首頁(yè) 資訊 認(rèn)證與合規(guī)性

認(rèn)證與合規(guī)性

來(lái)源:泰然健康網(wǎng) 時(shí)間:2024年12月06日 10:54

SAP 通過(guò)各種合規(guī)認(rèn)證,滿足客戶的業(yè)務(wù)需求

placeholder

SAP 非常注重合規(guī)性,始終堅(jiān)持遵循嚴(yán)格的標(biāo)準(zhǔn)和實(shí)踐,確保在客戶的所有運(yùn)營(yíng)中,保證數(shù)據(jù)的完整性,遵守法律法規(guī),并以符合道德規(guī)范的方式行事。了解這些關(guān)鍵領(lǐng)域的詳細(xì)信息。

SAP 合規(guī)產(chǎn)品:了解各種認(rèn)證、報(bào)告與證明

在 SAP,我們嚴(yán)格按照行業(yè)標(biāo)準(zhǔn)、合規(guī)性要求和法規(guī)要求構(gòu)建安全基礎(chǔ),及時(shí)應(yīng)對(duì)日益嚴(yán)峻的安全挑戰(zhàn)。查看 SAP 最新的安全合規(guī)認(rèn)證及報(bào)告。

ISO 9001 質(zhì)量管理體系

該管理體系基于一系列質(zhì)量管理原則,包括以客戶為中心,以及讓 SAP 管理層參與進(jìn)來(lái),實(shí)現(xiàn)持續(xù)改進(jìn)的終極目標(biāo)。

ISO/IEC 27001 安全管理體系

該管理體系提供了一種基于風(fēng)險(xiǎn)的整體安全管理方法,以及一系列全面且可評(píng)估的信息安全管理實(shí)踐。

ISO 22301 業(yè)務(wù)連續(xù)性管理體系

該管理體系旨在確保企業(yè)在遭遇極端天氣、火災(zāi)、自然災(zāi)害、偷盜、IT 中斷等嚴(yán)重危機(jī)時(shí),保持業(yè)務(wù)持續(xù)運(yùn)營(yíng)。

BS 10012 個(gè)人信息管理體系

該管理體系涵蓋多個(gè)領(lǐng)域,比如員工安全意識(shí)培訓(xùn)、風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)保留和處理。

ISO/IEC 27018 個(gè)人身份信息處理實(shí)務(wù)守則

該守則為云服務(wù)提供商提供了個(gè)人身份信息保護(hù)指南。此外,該守則還為公有云中的個(gè)人數(shù)據(jù)保護(hù)提供了信息安全控制建議,支持 ISO/IEC 27001 標(biāo)準(zhǔn)。

ISO/IEC 27017 云服務(wù)信息安全實(shí)務(wù)守則

這是一份云服務(wù)信息安全控制實(shí)務(wù)守則,提供了有關(guān)云特定信息安全控制方面的指南,支持 ISO/IEC 27001 標(biāo)準(zhǔn)。

SOC 1 報(bào)告

SAP 客戶財(cái)務(wù)報(bào)表的審計(jì)師會(huì)收到 SAP 云解決方案控制措施的相關(guān)信息,因?yàn)檫@通常關(guān)系到客戶對(duì)財(cái)務(wù)報(bào)表的內(nèi)部控制。SOC 1 報(bào)告采用 SSAE 18 和 ISAE 3402 審計(jì)標(biāo)準(zhǔn),詳細(xì)說(shuō)明了所審計(jì)的控制措施的設(shè)計(jì)(Ⅰ 類/Ⅱ 類)和效能(Ⅱ 類)。

SOC 2 報(bào)告

通過(guò)該報(bào)告,現(xiàn)有客戶與潛在客戶能夠了解 SAP 采取了哪些控制措施來(lái)確保數(shù)據(jù)的安全性、可用性、處理完整性、機(jī)密性或隱私性。SOC 2 報(bào)告采用 ISAE 3000 和 AT 101 審計(jì)標(biāo)準(zhǔn),以 AICPA 的信托服務(wù)原則為基礎(chǔ),詳細(xì)說(shuō)明了所審計(jì)的控制措施的設(shè)計(jì)(Ⅰ 類/Ⅱ 類)和效能(Ⅱ 類)。

過(guò)渡聲明

過(guò)渡聲明 (bridge letter) 旨在填補(bǔ)從聲明中所提及的報(bào)告的截止日期到過(guò)渡聲明簽發(fā)日期之間的空缺期。過(guò)渡聲明將向客戶說(shuō)明其控制環(huán)境是否有重大變化,以及這些變化是否會(huì)對(duì)最近完成的 SOC 檢查中得出的結(jié)論產(chǎn)生不利影響。

支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS)

這一全球數(shù)據(jù)安全標(biāo)準(zhǔn)也稱為 PCI DSS,被支付卡品牌用于規(guī)范所有處理、存儲(chǔ)或傳輸持卡人數(shù)據(jù)的實(shí)體。該標(biāo)準(zhǔn)提供了反映行業(yè)內(nèi)安全性卓越實(shí)踐的步驟。

質(zhì)量管理規(guī)范指導(dǎo)原則和法規(guī) (GxP)

GxP 泛指一系列質(zhì)量管理原則和法規(guī),旨在確保生物/醫(yī)藥產(chǎn)品達(dá)到安全標(biāo)準(zhǔn),符合其預(yù)期用途,并遵守制造、控制、存儲(chǔ)和分銷環(huán)節(jié)的質(zhì)量管理流程。

可信信息安全評(píng)估交換 (TISAX)

可信信息安全評(píng)估交換(簡(jiǎn)稱 TISAX)可以實(shí)現(xiàn)汽車行業(yè)信息安全評(píng)估的相互認(rèn)可,并提供通用的評(píng)估和交換機(jī)制。

聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃

對(duì)于政府機(jī)構(gòu)而言,安全性是所有信息技術(shù) (IT) 項(xiàng)目的核心。聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃(簡(jiǎn)稱 FedRAMP)為云產(chǎn)品和服務(wù)提供了標(biāo)準(zhǔn)化的安全評(píng)估、授權(quán)和持續(xù)監(jiān)控方法。

云計(jì)算合規(guī)性控制措施目錄 (C5)

云計(jì)算合規(guī)性控制目錄(簡(jiǎn)稱 C5)認(rèn)證憑借中立性、適用范圍、簡(jiǎn)潔性及可測(cè)試性,為受監(jiān)管行業(yè)的內(nèi)部審計(jì)和信息安全管理奠定了穩(wěn)定的基礎(chǔ)。

歐盟云行為準(zhǔn)則

《歐盟云行為準(zhǔn)則》獲得了歐洲數(shù)據(jù)保護(hù)委員會(huì)認(rèn)可,并通過(guò)了比利時(shí)數(shù)據(jù)保護(hù)局的批準(zhǔn),可以幫助云服務(wù)提供商證明自身遵守 GDPR 要求(GDPR 第 28 條及其相關(guān)條款)。

關(guān)鍵基礎(chǔ)設(shè)施 (CI)

SAP 為全球多個(gè)國(guó)家和地區(qū)的關(guān)鍵基礎(chǔ)設(shè)施 (CI) 提供商提供服務(wù),幫助他們遵守相應(yīng)的網(wǎng)絡(luò)安全法規(guī)。此外,SAP 自己已經(jīng)是德國(guó)注冊(cè)的關(guān)鍵基礎(chǔ)設(shè)施 (KRITIS) 提供商,并且陸續(xù)在越來(lái)越多的國(guó)家和地區(qū)完成注冊(cè)。

云安全評(píng)估 (IRAP-CSA)

澳大利亞政府云安全評(píng)估和授權(quán)框架定義了一種方法,可以幫助企業(yè)的網(wǎng)絡(luò)安全團(tuán)隊(duì)、云架構(gòu)師以及業(yè)務(wù)代表共同執(zhí)行風(fēng)險(xiǎn)評(píng)估,安全地使用 SAP 云服務(wù)。

西班牙國(guó)家安全框架

為了充分保護(hù)企業(yè)所處理的信息和提供的服務(wù),西班牙國(guó)家安全框架 (ENS) 規(guī)定了一系列必要的基本原則和最低要求。遵守該框架可以確保以電子方式處理的數(shù)據(jù)和服務(wù)的可訪問(wèn)性、機(jī)密性、完整性、可追溯性、真實(shí)性、可用性和受保護(hù)性。

NIS2、DORA 和 RCE 常見(jiàn)問(wèn)題 (FAQ)

本文檔列出了有關(guān)網(wǎng)絡(luò)和信息系統(tǒng)指令 (NIS2)、《數(shù)字運(yùn)營(yíng)彈性法案》(DORA) 和關(guān)鍵實(shí)體彈性指令 (RCE) 及其對(duì) SAP 影響的常見(jiàn)問(wèn)題。本文檔不提供任何法律建議或?qū)I(yè)建議,SAP 可能會(huì)根據(jù)法規(guī)要求和安全要求的變化,修改本 FAQ 中發(fā)表的任何觀點(diǎn)。我們建議客戶針對(duì)這些法規(guī)尋求獨(dú)立咨詢和指導(dǎo),進(jìn)而為自己的合規(guī)工作提供支持。

網(wǎng)絡(luò)安全等級(jí)保護(hù)制度 (CCPS)

CCPS 是《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第 21 條規(guī)定的適用于中國(guó)境內(nèi)的監(jiān)管安全認(rèn)證。CCPS 是一項(xiàng)國(guó)家網(wǎng)絡(luò)安全計(jì)劃,目的是規(guī)范中國(guó)大陸境內(nèi)托管的所有系統(tǒng)或網(wǎng)絡(luò)的安全設(shè)計(jì)、評(píng)估、審計(jì)、認(rèn)證、續(xù)約和監(jiān)管。任何在中國(guó)境內(nèi)建設(shè)或運(yùn)營(yíng)這種系統(tǒng)或網(wǎng)絡(luò)的企業(yè),都有義務(wù)遵守 CCPS。

信息系統(tǒng)安全管理和評(píng)估計(jì)劃 (ISMAP)

ISMAP 是日本的一項(xiàng)信息系統(tǒng)安全管理和評(píng)估計(jì)劃,旨在幫助政府評(píng)估和注冊(cè)符合其安全要求的云服務(wù)。該計(jì)劃基于“政府信息系統(tǒng)云服務(wù)安全評(píng)估系統(tǒng)基本框架”創(chuàng)建。

SAP 軟件的輔助功能

通過(guò)“SAP Accessibility Status Documents”(SAP 軟件輔助功能狀態(tài)文檔),用戶能夠了解反映測(cè)試環(huán)境的產(chǎn)品特定輔助功能。這些文檔還報(bào)告了相關(guān)標(biāo)準(zhǔn)、準(zhǔn)則和要求的當(dāng)前狀態(tài)。文檔以 VPAT US 形式向美國(guó)客戶提供,以 VPAT EN 301 549 形式向國(guó)際客戶提供。

可持續(xù)發(fā)展管理體系 ISO 14001 和 ISO 50001

這種多站點(diǎn)認(rèn)證確認(rèn)了 SAP 的環(huán)境管理系統(tǒng)符合國(guó)際 ISO 14001:2015 標(biāo)準(zhǔn)。此認(rèn)證的附錄中列出了 SAP 環(huán)境管理系統(tǒng)中涵蓋的所有經(jīng)過(guò)認(rèn)證的站點(diǎn)。部分站點(diǎn)還通過(guò)了 ISO50001:2018 認(rèn)證,確保我們符合能源管理標(biāo)準(zhǔn)。

云安全聯(lián)盟 (CSA)

云安全聯(lián)盟 (CSA) 是一個(gè)非營(yíng)利性組織,致力于開(kāi)發(fā)和推廣云計(jì)算安全方面的卓越實(shí)踐,為 SAP 部署項(xiàng)目提供工作重點(diǎn)建議和指導(dǎo)。

商業(yè)倫理與合規(guī)管理

在業(yè)務(wù)實(shí)踐中,SAP 恪守最高商業(yè)倫理標(biāo)準(zhǔn)。我們堅(jiān)持誠(chéng)信經(jīng)營(yíng),并在我們開(kāi)展業(yè)務(wù)的所有國(guó)際市場(chǎng)中,嚴(yán)格遵守法律精神和法律條文。

IDW PS 880

SAP 軟件獲得了德國(guó)公共審計(jì)師協(xié)會(huì) (IDW) 進(jìn)行的多項(xiàng)認(rèn)證。

合規(guī)資源

placeholder

云交付流程

了解 SAP 的云交付流程,以及這些流程如何支持云服務(wù)的關(guān)鍵業(yè)務(wù)運(yùn)營(yíng)。

合規(guī)常見(jiàn)問(wèn)題

常見(jiàn)問(wèn)題

SAP 從 1998 年起就通過(guò)了 ISO 9001 認(rèn)證。此外,我們還通過(guò)了 ISO 27001、ISO 22301 和 BS 10012 認(rèn)證。全球各地的 SAP 辦公室均按照統(tǒng)一的流程框架開(kāi)展工作,包括數(shù)據(jù)安全和隱私保護(hù)法規(guī)。我們會(huì)定期通過(guò)內(nèi)部審查和審計(jì)來(lái)檢查合規(guī)性。

該項(xiàng)標(biāo)準(zhǔn)實(shí)際上是一個(gè)要求企業(yè)按照《通用數(shù)據(jù)保護(hù)條例》(GDPR) 實(shí)施個(gè)人信息管理系統(tǒng) (PIMS) 的框架,它要求企業(yè)將實(shí)施該系統(tǒng)納入到企業(yè)安全計(jì)劃中。企業(yè)必須按照這個(gè)框架來(lái)管理個(gè)人數(shù)據(jù)隱私和實(shí)施必要的政策、程序及控制措施,確保遵守 GDPR。

SOC 1 報(bào)告涵蓋了審計(jì)周期中所有正在運(yùn)行的客戶系統(tǒng),從服務(wù)組織層面描述了控制措施的具體實(shí)施情況,與客戶內(nèi)部的財(cái)務(wù)報(bào)告控制相關(guān),稱為信息技術(shù)一般控制。

信息技術(shù)一般控制涵蓋:

IT 戰(zhàn)略

環(huán)境和組織

邏輯和物理系統(tǒng)

訪問(wèn)控制

程序開(kāi)發(fā)

變更管理

計(jì)算機(jī)操作,如事件管理、備份和監(jiān)控

SOC 2 報(bào)告則是向服務(wù)組織、客戶以及其他組織的管理層提供有關(guān)服務(wù)組織控制措施的報(bào)告,與其系統(tǒng)的安全性、可用性和處理完整性以及該系統(tǒng)處理的數(shù)據(jù)的機(jī)密性和隱私性相關(guān)。雖然每份 SOC 2 報(bào)告都會(huì)評(píng)估安全性,但管理層可以選擇添加其他標(biāo)準(zhǔn),即信托服務(wù)標(biāo)準(zhǔn) (TSP)。

這些附加的信托服務(wù)標(biāo)準(zhǔn)包括:

機(jī)密性

完整性

可用性

隱私性

我們目前的認(rèn)證組合包括 BSI C5(云計(jì)算合規(guī)控制目錄)、云安全聯(lián)盟 STAR(云安全、信任、保障和風(fēng)險(xiǎn))、ISO 22301:2021(業(yè)務(wù)連續(xù)性管理體系)、ISO/IEC 27001:2013(信息安全管理體系)、ISO/IEC 27017:2015(云服務(wù)信息安全控制規(guī)范)、ISO/IEC 27018:2019(公有云中個(gè)人身份信息處理實(shí)務(wù)守則)、ISO 9001:2015(質(zhì)量管理體系)、PCI-DSS(支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))、SOC1、SOC2 報(bào)告(系統(tǒng)和組織控制報(bào)告)和 TISAX (可信信息安全評(píng)估交換標(biāo)準(zhǔn))。

過(guò)渡聲明(也稱空缺聲明)旨在填補(bǔ)從聲明中所提及的報(bào)告的截止日期到過(guò)渡聲明簽發(fā)日期之間的空缺期。過(guò)渡聲明將向客戶說(shuō)明其控制環(huán)境是否有重大變化,以及這些變化是否會(huì)對(duì)最近完成的 SOC 檢查中得出的結(jié)論產(chǎn)生不利影響??蛻艨梢酝ㄟ^(guò) SAP Trust Center 請(qǐng)求獲取過(guò)渡聲明。

相關(guān)知識(shí)

「綠色認(rèn)證」有機(jī)產(chǎn)品認(rèn)證的意義與價(jià)值
美容儀器CCC認(rèn)證的規(guī)定
為健康為環(huán)保 安規(guī)認(rèn)證獻(xiàn)犬馬之勞
十環(huán)認(rèn)證、有機(jī)認(rèn)證、綠色產(chǎn)品認(rèn)證介紹大全!
產(chǎn)品健康認(rèn)證證書(shū)國(guó)家認(rèn)監(jiān)委認(rèn)可
有機(jī)食品的認(rèn)證與管理
健康、安全與環(huán)境管理體系認(rèn)證證書(shū),國(guó)家認(rèn)監(jiān)委可查詢
CPST與CBBA聯(lián)合認(rèn)證的《全能健身教練員》證書(shū)!你還沒(méi)有嗎?
有機(jī)認(rèn)證
產(chǎn)品健康認(rèn)證證書(shū)

網(wǎng)址: 認(rèn)證與合規(guī)性 http://m.u1s5d6.cn/newsview311351.html

推薦資訊