AWS在整个组织中整合了风险和合规计划。该计划旨在管理服务设计和部署的所有阶段的风险,并持续改进和重新评估组织的风险相关活动。AWS综合风险和合规计划的组成部分将在以下章节中进行更详细的讨论。
AWS业务风险管理
AWS有一个业务风险管理(BRM)计划,该计划与AWS业务部门合作,为AWS董事会和AWS高级领导层提供AWS关键风险的整体视图。BRM计划证明了对AWS职能的独立风险监督。具体而言,BRM计划执行以下操作:
- 对关键AWS功能领域进行风险评估和风险监控
- 识别并推动风险补救
- 维护已知风险登记册
为了推动风险补救,BRM计划报告其努力的结果,并在必要时上报给整个业务部门的董事和副总裁,以便为业务决策提供信息。
运营和业务管理
AWS采用每周、每月和季度会议和报告相结合的方式,以确保风险管理流程所有组成部分的风险沟通。此外,AWS还实施了升级过程,以便管理层了解整个组织的高优先级风险。这些努力加在一起,有助于确保风险管理与AWS业务模型的复杂性保持一致。
此外,通过级联责任结构,副总裁(企业主)负责监督其业务。为此,AWS每周召开会议,审查运营指标,并在影响业务之前确定关键趋势和风险。
高管和高层领导在建立AWS基调和核心价值观方面发挥着重要作用。为每位员工提供公司的《商业行为和道德规范》,员工完成定期培训。进行合规审计,以便员工了解并遵守既定政策。
AWS组织结构为规划、执行和控制业务运营提供了一个框架。组织结构包括提供充足的人员配置、运营效率和职责分工的角色和责任。管理层还为关键人员建立了适当的报告渠道。公司的雇佣验证流程包括教育验证、之前的雇佣,以及在某些情况下,法律法规允许的对员工的背景调查,这些背景调查与员工的职位和AWS设施的使用水平相称。公司遵循结构化的入职流程,让新员工熟悉亚马逊工具、流程、系统、政策和程序。
控制环境和自动化
AWS将安全控制作为管理整个组织风险的基本要素。AWS控制环境由标准、流程和结构组成,为在AWS中实施最低安全要求集提供了基础。
虽然作为AWS控制环境一部分的流程和标准是独立的,但AWS也利用了亚马逊整体控制环境的各个方面。杠杆工具包括:
- 亚马逊所有业务使用的工具,例如管理职责分离的工具
- 亚马逊范围内的某些业务职能,如法律、人力资源和财务
在AWS利用亚马逊整体控制环境的情况下,管理这些机制的标准和流程是专门为AWS业务量身定制的。这意味着在AWS控制环境中对其使用和应用的期望可能不同于在整个亚马逊环境中对它们的使用和应用。AWS控制环境最终将作为安全交付AWS服务产品的基础。
控制自动化是AWS减少人为干预某些循环过程(包括AWS控制环境)的一种方式。它是有效实施信息安全控制和相关风险管理的关键。控制自动化旨在主动最小化由于执行重复过程的人的缺陷性质而可能出现的过程执行中的潜在不一致。通过控制自动化,消除了潜在的工艺偏差。这提高了控制将按设计应用的保证级别。
AWS安全职能部门的工程团队负责对AWS控制环境进行工程设计,以尽可能支持提高控制自动化水平。AWS的自动化控制示例包括:
- 治理和监督:政策版本化和批准
- 人事管理:自动化培训交付,快速解雇员工
- 开发和配置管理:代码部署管道、代码扫描、代码备份、集成部署测试
- 身份和访问管理:自动分离职责、访问审查、权限管理
- 监视和日志记录:自动收集和关联日志,发出警报
- 物理安全:与AWS数据中心相关的自动化流程,包括硬件管理、数据中心安全培训、访问警报和物理访问管理
- 扫描和修补程序管理:自动漏洞扫描、修补程序管理和部署
控制评估和持续监控
AWS在服务部署之前和之后实施各种活动,以进一步降低AWS环境中的风险。这些活动在每个AWS服务的设计和开发过程中集成了安全和合规要求,然后验证服务投入生产(启动)后是否安全运行。
风险管理和合规活动包括两项上市前活动和两项上市后活动。上市前活动包括:
- AWS应用程序安全风险管理审查,以验证安全风险已被识别和缓解
- 体系结构就绪性审查,以帮助客户确保与法规遵从性制度保持一致
在部署时,服务将根据详细的安全要求进行严格评估,以满足AWS的安全高标准。发布后活动包括:
- AWS应用安全持续审查,以帮助确保维护服务安全态势
- 正在进行的漏洞管理扫描
这些控制评估和持续监控使受监管客户能够自信地为AWS服务构建合规解决方案。有关各种合规计划范围内的服务列表,请参阅AWS服务范围网页。
AWS认证、计划、报告和第三方认证
AWS定期进行独立的第三方认证审核,以确保控制活动按预期运行。更具体地说,AWS根据不同地区和行业的各种全球和区域安全框架进行审计。AWS参与了50多个不同的审计项目。
这些审计结果由评估机构记录,并通过AWS Artifact提供给所有AWS客户。AWS Artifact是一个免费自助门户,可按需访问AWS合规报告。新报告发布后,将在AWS Artifact中提供,允许客户持续监控AWS的安全性和合规性,并立即访问新报告。
根据国家或行业的当地监管或合同要求,AWS还可以直接与客户或政府审计师进行审计。这些审计提供了对AWS控制环境的额外监督,以确保客户有工具帮助自己使用AWS服务以自信、合规和基于风险的方式进行操作。
有关AWS认证计划、报告和第三方认证的更多详细信息,请访问AWS合规计划网页。您还可以访问AWS Services in Scope网页,了解服务特定信息。
云安全联盟
AWS参加了自愿的云安全联盟(CSA)安全、信任与保障注册中心(STAR)自我评估,以记录其遵守CSA发布的最佳实践。CSA是“致力于定义和提高最佳实践意识以帮助确保安全云计算环境的世界领先组织”。CSA共识评估倡议问卷(CAIQ)提供了CSA预期云客户和/或云审计人员会向云提供商提出的一组问题。它提供了一系列安全、控制和流程问题,然后可以用于广泛的工作,包括云提供商选择和安全评估。
客户可以使用两种资源来记录AWS与CSA CAIQ的一致性。第一个是CSA CAIQ白皮书,第二个是到我们的SOC-2控件的更详细的控件映射,可通过AWS Artifact获得。有关AWS参与CSA CAIQ的更多信息,请参阅AWS CSA网站。
- 登录 发表评论