本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 AWS Marketplace Vendor Insights 檢視產品的安全性描述檔
<a name="buyer-vendor-insights-view-profile"></a>

AWS Marketplace Vendor Insights 會從賣方收集安全資料。產品的安全性描述檔會顯示產品安全性、彈性、合規性和評估所需其他因素的更新資訊。此資訊可協助您取得持續符合業界標準的受信任軟體，以支援像您這樣的買方。對於其評估的每個軟體即服務 (SaaS) 產品， AWS Marketplace Vendor Insights 會收集多個安全控制的證據型資訊。

**Topics**
+ [AWS Marketplace Vendor Insights 中的儀表板](#dashboard-vendor-insights)
+ [檢視 SaaS 產品的安全性描述檔](#view-data)
+ [了解控制類別](#control-categories)

## AWS Marketplace Vendor Insights 中的儀表板
<a name="dashboard-vendor-insights"></a>

儀表板會顯示 AWS Marketplace Vendor Insights 所收集軟體產品的合規成品和安全控制資訊。提供所有安全[控制類別](#control-category-sets)的證據型資訊，例如資料落地變更或憑證過期。合併儀表板提供合規資訊變更。 AWS Marketplace Vendor Insights 不需要您建立其他問卷並使用風險評估軟體。透過持續更新和驗證的儀表板，您可以在採購後持續監控軟體的安全控制。

## 檢視 SaaS 產品的安全性描述檔
<a name="view-data"></a>

AWS Marketplace Vendor Insights 可協助您決定賣方的軟體。 AWS Marketplace Vendor Insights 會從賣方的證據型資訊擷取資料，涵蓋 10 個控制項類別和多個控制項。您可以在儀表板上檢視 SaaS 產品的設定檔和摘要資訊，或選取控制類別以進一步了解收集的資料。您必須訂閱產品，並授予透過設定檔檢視合規資訊的存取權。

1. 登入 AWS 管理主控台 並開啟 [AWS Marketplace 主控台](https://console.aws.amazon.com/marketplace/)。

1. 選擇**廠商洞見**。

1. 從 **Vendor Insights** 中，選擇產品。

1. 在**設定檔詳細資訊**頁面上，選擇**安全與合規**索引標籤。
**注意**  
紅色圓圈中的數字表示不合規控制項的數量。

1. 對於**控制項類別**，請選擇任何列出的類別下的文字，以檢視詳細資訊。
   + 選擇第一個控制名稱 **（您是否有政策/程序來確保符合適用的法規、法規和合約要求？**)。
   + 閱讀顯示的資訊。您也可以從 AWS Artifact 第三方報告檢視報告，或從稽核人員檢視例外狀況。
   + 在上方導覽中選取產品名稱，以返回**產品詳細資訊**頁面。

## 了解控制類別
<a name="control-categories"></a>

AWS Marketplace Vendor Insights 為您提供來自 10 個控制類別內多個控制項以證據為基礎的資訊。 AWS Marketplace Vendor Insights 會從三種來源收集資訊：廠商生產帳戶、廠商自我評估，以及廠商 ISO 27001 和 SOC 2 Type II 報告。如需這些來源的詳細資訊，請參閱 [AWS Marketplace 廠商洞見](buyer-vendor-insights.md)。

下列清單提供每個控制項類別的描述：

存取管理  
識別、追蹤、管理和控制對系統或應用程式的存取。

應用程式安全  
在設計、開發和測試安全性時，確認安全性是否已納入應用程式。

稽核、合規和安全政策  
評估組織對法規要求的遵守情況。

業務彈性和持續性  
評估組織快速適應中斷的能力，同時維持業務連續性。

資料安全  
保護資料和資產。

最終使用者裝置安全性  
保護可攜式最終使用者裝置及其連線的網路免於受到威脅和漏洞。

人力資源  
在招聘、付款和終止員工等程序期間，評估員工相關部門處理敏感資料的情況。

基礎設施安全性  
保護關鍵資產免受威脅和漏洞的威脅。

風險管理和事件回應  
評估視為可接受的風險層級，以及因應風險和攻擊所採取的步驟。

安全性和組態政策  
評估保護組織資產的安全政策和安全組態。

### 控制類別集
<a name="control-category-sets"></a>

下表提供每個類別的詳細資訊，以及每個收集類別值的相關資訊。下列清單說明資料表每一欄內的資訊類型：
+ **控制集** – 控制項會指派給控制集，每個控制項都會反映其類別的安全函數。每個類別都有多個控制集。
+ **控制名稱** – 政策或程序的名稱。「需要手動證明」表示需要政策或程序的書面確認或文件。
+ **控制描述** – 此政策或程序所需的問題、資訊或文件。
+ **證據擷取詳細資訊** – 控制所需的資訊和內容，以進一步取得此類別所需的資料。
+ **範例值** – 提供此類別合規值可能看起來像什麼的指導範例，以便符合法規標準。

**Topics**
+ [控制類別集](#control-category-sets)
+ [存取管理控制項](#access-management)
+ [應用程式安全控制](#application-security)
+ [稽核與合規控制](#audit-comp-controls)
+ [業務彈性控制](#business-resiliency)
+ [資料安全控制](#data-security-controls)
+ [最終使用者裝置安全控制](#end-user-device-security)
+ [人力資源控制](#human-resources)
+ [基礎設施安全控制](#infrastructure-security)
+ [風險管理和事件回應控制](#risk-management-incident-response)
+ [安全性和組態政策控制](#security-configuration-policy)

### 存取管理控制項
<a name="access-management"></a>

存取控制會識別、追蹤、管理和控制對系統或應用程式的存取。此資料表列出存取控制控制項的值和描述。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/marketplace/latest/buyerguide/buyer-vendor-insights-view-profile.html)

### 應用程式安全控制
<a name="application-security"></a>

應用程式安全控制會在設計、開發和測試應用程式時，驗證安全是否已納入應用程式。此資料表列出應用程式安全政策控制項的值和描述。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/marketplace/latest/buyerguide/buyer-vendor-insights-view-profile.html)

### 稽核與合規控制
<a name="audit-comp-controls"></a>

稽核和合規控制會評估組織對法規要求的遵守情況。此資料表列出稽核和合規控制的值和描述。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/marketplace/latest/buyerguide/buyer-vendor-insights-view-profile.html)

### 業務彈性控制
<a name="business-resiliency"></a>

業務彈性控制會評估組織快速適應中斷的能力，同時維持業務連續性。此資料表列出業務彈性政策控制項的值和描述。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/marketplace/latest/buyerguide/buyer-vendor-insights-view-profile.html)

### 資料安全控制
<a name="data-security-controls"></a>

資料安全控制可保護資料和資產。此資料表列出資料安全控制項的值和描述。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/marketplace/latest/buyerguide/buyer-vendor-insights-view-profile.html)

### 最終使用者裝置安全控制
<a name="end-user-device-security"></a>

最終使用者裝置安全控制可保護可攜式最終使用者裝置及其連線的網路，免於遭受威脅和漏洞。此資料表列出最終使用者裝置安全政策控制項的值和描述。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/marketplace/latest/buyerguide/buyer-vendor-insights-view-profile.html)

### 人力資源控制
<a name="human-resources"></a>

人力資源控制會評估員工相關部門，以便在招聘、付款和終止員工等程序中處理敏感資料。此資料表列出人力資源政策控制項的值和描述。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/marketplace/latest/buyerguide/buyer-vendor-insights-view-profile.html)

### 基礎設施安全控制
<a name="infrastructure-security"></a>

基礎設施安全控制可保護關鍵資產免受威脅和漏洞的威脅。此資料表列出基礎設施安全政策控制項的值和描述。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/marketplace/latest/buyerguide/buyer-vendor-insights-view-profile.html)

### 風險管理和事件回應控制
<a name="risk-management-incident-response"></a>

風險管理和事件回應控制會評估被視為可接受的風險層級，以及因應風險和攻擊所採取的步驟。此資料表列出風險管理和事件回應政策控制的值和描述。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/marketplace/latest/buyerguide/buyer-vendor-insights-view-profile.html)

### 安全性和組態政策控制
<a name="security-configuration-policy"></a>

安全與組態政策控制會評估保護組織資產的安全政策和安全組態。此資料表列出安全和組態政策控制項的值和描述。

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/marketplace/latest/buyerguide/buyer-vendor-insights-view-profile.html)