《亞馬遜云科技：2024合規及跨境數據傳輸聯合白皮書（25頁）.pdf》由會員分享，可在線閱讀，更多相關《亞馬遜云科技：2024合規及跨境數據傳輸聯合白皮書（25頁）.pdf（25頁珍藏版）》請在三個皮匠報告上搜索。

1、合規及跨境數據傳輸聯合白皮書2024更新于2024年4月本合規及跨境數據傳輸聯合白皮書由普華永道商務咨詢（上海）有限公司（以下簡稱“普華永道”）和 Amazon Web Services,Inc.或其關聯方（“亞馬遜云科技”）分別撰寫，雙方就各自撰寫的內容分別、獨立享有相關知識產權。其中普華永道負責撰寫“第一部分 數據跨境傳輸概述”、“第二部分 合規及跨境數據傳輸解決之道”、及“附錄：普華永道隱私保護合規解決方案-Privacy Ready”、普華永道下一代安全運營服務 MSS（Man-aged Security Service）”，單獨享有該部分的知識產權；亞馬遜云科技負責撰寫“附錄：亞馬遜

2、云科技敏感數據保護方案”，單獨享有該部分的知識產權。本報告中所有文字、數據、圖片、表格，均受中華人民共和國著作權法及其它法律法規保護。未經普華永道和/或亞馬遜云科技書面許可，任何機構和個人不得基于任何商業目的使用本報告中普華永道部分和/或亞馬遜云科技部分的信息（包含報告全部或部分內容），不得摘錄、復制、儲存在檢索系統中，或以任何形式或通過任何手段（包括電子、機械、影印、錄制或掃描）進行傳播。如果任何機構和個人因非商業、非盈利、非廣告的目的需要引用本報告中內容，需要注明“轉載自普華永道商務咨詢（上海）有限公司和 Amazon Web Services,Inc.或其關聯方（亞馬遜云科技）聯合發布的

3、 合規及跨境數據傳輸聯合白皮書”。本報告僅作為一般性指導，并不構成提供任何形式的法律咨詢、會計服務、投資建議或專業咨詢。本報告所提供的信息不能取代專業稅收、會計、法律咨詢或其他相關專業咨詢建議。在作出任何決定或采取任何行動之前，您應該咨詢專業顧問，并向其提供與您特定情況相關的所有事實。本報告的信息來源于本次調研所收集的數據以及公開的資料，我們對信息的完整性、準確性或及時性概不作出任何保證或擔保，也不提供任何明示或暗示的擔保，包括但不限于對業績、適銷性和適用于特定用途的擔保，在不同時期可能會得出與本報告不一致的觀點。本報告僅供一般參考使用，不構成具體事項和咨詢意見，普華永道不對本報告內容承擔審慎

4、責任，并且未就本報告內容做出任何明示或暗示保證。普華永道不就本報告內容向任何人士承擔任何責任或義務，也不向任何人士承擔因本報告所引起的或與本報告有關的任何責任或義務。讀者不應依賴本報告內容做出投資或其他商業決定。如需具體意見，請咨詢專業顧問。本報告中由亞馬遜云科技負責撰寫的內容陳述了亞馬遜云科技在封面頁所示日期的有關服務產品及實踐，該等信息可能變化且我們不會另行通知?？蛻魧τ诒静糠值男畔⒁约皝嗰R遜云科技的產品或服務應自己做出獨立的判斷，該等內容都是“依現狀”提供，不包含任何明示或者暗示的保證。本部分內容并沒有創設來自亞馬遜云科技或其關聯方、供應商或許可方的任何保證、陳述、合同性承諾、條件或者擔

5、保。亞馬遜云科技對其客戶的義務和責任均由適用的客戶協議管轄。本部分內容不是亞馬遜云科技和其客戶之間任何協議的組成部分，也不構成對任何協議的修改。聲明1 數據跨境傳輸概述1.1 數據跨境傳輸合規趨勢與解讀1.1.1 全球數據安全合規趨勢與解讀1.1.2 中國數據安全合規趨勢與解讀1.2 數據跨境傳輸評估整體過程1.3 數據跨境傳輸申報解讀1.3.1 申報門檻1.3.2 申報重點1.4 數據跨境傳輸評估結果分析1.4.1 數據本地化趨勢概覽1.4.2 數據本地化路徑選擇和常見場景2 合規及跨境數據傳輸解決之道附錄亞馬遜云科技敏感數據保護方案普華永道隱私保護合規解決方案-Privacy Ready普

6、華永道下一代安全運營服務 MSS（Managed Security Service）方案導覽0102020304050505070708101316191401數據跨境傳輸概述0102隨著全球數字經濟規模的持續增長，數據作為重要生產要素，在生產生活各個環節的重要作用正日益顯現，數據流動的安全性受到越來越多的關注。全球范圍內，對數據跨境活動的管控和監管正在逐步健全；目前，各國針對數據跨境流動密集出臺了相關的法律法規，主要國家和地區的監管執行力度增強，數據合規制度數量增長、管轄范圍逐步擴大的趨勢明顯，也讓數據跨境傳輸合規成為了進行跨國商業活動的企業需要格外重視的課題。此外，數據跨境會加劇個人信息、

7、重要數據和商業數據泄露及濫用的風險，導致企業的名譽和利益受損，還可能會給企業帶來技術管理、資產管理和組織管理等問題。全球數據安全合規趨勢與解讀隨著互聯網迅速發展帶來的數據增長，各國更加關注對數據的合法利用。自歐盟推出 一般數據保護條例（GDPR）以來，已有100多個國家或地區頒布或提出了數據保護或隱私保護法。目前，全球數據跨境流動和數據監管未形成較為統一框架，在各國國情、國家安全、隱私保護、產業能力等多元因素的復雜影響下，跨境數據流動監管制度較為差異化。由于各國家和地區間立法驅動因素、國情和地區特性不同，其立法側重點及發展趨勢也有所差異，以歐盟和亞太經濟合作組織為代表的地區性立法以保護個人數據

8、為出發點，推動地區間數據流通，同時在監管和執法程序上更加標準化和透明化；以美國為代表的國家在合規立法中更看重數據自由流動帶來的經濟效益，在奉行整體寬松政策的同時，為特殊行業提供不同的法律依據，例如金融、醫療、電子通信、基礎設施等行業；以俄羅斯為代表的國家在合規立法方面受政治因素影響較大，更關注以安全為核心的國內治理，對數據跨境流動施行嚴格管控，形成“內外雙嚴”的數據安全發展態勢。1.1 數據跨境傳輸合規趨勢與解讀數據安全是數字經濟發展的底板，明確數據跨境安全合規措施，是保護個人信息、防范化解企業數據跨境安全風險、促進數字經濟健康發展的重要保障。03中國數據安全合規趨勢與解讀在全球的立法潮流中，

9、中國也在過去的幾年中加快了對于數據保護的各類立法。2016年11月7日通過的 中華人民共和國網絡安全法 是我國在網絡空間治理領域的第一部基本大法，首次在法律上對數據跨境流動進行了闡述，第37條規定：“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲，因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定?！贝藯l款也被認為是對于中國數據跨境流動規則的確立，即“本地存儲，出境評估”。2021年，我國又接連頒布了 中華人民共和國數據安全法、中華人民共和國個人信息保護法 兩部法律，進

10、一步補充和完善了數據流動規則。2022年9月1日，由國家互聯網信息辦公室（后簡稱“網信辦”）發布的 數據出境安全評估辦法（后簡稱 辦法）正式實施，將三部法律的原則要求進行了明確，界定了數據出境的適用范圍，并對安全評估和申報工作給出了詳細的實施程序。2024年3月22日，網信辦發布 促進和規范數據跨境流動規定（后簡稱 新規），對現有數據跨境制度的實施和銜接作出了進一步明確。在 辦法 施行一年有余之計，許多頭部企業已經積極開展安全評估并向監管機構遞交了數據出境申報材料，涉及互聯網、零售、醫藥、金融、汽車、民航、制造等諸多行業。在已經收到監管機構評估結果的案例中，某些企業的部分出境場景或部分數據項因

11、缺乏充分的出境必要性，未能獲批，對于這部分數據及系統進行本地化將成為下一階段整改工作的重中之重。值得注意的是，為進一步規范和促進數據依法有序自由流動，網信辦于2024年3月22日發布的 新規 從不同層面釋放了有利于數據跨境流動的積極信號，例如：明確了可豁免數據出境合規監管的場景、提高了數據出境安全評估申報和標準合同備案的適用門檻、提出了在自由貿易試驗區施行出境數據“負面清單”制度的規則，等等。1.2 數據跨境傳輸評估整體過程目前，我國數據出境管理的三種機制：數據出境安全評估、個人信息保護認證和個人信息出境標準合同，均已進入落地實施階段。其中，本白皮書著重關注的數據出境安全評估的路徑程序可以歸類

12、為六個階段，分別為差距分析、整改、自評估、申報、評估、以及持續合規。通過訪談相關人員了解公司數據流轉，審閱公司制度、授權同意文件、隱私政策、合同等文件，并對公司業務流程、相關系統進行梳理。以及，結合相關經驗從而設計有效的檢查點和控制點，發現差距并進行風險評估。以差距分析結果為基礎，法規要求為導向、對公司風險策略及成本、業界趨勢等提出合理的整改建議?，F狀盡調差距分析咨詢服務風險評估(管理)差距報告(技術)差距報告體系建設能力建設整改方案整改實施自評估報告申請書法律文件其它材料省網信辦國家網信辦MSSP持續溝通自評報告DataDiscoveryDataMapping差距分析整改自評估申報評估持續合

13、規根據新規 和 辦法 要求識別自身是否適用數據出境安全評估，并完成自評估等合規工作。完成自評估等合規工作之后，數據運營者依照新規 和 辦法 在數據出境前做好風險自評后，并向相關部門提交相關材料。數據出境安全評估工作本著屬地申報原則，由數據處理者向其所在地省級網信辦提交申報材料。各地網信辦在收到申報材料后，在5個工作日內完成申報材料的完備性查驗（即形式審查）。國家網信辦自收到省級網信辦提交的申報材料之日起7個工作日內，確定是否受理并書面通知數據處理者。國家網信辦受理后，將統一開展數據出境安全評估工作，開展實質審查并出具結論，完成數據出境安全評估。在通過安全評估后，企業仍需要對數據出境進行持續的評

14、估監管。差距分析階段一自評估階段三評估階段五整改階段二申報階段四持續合規階段六041.2 數據跨境傳輸評估整體過程05申報門檻所有要向境外提供在我國境內（不包括港澳臺地區）收集與產生的重要數據以及個人信息的企業與網絡運營者都必須按照新規和辦法要求，進行安全評估。具體來說，企業開展數據出境安全評估工作的第一步是準確識別數據出境場景，也是至關重要的步驟。其次，在明確自身數據出境場景的情況下，企業需要進一步評估出境場景是否達到數據出境安全評估的申報門檻。新規 對于哪些情況需要向網信部門申報評估給出了一些量化標準：1）自當年1月1日起累計向境外提供100萬人以上個人信息（不含敏感個人信息），或2）自當

15、年1月1日起累計向境外提供1萬人以上敏感個人信息。申報重點辦法 明確要求所有數據處理者需要在向境外提供數據之前開展數據風險的自評估，因此風險自評估成為了一項法律要求。該工作需要企業全面篩查數據出境的場景和情形，并深入評估數據出境的風險。關于其風險的評估將圍繞數據處理者和境外接收方兩個方面進行展開：數據處理者：確保數據出境的目的、范圍、方式滿足合法性、正當性、必要性識別并評估出境數據的數量、范圍、種類、敏感程度及帶來的風險識別并評估在數據轉移環節，采取管理和技術措施、能力等識別并評估數據出境和再轉移后泄露、毀損、篡改、濫用等的風險確認與境外接收方訂立的數據出境相關合同充分約定了數據安全保護責任義

16、務境外接收方：確保處理數據的目的、范圍、方式等滿足合法性、正當性、必要性確保識別了相應責任義務，并履行了相應的管理和技術措施等確保評估并向境內數據處理者提供了境外數據保護相關法律法規的相關信息1.3 數據跨境傳輸申報解讀0106對于以上安全評估和安全能力建設的要求，可以結合專業工具及相關咨詢服務，幫助企業建立合規體系，并通過目標建立落地技術方案，包括在出境前進行數據分類/脫敏、事中監控、事后審計；也需要結合企業內部數據平臺或治理平臺現有能力，以形成企業內的整體治理的技術解決方案。數據出境的主要安全技術要求安全技術能力要求在各項評估項中，數據全生命周期安全防護體系尤為重要，企業應考慮網絡安全防護

17、能力、監控異常能力、保障數據跨境日志的完整性、保存數據跨境業務系統日志、建立數據全生命周期防護機制和應急處置能力，例如：應具備數據出境前對個人信息進行脫敏處理的能力應具備在數據出境傳輸時采取相應安全措施的能力（加密傳輸等）應具備數據傳輸過程及處理過程中實施身份鑒別和訪問控制的能力應具備保留數據發送、接收日志的能力應具備對數據接收、保存、使用、傳輸、銷毀等各階段進行審計的能力應具備針對數據安全事件的預防、檢測及響應能力應具備對數據存儲介質安全管理，及對數據進行備份和恢復的能力07在國內的數據跨境傳輸的監管逐步趨嚴，相關法規和指南密集出臺的大背景下，數據跨境傳輸的申報和備案工作也在進行有序地開展。

18、也隨著相關部門逐步下發決定，一些企業的某些數據會面臨不被準予出境的情況。1.4 數據跨境傳輸評估結果分析數據本地化趨勢概覽由于某些數據面臨禁止出境，數據本地化也以及逐漸成為不可繞開的話題。如果把數據出境安全評估比作一場競賽的上半場，那本地化就是這場競賽的下半場，企業在下半場更需打起精神，準備好充足的資源，迎接一場“持久戰”的考驗。數據本地化是一項復雜的系統工程，它以數據為核心，以系統為載體，是對企業 IT 治理和運營能力的一次考驗。對于大部分跨國企業而言，經典的 IT 管理模式是高度集中化的，由集團總部在境外統一提供 IT 基礎設施服務，并統一托管主要應用系統，供不同國家的業務團隊共享使用。這

19、種模式從運營效率和成本節約的角度符合跨國企業的利益，但卻不可避免的造成了數據的高度集中以及從中國境內向境外集團總部的單向流動。而本地化勢必對這一既有模式造成顛覆，并且不同程度的本地化對業務的影響程度也不盡相同（如圖例）：尤其考慮到一些跨國企業在業務上須與境外總部保持必要的連通性和聯動性，并也有著較為復雜的匯報機制，本地化的進程會對此類企業現有的業務流程和人員組織架構產生一定影響。公司不僅要考慮如何通過一些系統及業務流程方面的快速整改以滿足合規要求，也要從長遠的角度考慮如何構建一個符合本地化要求的本地業務流程并配備或調整組織架構以實現業務目標。系統的使用會受到數據本地化的影啊現有業務流程會受到系

20、統本地化的影響組織架構和運營模式會受到本地化業務流程影響數據系統流程組織架構數據本地化路徑選擇和常見場景08（一）客戶關系管理場景在本地化過程中，大量的客戶個人信息甚至敏感個人信息被收集和處理，因此，該場景中較為典型的客戶關系管理系統（Customer Relationship Management,CRM）也往往成為企業內部存儲個人信息數量最多的系統，自然也是跨境申報的主要系統，此類系統的特點包括：可收集、關聯和分析所有相關客戶數據，包括聯系人信息、與企業銷售代表的互動信息、歷史購買記錄、服務請求、資產和報價/提議等。企業銷售人員可訪問這些數據，并了解觸點的最新動態，并據此創建完整的客戶檔案

21、，進而建立牢固的客戶關系。盡管數據本地化在概念層面，是將數據的存儲位置和數據處理的過程從某國家或地區轉移到另一物理位置，但落實到具體的應用系統，其技術選擇和實現路徑則五花八門。目標系統的本地化方案可以被歸納為幾種“原型方案”，以便進行分組討論，降低復雜程度和溝通成本；從成本由低至高排序可以簡單分為維持現狀，流程變更，本地數據留存，系統遷移到成本最高的境內系統重建。不同的方案所對應的實施成本和剩余風險需要在做決策時予以充分考慮?；谝陨系木S度，以企業內部兩類最常見的應用場景為例，對其客戶關系管理場景以及人力資源管理場景在本地化過程中需考慮的重點事項進行深入討論分析：CRM 本地化的重點事項：CR

22、M 本地化，或將中國市場的數據從全球應用實例中剝離，對現有業務模式產生影響；在系統進行任何重大變更前，應對潛在影響進行充分評估，確保重大變更符合中國市場的長期業務戰略。CRM 系統功能復雜、數據項繁多，不建議對合規要求作“一刀切”式的簡單解讀，而應逐個功能模塊、逐個數據項的進行評估和整改，精準應對合規挑戰。CRM 系統接口較多，上下游依賴關系復雜，在為 CRM 設計本地化方案的時候，應同步考慮其關聯系統，評估變更后的數據流，避免因考慮不周而形成新的風險敞口或造成上下游系統的中斷。09雖然數據本地化可以緩解數據跨境所帶來的一些風險，但考慮到本地化的時間及成本問題，無論從短期或長期趨勢所看，企業仍

23、需在現下時間點，對在持續進行的數據出境的活動的風險進行的分析把控，并積極探索其各類可行的解決方案。（二）人力資源管理場景作為企業管理的一個通用場景，員工個人信息的出境也是廣大跨國企業無法繞過的問題。在已獲得批復的跨境申報案例中，監管機構對于員工個人信息的出境采取了相對包容的態度，但對于應聘者的個人信息以及員工的部分敏感個人信息采取了更嚴格的立場。對于企業而言，需考慮對該場景中現有較為典型的人力資源管理系統(Human Resource Management system,HRMS)進行必要的改造，以滿足監管要求，此類系統的特點包括：涵蓋人事管理、能力素質模型、績效管理、考勤管理、薪酬管理、招聘

24、管理、培訓管理、查詢報表等功能的一體化整合應用系統，也是企業內部處理員工個人信息的主要系統。HRMS 本地化的重點事項：明確允許出境的數據項，對外傳設置明確規則，以確保實際出境數據和允許出境數據保持一致，并留存傳輸日志。對于禁止出境的數據項，考慮通過流程變更的方式對原有的數據采集和錄入流程進行必要的改造。對于應聘者的個人信息收集和處理，考慮境內的替代解決方案，并從原有的 HRMS 進行必要的剝離。1002合規及跨境數據傳輸解決之道11總的來說，現中國監管對于個人數據及重要數據的宏觀監管要求為：在境內收集和產生的個人信息應存儲在境內 確需向境外提供的，應當通過國家網信部門組織的安全評估在這樣的政

25、策導向下，跨國公司將工作負載比如客戶關系管理系統，人力資源管理系統及相關數據平臺在國內落地的方向在逐步明確，速度也在逐步加快。普華永道借助亞馬遜云科技并結合雙方的優勢，提出“合規及跨境數據傳輸”解決方案，建立數據全生命周期安全防護系統，安全防護體系，在數據跨境合規評估，結果分析及長遠合規規劃及落地的全周期上，為企業保駕護航。12在使用本白皮書時，企業可參考如下問題核查業務場景是否適用：更多解決方案，請參考附錄以獲取更為詳細信息。1 數據是否涉及跨境傳輸2 業務是否涉及個人信息3 是否已開展數據資產梳理和跨境場景識別4 主要應用系統和數據是否由亞馬遜云科技托管5 是否已開展CBDT安全評估或標準

26、合同備案工作6 是否已實現CBDT合規管理流程自動化7 是否已實現隱私合規管理流程自動化8 是否已制定本地化計劃9 是否已實現自動化安全事件監測響應附錄13敏感數據保護解決方案(Sensitive Data Protection Solution)為客戶提供了一個云原生的、開箱即用的企業數據資產管理平臺，幫助客戶定期了解敏感數據的分布與變化情況，為客戶安全合規從技術角度提供依據?？蛻艨梢栽谥袊鴧^和海外區部署和使用該方案。該方案支持企業添加多個亞馬遜云科技賬號，并自動發現各賬號下的數據源(如 Amazon S3、Amazon RDS 等)；提供200多種覆蓋50多個國家和地區的敏感數據類型，也支

27、持客戶自定義敏感數據類型；支持配置數據分級分類模版，快速開啟敏感數據掃描任務；基于 Amazon Glue 構建企業內部數據目錄(有些場合也稱為數據字典、元數據管理、數據資產地圖等)，提供可視化面板和發現任務報告；使用機器學習和模式匹配等技術高效地發現多種數據源中的敏感數據，以便于后續分類分級，以及通知相關的業務團隊采取相應的保護措施。此外，方案還提供數據脫敏、全流程數據傳輸與監控能力。14亞馬遜云科技敏感數據保護方案該方案是云原生亞馬遜云科技解決方案，采用無服務器架構，可無縫地與其他亞馬遜云科技的服務集成，支持在全球區與中國區部署；該方案的功能主要有以下特點：功能特色 中心式的管理界面：支持

28、接入同一區域內多個亞馬遜云科技的賬號，可以自動發現各個賬號下的數據資產，并自動生成數據目錄。方案支持亞馬遜云科技云上多種數據源，也支持介入其他云上及離線數據庫的掃描。全面的數據發現：利用機器學習、模式匹配等技術自動發現和標記多個賬戶、多種數據源中的敏感數據，并且支持客戶輕松設置和運行敏感數據發現作業，提供定期掃描的能力。豐富的數據分類：基于全球主要國家和地區的法律法規設置匹配規則，支持200多種內置數據類型，提供多種檢測隱私數據的分類模板，并允許客戶自定義敏感數據類型?？梢暬慕Y果呈現：提供直觀的 Web 控制臺，內置數據目錄和敏感數據狀態概覽的儀表板，清晰展示數據位置、數據源、對象類型等信息

29、，并為發現任務提供下載報告，為客戶實現持續合規提供技術依據。靈活的數據脫敏：方案內置脫敏規則，可以幫助客戶以 API 的方式行基于規則的脫敏和反脫敏 API。全流程的數據傳輸與監控：方案內置傳輸網關，客戶可以采用此網關對于數據進行傳輸，方案可以對此網關傳輸的數據做審計。支持不同云環境數據傳輸。15亞馬遜云科技賬戶信息亞馬遜云科技解決方案亞馬遜云科技賬戶總數亞馬遜云科技區域在此平臺上跟蹤的亞馬遜云科技賬戶。加入亞馬遜云科技在亞馬遜云科技賬戶中發現的數據源。賬戶并為數據源（例如S3、RDS）創建數據目錄。亞馬遜云科技敏感數據保護方案示意圖16Privacy Ready 為企業提供了一個線上協作的個

30、保法合規評估門戶，幫助企業實現自動化風險隱私合規管理。重點提供五大業務功能模塊以滿足企業實現多場景隱私合規需求：普華永道隱私保護合規解決方案-Privacy Ready模塊四個人信息主體同意管理多渠道推送隱私聲明一站式管理同意記錄模塊五個人信息主體權利響應管理線上線下同步管理協助企業快速響應行權需求模塊一場景化隱私管理評估建立業務場景合規管理閉環全方位展示狀態與風險模塊二企業總體隱私管理評估助力企業完善個人信息保護管理制度與流程模塊三資產清單自動生成響應監管要求的資產清單此功能內嵌風險因子與規則引擎，一鍵自動生成評估結果，幫助企業實現簡易清晰的合規評估方式、精準識別其合規風險，并審查追蹤其合規

31、活動。17亮點一：自動精準場景感知評估問卷及風險識別亮點二：專業可信專業資產清單及評估報告Privacy Ready 產品亮點18Privacy Ready 能夠幫助企業實現自動化生成響應監管要求的資產清單，例如個人信息數據清單、個人信息處理系統清單、以及與第三方共享的個人信息清單。其能夠根據場景評估中的數據實時更新各個清單中的內容，并且一鍵導出企業資產匯總表單與場景評估報告，幫助企業完成后續風險分析，處置與留檔。Privacy Ready 幫助企業實現多角色協同工作，其端到端的流程使不同的用戶角色能夠同步進行線上協作模式，促使評估過程更加高效化。亮點三：高效便捷預定義的工作流促進多方高效協作

32、在多變的監管環境和業務環境下，Privacy Ready 作為可定制的個人信息保護合規管理平臺可以根據企業日常隱私合規管理與需求快速響應業務和法規變化，幫助企業有效應對個保法合規與風險處置。傳統安全運營的痛點其中主要包括：安全人才管理，運營合規，運營投資，工作效率，技術復雜性，技術成本等問題。19普華永道下一代安全運營服務 MSS（Managed Security Service）客戶需求數字化時代背景下，企業客戶的安全需求主要如下：隨著組織的數字化轉型不斷發展，導致攻擊面增長，組織需要更加靈活、全面、高效、經濟的安全運營方案來應對各種安全事件。不斷出臺的安全法規、政策，行業行規，及違規可能帶

33、來的處罰加重，使得組織需要在實現業務戰略目標的同時保護業務及安全合規。網絡攻擊不斷地演變，組織在引入更高級安全功能方面需要更專業更有經驗安全團隊的幫助來規避潛在的風險。越來越多的關鍵服務逐步遷移上亞馬遜云科技云上，遷移過程中，組織需要統一可靠的安全運營平臺及定制化方案來應對日益變化的業務環境。自新冠疫情發生后的遠程辦公普及，業務多依托于線上，因此網絡環境安全重要性突顯，很多企業希望擁有強大的安全運營服務但無力分配時間、空間來投資于自身的設備和員工，因此如何獲得專業又多快好省的安全運營服務成為組織亟待解決的問題。20方案優勢普華永道基于 Amazon CloudTrail,Amazon Conf

34、ig,Amazon Key Management Service(Amazon KMS),Amazon GuardDuty,Amazon WAF,Amazon S3 Server Access logs,Amazon VPC logs,Amazon Cloud-Watch logs 等服務實現數據采集，同時使用全球知名的 MITRE ATT&CK（網絡安全攻擊矩陣）框架的異常檢測和關聯規則，結合安全編排和自動化響應，持續監測并應對不斷進化的網絡攻擊。安全運營中心所采用的技術工具，也均符合 網絡安全法 等相關規定的要求。擁有世界級的紅隊攻擊經驗，深度防御；可根據最新的威脅情報，及時更新和改進網絡

35、攻擊用例。同時將您組織視為一個整體進行保護，實時監控以提供全天候保護。通過安全專家和人工智能引擎的幫助，您的團隊將集中精力應對關鍵事件，而無需面對密集的告警。服務采用高度靈活的可擴展模塊化交付模式，它將滿足您企業不同階段的特定需求。安全運營中心（SOC）&SIEM 平臺21聯合署名普華永道徐世達 中國內地及香港地區風險及控制服務市場主管合伙人 黃思維 中國網絡安全和隱私服務合伙人黃財明 中國網絡安全和隱私服務合伙人亞馬遜云科技 王承華 大中華區專業服務事業部總經理陳曉建 大中華區產品部總經理白 帆 安全合規服務總監編寫指導普華永道徐 靜 中國網絡安全和隱私服務經理陳雪凝 中國網絡安全和隱私服務經理 亞馬遜云科技 蘇 璠 解決方案中心高級產品經理 周玉林 解決方案架構師高級總監 楊 波 合作伙伴高級解決方案架構師主編人員楊帥軍 資深數據架構師邵士毅 解決方案架構師高級經理徐 麗 合作伙伴拓展經理 掃碼查閱亞馬遜云科技合作伙伴資料中心掃碼查看更多亞馬遜云科技全球咨詢合作伙伴普華永道解決方案掃碼關注亞馬遜云科技公眾號