靠的信息系统[内部控制](https://en.wikipedia.org/wiki/Internal_controls)报告。这些报告侧重于分为五类的控制，即*信托服务原则*。

AWS SOC 报告是独立的第三方检查报告，用于展示如何 AWS 实现关键合规控制和目标。这些报告的目的是帮助您和您的审计师了解为支持运营和合规性而建立的 AWS 控制措施。有五份 AWS SOC 报告：
+ AWS SOC 1 报告， AWS 客户可从中获得[AWS Artifact](https://aws.amazon.com/artifact/getting-started/)。
+ AWS SOC 2 安全、可用性和机密性报告，可供 AWS 客户从[AWS Artifact](https://aws.amazon.com/artifact/getting-started/)。
+ AWS 向 AWS 客户提供 SOC 2 安全、可用性和机密性报告 [AWS Artifact](https://aws.amazon.com/artifact/getting-started/)（范围仅包括亚马逊 DocumentDB）。
+  AWS SOC 2 第一类隐私报告，可供 AWS 客户从中获得[AWS Artifact](https://aws.amazon.com/artifact/getting-started/)。
+  AWS SOC 3 安全、可用性和机密性报告，以[白皮书的形式公开发布](https://d1.awsstatic.com/whitepapers/compliance/AWS_SOC3.pdf)。

## 使用此框架支持您的审计准备
<a name="framework-SOC2"></a>

您可以使用此框架帮助您为审计做准备。此框架包括预先构建的控件集合，其中包含描述和测试程序。这些控件根据 SOC 2 要求分组为控件集。您还可以根据具体要求，自定义此框架及其控件，以支持内部审计。

以该框架作为起点，您可以创建 Audit Manager 评测并开始收集与您的审计相关的证据。创建评估后，Audit Manager 会开始评估您的 AWS 资源。它基于框架中定义的控件执行此操作。当需要进行审计时，您或您选择的委托人可以查看 Audit Manager 收集的证据。或者，您可浏览评测的证据文件夹，然后选择要将哪些证据纳入评测报告。或者，如果启用了证据查找器，则可以搜索特定证据并将其以 CSV 格式导出，或根据搜索结果创建评测报告。无论采用哪种方式，此评测报告可帮助您证明您的控件是否按预期运行。

框架详细信息如下：


| 中的框架名称 AWS Audit Manager | 自动控件数量 | 手动控件数量 | 控件集数量 | 
| --- | --- | --- | --- | 
| Statement on Standards for Attestations Engagement (SSAE) 18 Service Organizations Controls (SOC) Report 2 | 15 | 46 | 20 | 

**重要**  
要确保此框架从中收集预期的证据 AWS Security Hub CSPM，请确保在 Security Hub CSPM 中启用了所有标准。  
为确保此框架从 AWS Config中收集预期的证据，请确保启用必要的 AWS Config 规则。要查看此标准框架中用作数据源映射的 AWS Config 规则，请下载 [AuditManagerConfigDataSourceMappings\_ ssae-no.-18-s](samples/AuditManager_ConfigDataSourceMappings_SSAE-No.-18-SOC-Report-2.zip) oc-report-2.zip 文件。

此 AWS Audit Manager 框架中的控件并不旨在验证您的系统是否合规。此外，他们无法保证您会通过审计。 AWS Audit Manager 不会自动检查需要手动收集证据的程序控制。

## 后续步骤
<a name="next-steps-SOC2"></a>

有关如何查看关于此框架的详细信息（包括其包含的标准控件列表）的说明，请参阅[在中查看框架 AWS Audit Manager](review-frameworks.md)。

有关如何使用此框架创建评测的说明，请参阅 [在中创建评估 AWS Audit Manager](create-assessments.md)。

有关如何自定义此框架来支持您的特定要求的说明，请参阅[在中制作现有框架的可编辑副本 AWS Audit Manager](create-custom-frameworks-from-existing.md)。

## 其他资源
<a name="resources-SOC2"></a>
+ [AWS SOC 的合规性页面](https://aws.amazon.com/compliance/soc-faqs/)