合規架構
SAS 會依據客戶與產業需求,遵循特定的第三方與監管標準。這些標準適用於與客戶的合作範圍及合約協議;SAS 不保證所有服務皆符合下列所有標準。
1 相關計畫與認證正在開發中。
2 請至 FedRAMP Marketplace 查看 SAS 目前的 FedRAMP 狀態
適用範圍是否符合您的情境,請洽您的客戶代表確認。
ISO 9001
ISO 9001 是品管系統的國際標準。該標準目的在於提供一套架構,確保各組織能持續提供符合客戶與法規要求的產品和服務。ISO 9001 的核心原則包含:以客戶為中心、持續改善、關係管理,以及以證據為基礎的決策。更多資訊請見 iso.org/standard/62085
ISO 14001
ISO 14001 是一項國際標準,用來定義有效的環境管理系統 (EMS) 之要求。該標準目的在於提供一套架構,協助各組織建立可將環境考量納入營運的 EMS。取得 ISO 14001 認證後,可展現組織對有效環境管理的承諾。更多資訊請見 iso.org/standard/60857
ISO 27001
ISO/IEC 27001 是規範安全管理資訊的國際標準。該標準詳述建立、導入、維護與持續改善資安管理系統 (ISMS) 的要求,目的在於協助組織提升自身持有的資訊資產安全性。ISO 27001 是嚴謹的安全架構,對資安管理系統提出明確要求。該架構內的多項控制措施涵蓋技術、組織、法律、實體與人力資源等面向。更多資訊請見 iso.org/standard/27001
ISO 27017
ISO/IEC 27017:資訊科技—安全技術—以 ISO/IEC 27002 為基礎、適用於雲端服務的資安控制實務準則,是一項安全標準,屬於 ISO/IEC 27000 系列標準的一部分。該標準是 ISO 27001 的延伸,提供雲端運算(雲端服務)環境中的資安控制指引。更多資訊請見 iso.org/standard/43757
ISO 27018
ISO/IEC 27018:資訊科技—安全技術—公開雲端作為個人識別資訊 (PII) 處理者時,用於保護 PII 的實務準則,是一項安全標準,屬於 ISO/IEC 27000 系列標準的一部分。該標準是 ISO 27001 的延伸,也是第一個著重於雲端運算服務隱私議題的國際標準。除了可協助處理個人識別資訊 (PII) 的雲端服務供應商評估風險,也能導入保護 PII 的控制措施。更多資訊請見 iso.org/standard/76559
IT 資安技術安全指引出版品第 33 號 (ITSG-33)
加拿大網路安全中心 (CCCS) 是加拿大具權威性的網路安全專業指引來源。CCCS 依據 ITSG-33(IT 安全風險管理:生命週期方法,附錄 3—安全控制目錄)所述的 CCCS 中等雲端安全設定檔,維護一套雲端服務供應商資訊科技安全評估流程。如要代管分類等級最高至「中等」(包含 Protected B 資料)的工作負載,必須符合中等雲端安全設定檔。更多資訊請見 cyber.gc.ca/en/guidance/annex-3a-security-control-catalogue-itsg-33#eff
刑事司法資訊服務安全政策 (CJIS)
刑事司法資訊 (CJI) 由多個機關處理,包含聯邦、州與地方政府。為了保護由美國聯邦調查局提供的刑事司法資訊,必須進行教育與認知提升,讓員工、承包商與其他人員具備必要資訊來落實保護機制。更多資訊請見 fbi.gov/services/cjis/cjis-security-policy-resource-center
1996 年健康保險可攜性與責任法案 (HIPAA)
HIPAA 是「健康保險可攜性與責任法案」的英文縮寫。HIPAA 是美國法律,旨在保護個人醫療資訊的隱私與安全。該法案為健康資訊的電子交換、隱私與安全訂定標準,並建立保護個人健康資料的要求。醫療服務提供者、保險機構與其他處理個人健康資訊的單位,必須遵循 HIPAA。更多資訊請見 cdc.gov/phlp/php/resources/health-insurance-portability-and-accountability-act-of-1996-hipaa
美國國稅局 (IRS) 出版品 1075
為了接收、儲存或處理聯邦報稅表與報稅資訊 (FTI),各機關與其他授權接收者必須建立有效控管措施,以確保依據美國國稅局《美國法典》第 26 篇第 6103 條之定義、並於 IRS 出版品 1075 中說明的 FTI 得到充分保護。為了滿足功能與保證要求,環境的安全功能必須涵蓋管理面、作業面與技術面的控管機制。更多資訊請見 irs.gov/pub/irs-pdf/p1075.pdf
聯邦風險與授權管理計畫 (FedRAMP)
FedRAMP(聯邦風險與授權管理計畫)是美國政府計畫,旨在為聯邦機關使用的雲端服務,建立標準化的安全評估、授權與持續監控流程。其主要目標是在政府機關採用服務前,確保雲端服務供應商 (CSP) 符合嚴格的安全要求。
FedRAMP 為雲端產品與服務,提供標準化的安全評估、授權與持續監控方法。這有助於降低管理雲端服務的風險與成本,並確保聯邦資料依照聯邦安全要求受到保護。更多資訊請見 fedramp.gov/
FISMA-NIST 800-53 Rev. 5
聯邦資訊安全管理法 (FISMA) 要求聯邦機關、部門與承包商,必須妥善保護資訊系統和資產。政府資料系統的管理準則,詳列於美國國家標準與技術研究院 (NIST) 特別出版品 800-53。此文件作為資安標準與法遵架構,會依據風險、成本效益與作業能力識別控管措施。更多資訊請見 csrc.nist.gov/topics/laws-and-regulations/laws/fisma
SOC 1
服務組織控制 (SOC) 報告,旨在透過獨立的註冊會計師評估,建立對服務組織流程與控管措施的信任和保證。SOC 1 報告特別針對委外服務,以及與財務報導相關的內部控制。更多資訊請見 aicpa-cima.com/resources/landing/system-and-organization-controls-soc-suite-of-services
SOC 2
美國會計師協會 (AICPA) 的 SOC 計畫,為服務組織提供內部控管報告。SOC 2 報告聚焦於與安全性、可用性、處理完整性、機密性或隱私相關的控管機制。SOC 2 Type 2 報告涵蓋特定期間,並同時稽核這些控管措施的設計與有效性。更多資訊請見 aicpa-cima.com/topic/audit-assurance/audit-and-assurance-greater-than-soc-2
SOC 3
服務組織控制 (SOC) 報告,旨在回應使用者對服務組織在系統安全性、可用性與處理完整性控制上的保證需求,以及這些系統所管理資訊的機密性或隱私。由於屬於通用型報告,SOC 3 報告可自由分享。更多資訊請見 aicpa-cima.com/resources/landing/system-and-organization-controls-soc-suite-of-services
GovRAMP
GovRAMP 為州與地方政府提供標準化方法,以確保承包商具備足夠的安全與資料控管機制。該套標準遵循 NIST SP 800-53 架構,並以「做一次、用多次」的策略節省時間與成本,藉此支援政府單位、評估機構與雲端供應商。更多資訊請見 govramp.org/。
美國食品藥物管理局 (FDA) 電子紀錄;電子簽章規範:21 CFR Part 11
《聯邦法規彙編》(CFR) 第 21 篇第 11 部分,是美國食品藥物管理局 (FDA) 發布的法規。該法規重點在於 FDA 監管活動中,使用的開放式與封閉式電腦系統之電子紀錄與電子簽章,確保其完整性、真實性與可靠性。更多資訊請見 fda.gov/regulatory-information/search-fda-guidance-documents/part-11-electronic-records-electronic-signatures-scope-and-application
資料隱私架構計畫
資料隱私框架 (DPF) 計畫由美國商務部轄下的國際貿易署 (ITA) 監督,使符合資格、設於美國的組織,可自行宣告認證其符合 EU-U.S. DPF、EU-U.S. DPF 的英國延伸 (UK Extension),以及/或 Swiss-U.S. DPF。如要參與,組織必須透過該部門的 DPF 計畫網站,向 ITA 自行宣告認證,並公開承諾遵循 DPF 原則。一旦組織完成自行宣告認證,遵循要求即成為強制義務。 更多資訊請見 www.dataprivacyframework.gov
數位營運韌性法案 (DORA)
數位營運韌性法案 (DORA) 是歐盟法規,為歐盟金融業建立一套全面的資通訊技術 (ICT) 風險管理架構。更具體而言,DORA 訂定適用於金融機構(包含銀行、保險公司與投資公司)及其「關鍵」第三方科技服務供應商的標準。更多資訊請見 eiopa.europa.eu/digital-operational-resilience-act-dora_en
歐洲銀行管理局 (EBA) 外包安排指引
歐洲銀行管理局 (EBA) 是歐盟的金融監管機關,提出外包安排的指引,包含與雲端服務相關的安排。該指引清楚界定何謂外包,並評估被外包活動的關鍵性與重要性。更多資訊請見 eba.europa.eu/activities/single-rulebook/regulatory-activities/internal-governance/guidelines-outsourcing
一般資料保護規則 (GDPR)
歐盟於 2016 年採納《一般資料保護規則》(GDPR) 2016/679,以取代 95/46/EC 指令。GDPR 是歐盟的資料保護法,規範組織如何蒐集與處理個人資料。該法規適用於處理歐盟公民與居民資料的任何實體,無論其位於全球何處皆適用。 更多資訊請見 eur-lex.europa.eu
西班牙國家安全架構 (ENS)
西班牙國家安全架構 (ENS),旨在確保西班牙資訊系統的安全,並依據 311/2022 號皇家法令進行規範。該架構定義資訊安全管理、風險評估與管理控制的要求。更多資訊請見 ens.ccn.cni.es/en/what-is-the-ens
Cyber Essentials Plus
Cyber Essentials 是英國政府支持的方案,旨在協助組織防範常見的網路威脅。該方案提供基礎層級的資安防護,並常作為更進階資安措施的基礎。其進階等級稱為 Cyber Essentials Plus,包含額外的測試與驗證。更多資訊請見 www.ncsc.gov.uk/cyberessentials
英國政府 G-Cloud 架構
英國政府 G-Cloud 是一套採購機制,用於簡化英國公部門機關採購雲端運算服務的流程。此機制讓公部門可透過線上數位市集,在政府核准合約下購買雲端服務。更多資訊請見 gov.uk/guidance/g-cloud-suppliers-guide
澳洲審慎監理局 (APRA) CPS 230:作業風險管理
APRA 跨產業審慎標準 (CPS) 230 適用於金融服務機構,以及其將「重大業務活動」外包的情形。其目標是確保受 APRA 監理的機構,能有效管理作業風險、在中斷期間維持關鍵營運,並履行法遵義務。 該標準的生效日期為 2025 年 7 月 1 日。對於既有合約安排,本標準自下一次合約續約日起或 2026 年 7 月 1 日(以較早者為準)開始適用。CPS 230 取代多項既有標準,包含 CPS 232 業務持續管理與 CPS 231 外包須知。更多資訊請見 www.apra.gov.au
澳洲審慎監理局 (APRA) CPS 231:外包須知
APRA 跨產業審慎標準 (CPS) 231 是由澳洲審慎監理局 (APRA) 發布的審慎標準。該標準著重於受監理機構,對外包服務供應商的風險管理與治理。本身適用於 APRA 監理的銀行、保險業者與退休金基金。更多資訊請見 apra.gov.au
澳洲審慎監理局 (APRA) 審慎標準 CPS 234:資訊安全須知
APRA CPS 234 是由澳洲審慎監理局 (APRA) 發布的審慎標準。本身著重於資訊安全管理,並建立要求,規範受 APRA 監理的機構必須保護其資訊資產,並有效管理安全風險。更多資訊請見 apra.gov.au
新加坡銀行公會 (ABS) 指引
新加坡銀行公會 (ABS) 發布了《外包服務供應商控制目標與程序》ABS 指引。該指引包含資安指引,適用於向在新加坡營運的金融機構提供服務的服務供應商。針對 ABS 指引進行第三方稽核,可讓外包服務供應商 (OSP) 取得外包服務供應商稽核報告 (OSPAR) 之認證。更多資訊請見 abs.org.sg/industry-guidelines/outsourcing