• 首页 > 
  • 重点合规资质FAQ

重点合规资质FAQ

关于等保2.0、阿里云SOC报告、重点ISO系列认证的常见问题。

关于等保2.0

1、阿里云自身过等保了吗?

阿里云积极按照监管部门要求开展等保2.0测评,通过等保2.0的系统包含:

(1)【等级保护三级】公共云基础服务平台(IaaS产品)

(2)【等级保护三级】公共云数据及开发服务平台(PaaS产品)

(3)【等级保护三级】公共云应用服务平台(SaaS产品)

(4)【等级保护三级】阿里云电子政务云平台系统

(5)【等级保护四级】阿里云金融云

(6)【等级保护三级】CDN内容分发系统

2、云上用户过等保,阿里云可以协助提交什么材料?

云上用户过等保只需要关注自身IT系统的安全建设情况,阿里云协助提供云平台的安全建设材料,主要包括:

(1)云平台等级测评结论扩展表(云计算安全);

(2)网络安全测评报告对云平台网络安全等级测评的总体评价;

(3)云平台主要安全问题及整改建议;

(4)云服务商针对这些主要安全问题的整改情况的详细说明。

关于阿里云系统与组织控制 (SOC)报告

1、阿里云SOC报告是什么?

阿里云SOC报告是独立的第三方审计师针对阿里云为客户提供的云服务进行检查验证而出具的独立审计报告。该报告向阿里云的客户及其审计师说明了阿里云的关键控制及控制目标,以帮助客户更好地评估阿里云的内控机制并有效地管理其外包风险。

2、阿里云SOC报告有几类,分别是什么?

阿里云SOC报告分为以下3种类型:

(1)SOC 1报告 (I类型)

该报告是针对阿里云的内控描述以及其控制目标的第三方审计报告。该审计是第三方独立审计师根据国际认证标准第18号标准(SSAE No. 18)下AT-C 320章节(AT-C section 320),针对服务组织进行的与用户财务报表相关的内控审计。该报告可帮助客户及其审计师了解阿里云侧已建立的支持客户侧与其财务报告相关的控制(Internal Control over Financial Reporting,ICOFR),并进行控制有效性评估。

(2)SOC 2报告 (II 类型)

该报告是针对阿里云提供的云服务的安全性、可用性及机密性相关的内控机制进行检查验证的独立审计报告。该审计是根据美国注册会计师协会(AICPA)制定的SOC 2可信服务标准与安全、可用及机密性相关的原则标准的第三方独立审计。阿里云的客户可以通过该报告了解阿里云系统及内控描述,以及阿里云对AICPA可信服务标准中关于安全性、可用性和机密性原则的符合性。

(3)SOC 3报告(Ⅲ类型)

该报告是针对阿里云对AICPA可信服务标准中关于安全性、可用性和机密性原则符合性描述的第三方独立审计报告。

有关ISO20000认证

1、企业为什么要做ISO20000认证?

通过独立第三方审核确认企业符合ISO20000标准,能向客户及利益相关方展示对IT服务的承诺,不但能增强客户、合作伙伴、投资方的信心,也可以向政府及行业主管部门证明对相关法律法规的符合,并能得到国际上的认可。

2、企业如何进行ISO20000认证?

如果企业需要进行ISO20000认证,前提是要了解ISO20000相关标准,然后陆续开展认证策划与准备、确定IT服务管理体系的认证范围、现状调研、体系文件编写、体系文件运行与改进、体系认证审核等相关工作。

3、阿里云上用户如何借助阿里云快速通过ISO20000认证?

云上用户如果需要通过ISO20000认证,阿里云已通过认证的结果可直接使用,同时可以申请相关证据支持。

有关ISO22301认证

1、企业为什么要做ISO22301认证?

通过独立第三方审核确认企业符合ISO22301标准,能向客户及利益相关方展示对业务连续性服务的承诺,不但能增强客户、合作伙伴、投资方的信心,也可以向政府及行业主管部门证明对相关法律法规的符合,并能得到国际上的认可。

2、企业如何进行ISO22301认证?

如果企业需要进行ISO22301认证,前提是要了解ISO22301相关标准,然后陆续开展认证策划与准备、确定业务连续性管理体系的认证范围、业务影响分析与风险评估、体系文件编写、体系文件运行与改进、体系认证审核等相关工作。

3、阿里云上用户如何借助阿里云快速通过ISO22301认证?

云上用户如果需要通过ISO22301认证,阿里云已通过认证的结果可直接使用,同时可以申请相关证据支持。

有关ISO9001认证

1、企业为什么要做ISO9001认证?

通过独立第三方审核确认企业符合ISO9001标准,能向客户及利益相关方展示对产品质量服务的承诺,不但能增强客户、合作伙伴、投资方的信心,也可以向政府及行业主管部门证明对相关法律法规的符合,并能得到国际上的认可。

2、企业如何进行ISO9001认证?

如果企业需要进行ISO9001认证,前提是要了解ISO9001相关标准,然后陆续开展认证策划与准备、确定质量管理体系的认证范围、现状调研、体系文件编写、体系文件运行与改进、体系认证审核等相关工作。

3、阿里云上用户如何借助阿里云快速通过ISO9001认证?

云上用户如果需要通过ISO9001认证,阿里云已通过认证的结果可直接使用,同时可以申请相关证据支持。

有关ISO27001认证

1、企业为什么要做ISO27001认证?

通过独立第三方审核确认企业符合ISO27001标准,能向客户及利益相关方展示对信息安全的承诺,不但能增强客户、合作伙伴、投资方的信心,也可以向政府及行业主管部门证明对相关法律法规的符合,并能得到国际上的认可。

2、企业如何进行ISO27001认证?

如果企业需要进行ISO27001认证,前提是要了解ISO27001相关标准,然后陆续开展认证策划与准备、确定信息安全管理体系的认证范围、现状调研与风险评估、体系文件编写、体系文件运行与改进、体系认证审核等相关工作。

3、阿里云上用户如何借助阿里云快速通过ISO27001认证?

阿里云提供ISO27001自评估模板,旨在帮助用户了解自身的安全管理措施满足标准的情况。另外,对于阿里云用户来说,阿里云的云平台已通过ISO27001认证,云上企业只需对自身云上系统和业务做认证审核即可。