一位男性商务人士和一位女性商务人士使用笔记本电脑办公

SAP 合规产品和服务

了解各种认证、报告与证明
placeholder

致客户的重要通知

SAP 合规产品:了解各种认证、报告与证明

在 SAP,我们严格按照行业标准、合规性要求和法规要求构建安全基础,及时了解和应对日益严峻的安全挑战。查看 SAP 最新的安全合规产品和服务及报告。

合规资源

placeholder
访问更多文档

SAP Trust Center 客户支持门户版扩充了公共资源,支持用户访问原本只对具有有效 SAP 用户 ID 的 SAP 客户和合作伙伴开放的附加信息、文档和其他内容。登录了解更多信息。

placeholder
SAP 商业伦理与合规管理

SAP 严格遵守 《全球商业行为与道德准则》(Global Code of Ethics and Business Conduct),坚持合规经营,为社会和经济发展作出积极的贡献,推动全球教育、司法、民主建设和医疗卫生领域的进步,实现经济繁荣、社会发展。

placeholder
安全性合规

安全性合规注重确保企业遵守法律法规、行业标准和企业颁布的各项政策。

placeholder
云交付流程

了解 SAP 的云交付流程,以及这些流程如何支持云服务的关键业务运营。

placeholder

十月是网络安全月份

了解您的企业如何受 SAP Global Security 的保护

合规常见问题

常见问题

SAP 从 1998 年起就通过了 ISO 9001 认证。此外,我们还通过了 ISO 27001、ISO 22301 和 BS 10012 认证。全球各地的 SAP 办公室均按照统一的流程框架开展工作,包括数据安全和隐私保护法规。我们会定期进行内部审查和审计,检查合规性。

该项标准提供了一个框架,可以指导企业按照《通用数据保护条例》(GDPR) 实施个人信息管理系统 (PIMS),同时也规定了企业必须将实施 PIMS 系统作为企业安全计划的内容之一。企业可以参照该标准提供的框架管理个人数据隐私,并实施必要的政策、程序及控制措施,确保遵守 GDPR。

SOC 1 报告涵盖了审计周期中所有正在运行的客户系统,从服务组织层面描述了控制措施的具体实施情况,与客户内部的财务报告控制相关,称为信息技术一般控制。

信息技术一般控制涵盖:

  • IT 战略
  • 环境和组织
  • 逻辑和物理安全
  • 访问控制
  • 程序开发
  • 变更管理
  • 计算机操作,如事件管理、备份和监控

SOC 2 报告则是向服务组织、客户以及其他组织的管理层提供有关服务组织控制措施的报告,与其系统的安全性、可用性和处理完整性以及该系统处理的数据的机密性和隐私性相关。虽然每份 SOC 2 报告都会评估安全性,但管理层可以选择添加其他标准,即信托服务标准 (TSP)。

这些附加的信托服务标准包括:

  • 机密性
  • 完整性
  • 可用性
  • 隐私性

我们目前的认证组合包括 BSI C5(云计算合规控制目录)、云安全联盟 STAR(云安全、信任、保障和风险)、ISO 22301:2021(业务连续性管理体系)、ISO/IEC 27001:2013(信息安全管理体系)、ISO/IEC 27017:2015(云服务信息安全控制规范)、ISO/IEC 27018:2019(公有云中个人身份信息处理实务守则)、ISO 9001:2015(质量管理体系)、PCI-DSS(支付卡行业数据安全标准)、SOC1、SOC2 报告(系统和组织控制报告)和 TISAX (可信信息安全评估交换标准)。

过渡声明 (bridge letter) 旨在填补从声明中所提及的报告的截止日期到过渡声明签发日期之间的空缺期。过渡声明将向客户说明其控制环境是否有重大变化,以及这些变化是否会对最近完成的 SOC 检查中得出的结论产生不利影响。客户可以通过 SAP Trust Center 请求获取过渡声明。

常见问题

SAP 从 1998 年起就通过了 ISO 9001 认证。此外,我们还通过了 ISO 27001、ISO 22301 和 BS 10012 认证。全球各地的 SAP 办公室均按照统一的流程框架开展工作,包括数据安全和隐私保护法规。我们会定期进行内部审查和审计,检查合规性。

该项标准提供了一个框架,可以指导企业按照《通用数据保护条例》(GDPR) 实施个人信息管理系统 (PIMS),同时也规定了企业必须将实施 PIMS 系统作为企业安全计划的内容之一。企业可以参照该标准提供的框架管理个人数据隐私,并实施必要的政策、程序及控制措施,确保遵守 GDPR。

SOC 1 报告涵盖了审计周期中所有正在运行的客户系统,从服务组织层面描述了控制措施的具体实施情况,与客户内部的财务报告控制相关,称为信息技术一般控制。

信息技术一般控制涵盖:

  • IT 战略
  • 环境和组织
  • 逻辑和物理安全
  • 访问控制
  • 程序开发
  • 变更管理
  • 计算机操作,如事件管理、备份和监控

SOC 2 报告则是向服务组织、客户以及其他组织的管理层提供有关服务组织控制措施的报告,与其系统的安全性、可用性和处理完整性以及该系统处理的数据的机密性和隐私性相关。虽然每份 SOC 2 报告都会评估安全性,但管理层可以选择添加其他标准,即信托服务标准 (TSP)。

这些附加的信托服务标准包括:

  • 机密性
  • 完整性
  • 可用性
  • 隐私性

我们目前的认证组合包括 BSI C5(云计算合规控制目录)、云安全联盟 STAR(云安全、信任、保障和风险)、ISO 22301:2021(业务连续性管理体系)、ISO/IEC 27001:2013(信息安全管理体系)、ISO/IEC 27017:2015(云服务信息安全控制规范)、ISO/IEC 27018:2019(公有云中个人身份信息处理实务守则)、ISO 9001:2015(质量管理体系)、PCI-DSS(支付卡行业数据安全标准)、SOC1、SOC2 报告(系统和组织控制报告)和 TISAX (可信信息安全评估交换标准)。

过渡声明 (bridge letter) 旨在填补从声明中所提及的报告的截止日期到过渡声明签发日期之间的空缺期。过渡声明将向客户说明其控制环境是否有重大变化,以及这些变化是否会对最近完成的 SOC 检查中得出的结论产生不利影响。客户可以通过 SAP Trust Center 请求获取过渡声明。