合规性

提供完备的第三方审计认证

由世纪互联运营的 Microsoft Azure,Microsoft 365,Microsoft Dynamics 365 和 Microsoft Power Platform 在线服务是在中国大陆独立运营的公有云平台,由北京世纪互联宽带数据中心有限公司的关联公司上海蓝云网络科技有限公司((简称为“世纪互联”)独立运营和销售。采用微软服务于全球的 Microsoft Azure,Microsoft 365,Microsoft Dynamics 365 和 Microsoft Power Platform 在线服务技术,为客户提供全球一致的服务质量保障。

为帮助客户遵守国家、地区以及特定行业管理个人数据采集和使用的要求,世纪互联作为云服务提供商提供全面的的认证和证明。

要实现全面的合规性,世纪互联采用了双管齐下的办法:

  • 首先,世纪互联的专家团队与工程和运营团队以及外部的监管机构合作,跟踪现有标准和规章,为产品团队开发出几百个控件,构建到我们的云服务中。
  • 其次,由于规章和标准的不断发展变化,我们的合规专家也关注和预期即将到来的变化以确保持续的合规性——研究法规草案,评估潜在的新要求,并开发相应的控件。

由世纪互联运营的 Microsoft Azure,Microsoft 365, Microsoft Dynamics 365 和 Microsoft Power Platform 在线服务获得了多项认证,范围涵盖:国际和行业特定合规性标准 ISO/IEC 20000、ISO/IEC 27001 和 ISO/IEC 27018,GB/T 22239 信息安全技术网络安全等级保护基本要求第三级,GB 18030 信息技术中文编码字符国家标准以及可信云服务评估(TCS)。Microsoft Azure还获得了服务性机构控制体系鉴证(SOC – System and Organization Controls)的认证报告。最终,由您自己来决定我们的服务是否符合您的业务所适用的具体法律法规。为方便您做出评估,世纪互联提供了针对安全合规项目的详细信息,包括认证证书和审核报告。

您可以在线提交工单或者拨打热线电话 400-089-0365 联系客服部门,工作时间:09:00-18:00(北京时间,中国法定工作日)。

您也可使用您的在线服务账号登录 合规认证中心 自助下载证书和报告。

ISO/IEC 20000 是第一部针对信息技术服务管理(IT Service Management)领域的国际标准。由世纪互联运营的 Microsoft Azure,Office 365(Microsoft 365的组件之一),Microsoft Dynamics 365 和 Microsoft Power Platform 在线服务着重于通过“IT 服务标准化”来管理 IT 问题,识别问题的内在联系,然后依据服务水平协议进行计划、推行和监控,并强调与客户的沟通。世纪互联承诺每年基于 ISO/IEC 20000(这是一种针对 IT 服务领域的国际 IT 服务标准)进行认证。ISO/IEC 20000 证书确认世纪互联已实施此标准中定义的 IT 服务管理要求,向客户提供有效的服务及一体化的管理过程,从而识别和管理IT服务的关键过程,保证世纪互联提供有效的 IT 服务以满足客户和业务的需求。

ISO 范围:IT服务管理体系(ITSM),其中包括建立、实施、运作、监控、评审、维护和改进IT服务管理体系。

该证书由英国管理体系认证(北京)有限公司(BSI)颁发,可公开查询。

ISO/IEC 27001 是全球领先的安全标准之一。由世纪互联运营的 Microsoft Azure,Office 365(Microsoft 365的组件之一),Microsoft Dynamics 365 和 Microsoft Power Platform 在线服务已实施 ISO/IEC 27001 定义的严格的物理、逻辑、流程和管理控制。世纪互联承诺每年基于 ISO/IEC 27001(这是一种适用范围广泛的国际信息安全标准)进行认证。ISO/IEC 27001 证书确认世纪互联已实施此标准中定义的国际上认可的信息安全控制措施,包括有关启动、实施、维护和改进组织中的信息安全管理的指南和一般原则。

ISO 范围:信息安全管理系统(ISMS),其中包含了信息安全管理和隐私及合规,涵盖基础设施、安全服务/系统,和运维支持及数据中心基础设施。

该证书由英国管理体系认证(北京)有限公司(BSI)颁发,可公开查询。

ISO/IEC 27018 是首个专注于公有云个人数据保护的国际标准。由世纪互联运营的 Microsoft Azure,Office 365(Microsoft 365的组件之一),Microsoft Dynamics 365 和 Microsoft Power Platform 在线服务在个人信息处理的准确性、透明化及安全性等方面为用户提供可靠保护,保护个人信息全生命周期的各项阶段。世纪互联每年会基于 ISO/IEC 27018(这是一个主要针对保护云中个人数据安全的国际标准)进行认证。ISO/IEC 27018 证书确认世纪互联已实施此标准中定义的国际上认可的公有云个人可识别信息安全控制措施,让客户对其数据的存储和使用有完整的控制权,保证客户的数据隐私和安全。

ISO 范围: 信息安全管理系统(ISMS),包括信息安全管理、隐私和合规,涵盖基础设施、安全服务/系统、运维支持、数据中心基础设施等以及与之相关的个人信息保护管理。

该证书由英国管理体系认证(北京)有限公司(BSI)颁发,可公开查询。

根据《GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南》,公安部授权的测评机构依据《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》以及《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》对由世纪互联运营的 Microsoft Azure,Office 365(Microsoft 365的组件之一),Microsoft Dynamics 365 和 Microsoft Power Platform 在线服务每年进行测评,确认其符合等保 2.0 测评要求,网络安全保护等级被评定为第三级。

由世纪互联运营的 Microsoft Azure 通过审核获得云主机、云存储、云数据库、全局负载均衡、应用托管容器(Azure AKS)和云备份 6 项可信云服务评估,接受了 SLA 服务协议框架内,包括数据管理、业务质量及权益保障三大类共 16 项指标的测评,服务可用性最高达 99.99%,通过中国境内多个数据中心提供最多 6 份数据备份,为用户提供了可靠、安全、灵活、高效、稳定的服务保障。 2017年由世纪互联运营的 Microsoft Azure 凭借 Azure 混合云解决方案通过了可信云首批"混合云解决方案评估 "(公有云,私有云 双项评估),并在可信云大会上获得了大会颁发的"可信云技术创新奖——混合云奖 "。

由世纪互联运营的 Office 365(Microsoft 365的组件之一) 在线应用服务也曾获得企业级电子邮件 (Exchange Online)、文件共享 (SharePoint Online)、Microsoft Teams 3 项可信云服务评估,以及新增的“安全性、用户体验性能” 2 项指标的评估。由世纪互联运营的 Office 365(Microsoft 365的组件之一) 云服务还获得了“可信云 2014-2015 年度行业云服务奖”的办公应用奖,进一步印证了 Office 365(Microsoft 365的组件之一) 拥有业内一流可靠的技术、安全稳定的运维以及完善规范的服务体系。

测试结果发布于可信云服务认证网站

GB 18030 是中国的表意字符集和政府授权颁布的编码标准。由世纪互联运营的 Microsoft Azure,Office 365(Microsoft 365的组件之一),Microsoft Dynamics 365 和 Microsoft Power Platform 在线服务经中国电子技术标准化研究所认证符合该标准的强制性部分。

服务性机构控制体系鉴证(SOC – System and Organization Controls)报告是基于美国注册会计师协会(AICPA)制定的服务性组织控制框架(SOC)的服务审计报告。此框架是用于保护云中存储和处理的信息的保密性和隐私性的标准。基于 SOC 框架的服务审计分为两类:SOC 1 和 SOC 2,由一个独立的第三方审计机构根据适用的标准进行审计评估继而给出意见报告。

  • SOC 1 报告,为正在使用云服务的客户及其财务报表审计师提供信息,评估云服务提供商(CSP)内部控制的有效性,这些内部控制会影响客户的财务报告。鉴证业务准则第 18 号文(SSAE 18)和鉴证业务国际准则第 3402 号文(ISAE 3402)是进行审计的标准,也是 SOC 1 报告的基础。
  • SOC 2 报告,基于美国注册会计师协会(AICPA)的信托服务标准,评估云服务提供商(CSP)的系统有效性,为有业务需求的客户和用户提供针对安全性、可用性、保密性和进程完整性的独立评估。AT101 是 SOC 2 报告的基础。

在 SOC 1 和 SOC 2 审计结束后,第三方审计机构在 SOC 1 Type 2 或 SOC2 Type 2 报告中表述审计结论,该报告描述了云服务提供商(CSP)的系统,且针对 CSP 对其内部控制描述的公正性,设计是否合理,以及是否在指定的日期和时间段内有效运行进行了评估。

SOC 3 报告是 SOC 2 Type 2 审计报告的摘要版本,适用于需要了解 CSP 内部控制有效性但并不需要完整版 SOC 2 报告的客户。

对客户的好处

  • 从云服务提供商(CSP)处获得 SOC 报告的客户,能了解云服务提供商(CSP)的内部控制和这些内部控制的有效性等有价值的信息,同时得到第三方评估机构对云服务提供商(CSP)内部控制的详细描述,以及这些内部控制是否被适当地设计并投入运行且持续运行有效的独立评估。
  • 客户可向其审计师提供 SOC 报告,这将对客户的审计师在审计客户的内部控制时起到极大的帮助。如果没有 SOC 报告,客户可能需要花费额外的成本来使其审计师对云服务提供商(CSP)进行审计。

世纪互联已经获得由世纪互联运营的 Microsoft Azure, Microsoft Power Platform 和 Microsoft Dynamics 365 的 SOC1 Type2 ,SOC2 Type2 和 SOC 3 的认证报告。客户可联系 世纪互联 获取报告。

 了解更多

TISAX(Trusted Information Security Assessment Exchange,可信信息安全评估交换)由欧洲汽车工业安全数据交换协会(ENX协会)代表德国汽车工业联合会(Verband der Automobilindustrie, VDA)进行管理。TISAX被欧洲汽车公司用于为内部分析,供应商评估和信息交换提供通用的信息安全评估。

一家ENX 认证的审计机构根据 TISAX AL3 信息安全和数据保护要求,已完成了对世纪互联在中国大陆运营Microsoft 在线服务的全部数据中心的 TISAX 评估。这些TISAX 认证的数据中心为世纪互联运营的 Microsoft Azure、Microsoft Dynamics 365 和 Microsoft Power Platform 提供物理基础设施。

行业相关客户可以登录ENX门户查询TISAX评估结果。访问世纪互联的TISAX评估结果,可以通过如下信息进行查询:

Assessment ID: APWVC2-1

Assessment Level 3(AL3) scope ID: STPTNZ

  • Microsoft accomplishes this breadth of compliance offerings with a two-pronged approach:

    •   First, a team of Microsoft experts works with our engineering and operations teams, as well as external regulatory bodies, to track existing standards and regulations, developing hundreds of controls for the product teams to build into our cloud services. 

    •   Second, because regulations and standards are always evolving, our compliance experts also anticipate upcoming changes to help ensure continuous compliance—researching draft regulations, assessing potential new requirements, and developing corresponding controls. 

    To demonstrate that these controls deliver compliance you can rely on, Microsoft enterprise cloud services are independently validated through certifications and attestations, as well as third-party audits. In-scope services within the Microsoft Cloud meet key international and industry-specific compliance standards, such as ISO/IEC 27001 and ISO/IEC 27018, FedRAMP, and SOC 1 and SOC 2. They also meet regional and country-specific standards and contractual commitments, including the EU Model Clauses, UK G-Cloud, Singapore MTCS, and Australia CCSL (IRAP). In addition, rigorous third-party audits, such as by the British Standards Institution and Deloitte, validate the adherence of our cloud services to the strict requirements these standards mandate.

    Ultimately, it is up to you to determine whether our services comply with the specific laws and regulations applicable to your business. To help you make these assessments, Microsoft supplies the specifics about its security and compliance programs, including audit reports and compliance packages. Also, you can verify our implementation of the controls by requesting detailed audit results from the certifying third parties or through your Microsoft account representative.  

 OR