《数字运营韧性法案》

《数字运营韧性法案》（DORA）是一个全面的泛欧盟框架，旨在增强金融部门的运营和网络韧性。该法案要求受监管实体（RE）在不限制云服务的采用的情况下，在信息通信技术（ICT）风险管理、事件报告、韧性测试及第三方风险监管等领域达到统一的数字运营韧性水平。

AWS 已发布《DORA 金融服务附录》（DORA FSA），作为现有金融服务附录的补充，以体现 DORA 的合同要求。符合条件的客户可联系其 AWS 客户经理申请该附录。

在 AWS，我们致力于帮助金融服务客户应对这些合规要求，并改善其整体 ICT 风险管理状况。AWS Well-Architected Framework 是受监管实体构建稳健、安全且高效的云基础设施的宝贵资源。这一综合框架基于六大核心支柱：运营卓越、安全、可靠性、性能效率、成本优化和可持续性。通过遵循 AWS Well-Architected Framework 中的指导建议，受监管实体不仅能确保其云架构符合监管要求，还能针对峰值性能和韧性进行优化。

《AWS 数字运营韧性法案（DORA）用户指南》描述了 AWS 与其客户在使用 AWS 服务时各自承担的运营韧性管理职责，介绍了 AWS 责任共担模式、合规框架、AWS 服务与功能，以及客户可用于评估自身是否符合 DORA 1 级特定要求的框架和措施。

《AWS 数字运营韧性法案（DORA）一级业务手册》是支持受 DORA 监管的 AWS 客户的扩展资源。该业务手册提供的资源可帮助 AWS 客户通过责任共担模式、AWS 合规计划以及相关的 AWS 思想领导力内容和白皮书，以具备运营韧性的方式使用 AWS 服务。本业务手册是《AWS 数字运营韧性法案用户指南》的补充，可通过 AWS Artifact 获取。

《为 DORA 构建和运行金融服务工作负载的 AWS 指南（2 级）》已上线，AWS 客户可从 AWS Artifact 下载。该指南涵盖以下主题：

• 客户与 AWS 在 AWS 平台上分别承担的运营韧性与安全管理职责；
• 本指南所涉及的 DORA 二级标准的概述；
• 详细的指导建议与资源，可帮助客户构建和运营符合 DORA 二级要求的金融服务工作负载；
• AWS 合规计划、服务和资源，可帮助受监管实体评估和证明其使用 AWS 时的韧性与安全性。

随着监管环境的持续演变，未来我们计划根据 AWS 客户的需求，在 DORA 二级标准最终确定后发布新版本，扩展二级指南的覆盖范围，以涵盖更多标准。

如需了解更多云相关的合规监管信息，请访问 AWS 合规中心。您也可以联系 AWS 客户经理获取所需资源，包括 AWS 公开文档中的指导内容，以及与 AWS 金融服务合规团队、AWS 合作伙伴网络、AWS 解决方案架构师、专业服务团队和培训讲师的对接支持。

客户可使用 AWS 服务（如 AWS 故障注入服务、AWS Audit Manager、AWS Security Hub、AWS 韧性监测中心和 AWS Trusted Advisor）来促进运营风险管理活动，同时借助 AWS Health、AWS 事件检测及响应服务以及 AWS 安全事件响应等服务来满足 DORA 的事件报告要求。

为了验证 AWS 是否指定了特定的政策和程序，以及是否符合各类安全标准与法规，AWS 客户可在 AWS Artifact 中下载 AWS 的第三方审计报告（如 AWS ISO、SOC 和 PCI 报告）及相关文档。AWS 客户还可以参考 AWS 合规计划，了解 AWS 为维护云安全与合规所实施的控制措施。在 AWS 合规计划门户中，AWS 所遵循的各类 IT 标准按认证与证明、法律法规与隐私、对齐框架进行分类。合规性认证和鉴证由第三方独立审计机构评测，评测结果为证书、审计报告或合规性鉴证。

AWS 安全保障服务通过手把手的协作模式，帮助客户将合规策略与 DORA 要求对齐，重点关注客户在共享责任模型下的职责。客户可借助 AWS 安全保障服务应对监管复杂性并有效利用 AWS 服务。