本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 “ AWS Marketplace 供应商见解” 查看产品的安全配置文件
<a name="buyer-vendor-insights-view-profile"></a>

AWS Marketplace 供应商见解从卖家那里收集安全数据。产品的安全配置文件显示有关产品安全性、弹性、合规性以及评估所需的其他因素的最新信息。这些信息可帮助您购买持续符合行业标准的可信软件，从而为像您这样的买家提供支持。对于其评估的每款软件即服务 (SaaS) 产品，Vendo AWS Marketplace r Insights 都会收集基于证据的信息，用于多种安全控制。

**Topics**
+ [AWS Marketplace 供应商洞察中的仪表板](#dashboard-vendor-insights)
+ [查看 SaaS 产品的安全配置文件](#view-data)
+ [了解控制类别](#control-categories)

## AWS Marketplace 供应商洞察中的仪表板
<a name="dashboard-vendor-insights"></a>

仪表板显示 V AWS Marketplace endor Insights 收集的软件产品的合规性工件和安全控制信息。提供所有安全[控制类别](#control-category-sets)的循证信息，例如数据驻留或认证到期时间相关变更。合并后的控制面板提供合规性信息变更。 AWS Marketplace Vendor Insights 使您无需创建额外的调查问卷和使用风险评估软件。通过持续更新和验证的控制面板，您可以在采购后持续监控软件的安全控制。

## 查看 SaaS 产品的安全配置文件
<a name="view-data"></a>

AWS Marketplace 供应商见解可帮助您就卖家的软件做出决策。 AWS Marketplace Vendor Insights 从卖家的 10 个控制类别和多个控制措施的循证信息中提取数据。您可以在控制面板上查看 SaaS 产品的配置文件和摘要信息，也可以选择控制类别以详细了解所收集的数据。您必须订阅产品并获得访问权限，才能通过配置文件查看合规信息。

1. 登录 AWS 管理控制台 并打开[AWS Marketplace 控制台](https://console.aws.amazon.com/marketplace/)。

1. 选择 **Vendor Insights**。

1. 从 **Vendor Insights** 中选择产品。

1. 在**配置文件详细信息**页面上，选择**安全性与合规性**选项卡。
**注意**  
红色圆圈中的数字表示不合规控制措施的数量。

1. 对于**控制类别**，选择任何列出的类别下的文本以查看更多信息。
   + 选择第一个控制名称（**您是否有确保 policy/procedure 遵守适用的立法、监管和合同要求的？** )。
   + 阅读提供的信息。您还可以查看 AWS Artifact 第三方报告中的报告或查看审计员的例外情况。
   + 在上面的导航栏中选择产品名称，返回**产品详细信息**页面。

## 了解控制类别
<a name="control-categories"></a>

AWS Marketplace Vendor Insights 为您提供来自 10 个控制类别的多个控制措施的循证信息。 AWS Marketplace Vendor Insights 从三个来源收集信息：供应商生产账户、供应商自我评估以及供应商 ISO 27001 和 SOC 2 II 类报告。有关这些来源的更多信息，请参阅 [AWS Marketplace Vendor Insights](buyer-vendor-insights.md)。

以下列表提供了每个控制类别的描述：

访问权限管理  
标识、跟踪、管理和控制对系统或应用程序的访问。

应用程序安全性  
在设计、开发和测试应用程序时，验证应用程序是否已纳入安全功能。

审计、合规性和安全性策略  
评估组织对监管要求的遵守情况。

业务弹性和连续性  
评估组织在快速应对中断以保持业务连续性方面的能力。

数据安全性  
保护数据和资产。

最终用户设备安全性  
保护便携式最终用户设备及其连接的网络免受威胁和漏洞的侵害。

人力资源  
评估员工相关部门在员工招聘、支付工资和离职等流程中对敏感数据的处理情况。

基础结构安全性  
保护关键资产免受威胁和漏洞的侵害。

风险管理和事件响应  
评估被认为可以接受的风险水平以及为应对风险和攻击而采取的措施。

安全和配置策略  
评估保护组织资产的安全策略和安全配置。

### 控制类别集
<a name="control-category-sets"></a>

下表提供了每个类别的详细信息以及所收集的每个类别的值的相关信息。以下列表描述了表中每列中的信息类型：
+ **控制集** – 将控制措施分配给一个控制集，每个控制措施都反映了其类别的安全功能。每个类别都有多个控制集。
+ **控制措施名称** – 策略或程序的名称。“需要手动认证”是指需要对策略或程序进行书面确认或提供文件。
+ **控制措施说明** - 有关本策略或程序所需的问题、信息或文档。
+ **证据提取详细信息** - 为进一步获取此类别所需的数据，需要该控制措施的信息和上下文。
+ **样本值** - 举例说明该类别的合规值可能是什么样子，使其符合监管标准。

**Topics**
+ [控制类别集](#control-category-sets)
+ [访问管理控制措施](#access-management)
+ [应用程序安全控制措施](#application-security)
+ [审计与合规性控制措施](#audit-comp-controls)
+ [业务弹性控制措施](#business-resiliency)
+ [数据安全控制措施](#data-security-controls)
+ [最终用户设备安全控制措施](#end-user-device-security)
+ [人力资源控制措施](#human-resources)
+ [基础设施安全控制措施](#infrastructure-security)
+ [风险管理和事件响应控制措施](#risk-management-incident-response)
+ [安全和配置策略控制](#security-configuration-policy)

### 访问管理控制措施
<a name="access-management"></a>

访问管理控制措施可标识、跟踪、管理和控制对系统或应用程序的访问。此表列出了访问管理控制措施的值和说明。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/marketplace/latest/buyerguide/buyer-vendor-insights-view-profile.html)

### 应用程序安全控制措施
<a name="application-security"></a>

在设计、开发和测试应用程序时，应用程序安全控制措施会验证应用程序是否已纳入安全功能。此表列出了应用程序安全策略控制的值和描述。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/marketplace/latest/buyerguide/buyer-vendor-insights-view-profile.html)

### 审计与合规性控制措施
<a name="audit-comp-controls"></a>

审计与合规性控制措施评估组织对监管要求的遵守情况。此表列出了审计和合规性控制措施的值和说明。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/marketplace/latest/buyerguide/buyer-vendor-insights-view-profile.html)

### 业务弹性控制措施
<a name="business-resiliency"></a>

业务弹性控制措施评估组织在快速应对中断以保持业务连续性方面的能力。此表列出了业务弹性策略控制的值和描述。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/marketplace/latest/buyerguide/buyer-vendor-insights-view-profile.html)

### 数据安全控制措施
<a name="data-security-controls"></a>

数据安全控制措施保护数据和资产。此表列出了数据安全控制措施的值和描述。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/marketplace/latest/buyerguide/buyer-vendor-insights-view-profile.html)

### 最终用户设备安全控制措施
<a name="end-user-device-security"></a>

最终用户设备安全控制措施可保护便携式最终用户设备及其连接的网络免受威胁和漏洞的侵害。此表列出了最终用户设备安全策略控制的值和描述。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/marketplace/latest/buyerguide/buyer-vendor-insights-view-profile.html)

### 人力资源控制措施
<a name="human-resources"></a>

人力资源控制措施评估员工相关部门在员工招聘、支付工资和离职等流程中对敏感数据的处理情况。此表列出了人力资源策略控制的值和描述。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/marketplace/latest/buyerguide/buyer-vendor-insights-view-profile.html)

### 基础设施安全控制措施
<a name="infrastructure-security"></a>

基础设施安全控制措施可保护关键资产免受威胁和漏洞的侵害。此表列出了基础设施安全策略控制的值和描述。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/marketplace/latest/buyerguide/buyer-vendor-insights-view-profile.html)

### 风险管理和事件响应控制措施
<a name="risk-management-incident-response"></a>

风险管理和事件响应控制措施评估被认为可以接受的风险水平以及为应对风险和攻击而采取的措施。此表列出了风险管理和事件响应策略控制的值和描述。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/marketplace/latest/buyerguide/buyer-vendor-insights-view-profile.html)

### 安全和配置策略控制
<a name="security-configuration-policy"></a>

安全和配置策略控制评估保护组织资产的安全策略和安全配置。此表列出了安全和配置策略控制的值和描述。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/marketplace/latest/buyerguide/buyer-vendor-insights-view-profile.html)