SAP 通過各種合規(guī)認證，滿足客戶的業(yè)務需求

SAP 非常注重合規(guī)性，始終堅持遵循嚴格的標準和實踐，確保在客戶的所有運營中，保證數(shù)據(jù)的完整性，遵守法律法規(guī)，并以符合道德規(guī)范的方式行事。了解這些關鍵領域的詳細信息。

SAP 合規(guī)產品：了解各種認證、報告與證明

在 SAP，我們嚴格按照行業(yè)標準、合規(guī)性要求和法規(guī)要求構建安全基礎，及時應對日益嚴峻的安全挑戰(zhàn)。查看 SAP 最新的安全合規(guī)認證及報告。

ISO 9001 質量管理體系

該管理體系基于一系列質量管理原則，包括以客戶為中心，以及讓 SAP 管理層參與進來，實現(xiàn)持續(xù)改進的終極目標。

ISO/IEC 27001 安全管理體系

該管理體系提供了一種基于風險的整體安全管理方法，以及一系列全面且可評估的信息安全管理實踐。

ISO 22301 業(yè)務連續(xù)性管理體系

該管理體系旨在確保企業(yè)在遭遇極端天氣、火災、自然災害、偷盜、IT 中斷等嚴重危機時，保持業(yè)務持續(xù)運營。

BS 10012 個人信息管理體系

該管理體系涵蓋多個領域，比如員工安全意識培訓、風險評估、數(shù)據(jù)保留和處理。

ISO/IEC 27018 個人身份信息處理實務守則

該守則為云服務提供商提供了個人身份信息保護指南。此外，該守則還為公有云中的個人數(shù)據(jù)保護提供了信息安全控制建議，支持 ISO/IEC 27001 標準。

ISO/IEC 27017 云服務信息安全實務守則

這是一份云服務信息安全控制實務守則，提供了有關云特定信息安全控制方面的指南，支持 ISO/IEC 27001 標準。

SOC 1 報告

SAP 客戶財務報表的審計師會收到 SAP 云解決方案控制措施的相關信息，因為這通常關系到客戶對財務報表的內部控制。SOC 1 報告采用 SSAE 18 和 ISAE 3402 審計標準，詳細說明了所審計的控制措施的設計（Ⅰ 類/Ⅱ 類）和效能（Ⅱ 類）。

SOC 2 報告

通過該報告，現(xiàn)有客戶與潛在客戶能夠了解 SAP 采取了哪些控制措施來確保數(shù)據(jù)的安全性、可用性、處理完整性、機密性或隱私性。SOC 2 報告采用 ISAE 3000 和 AT 101 審計標準，以 AICPA 的信托服務原則為基礎，詳細說明了所審計的控制措施的設計（Ⅰ 類/Ⅱ 類）和效能（Ⅱ 類）。

過渡聲明

過渡聲明 (bridge letter) 旨在填補從聲明中所提及的報告的截止日期到過渡聲明簽發(fā)日期之間的空缺期。過渡聲明將向客戶說明其控制環(huán)境是否有重大變化，以及這些變化是否會對最近完成的 SOC 檢查中得出的結論產生不利影響。

支付卡行業(yè)數(shù)據(jù)安全標準 (PCI DSS)

這一全球數(shù)據(jù)安全標準也稱為 PCI DSS，被支付卡品牌用于規(guī)范所有處理、存儲或傳輸持卡人數(shù)據(jù)的實體。該標準提供了反映行業(yè)內安全性卓越實踐的步驟。

質量管理規(guī)范指導原則和法規(guī) (GxP)

GxP 泛指一系列質量管理原則和法規(guī)，旨在確保生物/醫(yī)藥產品達到安全標準，符合其預期用途，并遵守制造、控制、存儲和分銷環(huán)節(jié)的質量管理流程。

可信信息安全評估交換 (TISAX)

可信信息安全評估交換（簡稱 TISAX）可以實現(xiàn)汽車行業(yè)信息安全評估的相互認可，并提供通用的評估和交換機制。

聯(lián)邦風險和授權管理計劃

對于政府機構而言，安全性是所有信息技術 (IT) 項目的核心。聯(lián)邦風險和授權管理計劃（簡稱 FedRAMP）為云產品和服務提供了標準化的安全評估、授權和持續(xù)監(jiān)控方法。

云計算合規(guī)性控制措施目錄 (C5)

云計算合規(guī)性控制目錄（簡稱 C5）認證憑借中立性、適用范圍、簡潔性及可測試性，為受監(jiān)管行業(yè)的內部審計和信息安全管理奠定了穩(wěn)定的基礎。

歐盟云行為準則

《歐盟云行為準則》獲得了歐洲數(shù)據(jù)保護委員會認可，并通過了比利時數(shù)據(jù)保護局的批準，可以幫助云服務提供商證明自身遵守 GDPR 要求（GDPR 第 28 條及其相關條款）。

關鍵基礎設施 (CI)

SAP 為全球多個國家和地區(qū)的關鍵基礎設施 (CI) 提供商提供服務，幫助他們遵守相應的網絡安全法規(guī)。此外，SAP 自己已經是德國注冊的關鍵基礎設施 (KRITIS) 提供商，并且陸續(xù)在越來越多的國家和地區(qū)完成注冊。

云安全評估 (IRAP-CSA)

澳大利亞政府云安全評估和授權框架定義了一種方法，可以幫助企業(yè)的網絡安全團隊、云架構師以及業(yè)務代表共同執(zhí)行風險評估，安全地使用 SAP 云服務。

西班牙國家安全框架

為了充分保護企業(yè)所處理的信息和提供的服務，西班牙國家安全框架 (ENS) 規(guī)定了一系列必要的基本原則和最低要求。遵守該框架可以確保以電子方式處理的數(shù)據(jù)和服務的可訪問性、機密性、完整性、可追溯性、真實性、可用性和受保護性。

NIS2、DORA 和 RCE 常見問題 (FAQ)

本文檔列出了有關網絡和信息系統(tǒng)指令 (NIS2)、《數(shù)字運營彈性法案》(DORA) 和關鍵實體彈性指令 (RCE) 及其對 SAP 影響的常見問題。本文檔不提供任何法律建議或專業(yè)建議，SAP 可能會根據(jù)法規(guī)要求和安全要求的變化，修改本 FAQ 中發(fā)表的任何觀點。我們建議客戶針對這些法規(guī)尋求獨立咨詢和指導，進而為自己的合規(guī)工作提供支持。

網絡安全等級保護制度 (CCPS)

CCPS 是《中華人民共和國網絡安全法》第 21 條規(guī)定的適用于中國境內的監(jiān)管安全認證。CCPS 是一項國家網絡安全計劃，目的是規(guī)范中國大陸境內托管的所有系統(tǒng)或網絡的安全設計、評估、審計、認證、續(xù)約和監(jiān)管。任何在中國境內建設或運營這種系統(tǒng)或網絡的企業(yè)，都有義務遵守 CCPS。

信息系統(tǒng)安全管理和評估計劃 (ISMAP)

ISMAP 是日本的一項信息系統(tǒng)安全管理和評估計劃，旨在幫助政府評估和注冊符合其安全要求的云服務。該計劃基于“政府信息系統(tǒng)云服務安全評估系統(tǒng)基本框架”創(chuàng)建。

SAP 軟件的輔助功能

通過“SAP Accessibility Status Documents”（SAP 軟件輔助功能狀態(tài)文檔），用戶能夠了解反映測試環(huán)境的產品特定輔助功能。這些文檔還報告了相關標準、準則和要求的當前狀態(tài)。文檔以 VPAT US 形式向美國客戶提供，以 VPAT EN 301 549 形式向國際客戶提供。

可持續(xù)發(fā)展管理體系 ISO 14001 和 ISO 50001

這種多站點認證確認了 SAP 的環(huán)境管理系統(tǒng)符合國際 ISO 14001:2015 標準。此認證的附錄中列出了 SAP 環(huán)境管理系統(tǒng)中涵蓋的所有經過認證的站點。部分站點還通過了 ISO50001:2018 認證，確保我們符合能源管理標準。

云安全聯(lián)盟 (CSA)

云安全聯(lián)盟 (CSA) 是一個非營利性組織，致力于開發(fā)和推廣云計算安全方面的卓越實踐，為 SAP 部署項目提供工作重點建議和指導。

商業(yè)倫理與合規(guī)管理

在業(yè)務實踐中，SAP 恪守最高商業(yè)倫理標準。我們堅持誠信經營，并在我們開展業(yè)務的所有國際市場中，嚴格遵守法律精神和法律條文。

IDW PS 880

SAP 軟件獲得了德國公共審計師協(xié)會 (IDW) 進行的多項認證。

合規(guī)資源

云交付流程

了解 SAP 的云交付流程，以及這些流程如何支持云服務的關鍵業(yè)務運營。

合規(guī)常見問題

SAP 從 1998 年起就通過了 ISO 9001 認證。此外，我們還通過了 ISO 27001、ISO 22301 和 BS 10012 認證。全球各地的 SAP 辦公室均按照統(tǒng)一的流程框架開展工作，包括數(shù)據(jù)安全和隱私保護法規(guī)。我們會定期通過內部審查和審計來檢查合規(guī)性。

該項標準實際上是一個要求企業(yè)按照《通用數(shù)據(jù)保護條例》(GDPR) 實施個人信息管理系統(tǒng) (PIMS) 的框架，它要求企業(yè)將實施該系統(tǒng)納入到企業(yè)安全計劃中。企業(yè)必須按照這個框架來管理個人數(shù)據(jù)隱私和實施必要的政策、程序及控制措施，確保遵守 GDPR。

SOC 1 報告涵蓋了審計周期中所有正在運行的客戶系統(tǒng)，從服務組織層面描述了控制措施的具體實施情況，與客戶內部的財務報告控制相關，稱為信息技術一般控制。

信息技術一般控制涵蓋：

IT 戰(zhàn)略

環(huán)境和組織

邏輯和物理系統(tǒng)

訪問控制

程序開發(fā)

變更管理

計算機操作，如事件管理、備份和監(jiān)控

SOC 2 報告則是向服務組織、客戶以及其他組織的管理層提供有關服務組織控制措施的報告，與其系統(tǒng)的安全性、可用性和處理完整性以及該系統(tǒng)處理的數(shù)據(jù)的機密性和隱私性相關。雖然每份 SOC 2 報告都會評估安全性，但管理層可以選擇添加其他標準，即信托服務標準 (TSP)。

這些附加的信托服務標準包括：

機密性

完整性

可用性

隱私性

我們目前的認證組合包括 BSI C5（云計算合規(guī)控制目錄）、云安全聯(lián)盟 STAR（云安全、信任、保障和風險）、ISO 22301:2021（業(yè)務連續(xù)性管理體系）、ISO/IEC 27001:2013（信息安全管理體系）、ISO/IEC 27017:2015（云服務信息安全控制規(guī)范）、ISO/IEC 27018:2019（公有云中個人身份信息處理實務守則）、ISO 9001:2015（質量管理體系）、PCI-DSS（支付卡行業(yè)數(shù)據(jù)安全標準）、SOC1、SOC2 報告（系統(tǒng)和組織控制報告）和 TISAX （可信信息安全評估交換標準）。

過渡聲明（也稱空缺聲明）旨在填補從聲明中所提及的報告的截止日期到過渡聲明簽發(fā)日期之間的空缺期。過渡聲明將向客戶說明其控制環(huán)境是否有重大變化，以及這些變化是否會對最近完成的 SOC 檢查中得出的結論產生不利影響?？蛻艨梢酝ㄟ^ SAP Trust Center 請求獲取過渡聲明。

相關知識

「綠色認證」有機產品認證的意義與價值
美容儀器CCC認證的規(guī)定
為健康為環(huán)保 安規(guī)認證獻犬馬之勞
十環(huán)認證、有機認證、綠色產品認證介紹大全！
產品健康認證證書國家認監(jiān)委認可
有機食品的認證與管理
健康、安全與環(huán)境管理體系認證證書，國家認監(jiān)委可查詢
CPST與CBBA聯(lián)合認證的《全能健身教練員》證書！你還沒有嗎？
有機認證
產品健康認證證書

網址: 認證與合規(guī)性 http://m.u1s5d6.cn/newsview311351.html