Laporan penilaian

Laporan penilaian merangkum bukti terpilih yang dikumpulkan untuk penilaian. Ini juga berisi tautan ke file PDF dengan detail tentang setiap bukti. Konten spesifik, organisasi, dan konvensi penamaan laporan penilaian bergantung pada parameter yang Anda pilih saat membuat laporan.

Laporan penilaian membantu Anda memilih dan menyusun bukti yang relevan untuk audit Anda. Namun, mereka tidak menilai kepatuhan bukti itu sendiri. Sebagai gantinya, Audit Manager hanya memberikan rincian bukti yang dipilih sebagai output yang dapat Anda bagikan dengan auditor Anda.

Daftar Isi

• Memahami struktur folder laporan penilaian
• Menavigasi laporan penilaian
• Meninjau bagian dari laporan penilaian
  • Halaman sampul
  • Halaman Ikhtisar
    • Ringkasan laporan
    • Ringkasan penilaian
  • Halaman daftar isi
  • Halaman kontrol
    • Ringkasan kontrol
    • Bukti yang dikumpulkan
  • Halaman ringkasan bukti
  • Halaman detail bukti
• Memvalidasi laporan penilaian
• Sumber daya tambahan

Memahami struktur folder laporan penilaian

Saat Anda mengunduh laporan penilaian, Audit Manager akan membuat folder zip. Ini berisi laporan penilaian Anda dan file bukti terkait di subfolder bersarang.

Folder zip disusun sebagai berikut:

• Folder penilaian (contoh:myAssessmentName-a1b2c3d4) — Folder root.

  • Folder laporan penilaian (contoh:reportName-a1b2c3d4e5f6g7) - Subfolder tempat Anda dapat menemukan AssessmentReportSummary file.pdf, digest.txt, dan README.txt.

    • Bukti dengan folder kontrol (contoh:controlName-a1b2c3d4e5f6g) — Subfolder yang mengelompokkan file bukti dengan kontrol terkait.

      • Bukti oleh folder sumber data (contoh:CloudTrail,Security Hub) — Subfolder yang mengelompokkan file bukti berdasarkan tipe sumber data.

        • Bukti berdasarkan folder tanggal (contoh:2022-07-01) — Subfolder yang mengelompokkan file bukti berdasarkan tanggal pengumpulan bukti.

          • File bukti — File yang berisi rincian tentang potongan bukti individu.

Menavigasi laporan penilaian

Mulailah dengan membuka folder zip dan menavigasi satu tingkat ke bawah ke folder laporan penilaian. Di sini, Anda dapat menemukan laporan penilaian PDF dan file README.txt.

Anda dapat meninjau file README.txt untuk memahami struktur dan isi folder zip. Ini juga memberikan informasi referensi tentang konvensi penamaan untuk setiap file. Informasi ini dapat membantu Anda menavigasi langsung ke subfolder atau file bukti jika Anda mencari item tertentu.

Jika tidak, untuk menelusuri bukti dan menemukan informasi yang Anda butuhkan, buka PDF laporan penilaian. Ini memberi Anda gambaran tingkat tinggi dari laporan, dan ringkasan penilaian dari mana laporan itu dibuat.

Selanjutnya, gunakan daftar isi (TOC) untuk menjelajahi laporan. Anda dapat memilih kontrol hyperlink di TOC untuk melompat langsung ke ringkasan kontrol itu.

Ketika Anda siap untuk meninjau detail bukti untuk kontrol, Anda dapat melakukannya dengan memilih nama bukti hyperlink. Untuk bukti otomatis, hyperlink membuka file PDF baru dengan detail tentang bukti itu. Untuk bukti manual, hyperlink membawa Anda ke bucket S3 yang berisi bukti.

Tip

Navigasi breadcrumb di bagian atas setiap halaman menunjukkan lokasi Anda saat ini dalam laporan penilaian saat Anda menelusuri kontrol dan bukti. Pilih TOC hyperlink untuk menavigasi kembali ke TOC kapan saja.

Meninjau bagian dari laporan penilaian

Gunakan informasi berikut untuk mempelajari lebih lanjut tentang setiap bagian laporan penilaian.

catatan

Ketika Anda melihat tanda hubung (-) di sebelah salah satu atribut di bagian berikut, ini menunjukkan bahwa nilai atribut itu adalah null, atau nilai tidak ada.

• Halaman sampul

• Halaman Ikhtisar

• Halaman daftar isi

• Halaman kontrol

• Halaman ringkasan bukti

• Halaman detail bukti

Halaman sampul

Halaman sampul berisi nama laporan penilaian. Ini juga menampilkan tanggal dan waktu laporan dibuat, bersama dengan ID akun pengguna yang membuat laporan.

Halaman sampul diformat sebagai berikut. Audit Manager menggantikan placeholder dengan informasi yang relevan dengan laporan Anda.

Assessment report name
Report generated on MM/DD/YYYY at HH:MM:SS AM/PM UCT by AccountID

Halaman Ikhtisar

Halaman ikhtisar memiliki dua bagian: ringkasan laporan itu sendiri, dan ringkasan penilaian yang sedang dilaporkan.

Ringkasan laporan

Bagian ini merangkum laporan penilaian.

Nama	Penjelasan
Nama laporan	Nama laporan.
Deskripsi	Deskripsi yang dimasukkan oleh pemilik audit saat mereka membuat laporan.
Tanggal dihasilkan	Tanggal ketika laporan dibuat. Waktu diwakili dalam Coordinated Universal Time (UTC).
Total kontrol disertakan	Jumlah kontrol yang termasuk dalam laporan dan telah mengumpulkan bukti. Ini adalah bagian dari jumlah total kontrol dalam penilaian.
Akun AWS termasuk	Jumlah Akun AWS yang termasuk dalam laporan dan telah mengumpulkan bukti. Ini adalah bagian dari jumlah total Akun AWS dalam penilaian.
Seleksi laporan penilaian	Jumlah item bukti yang dipilih untuk dimasukkan dalam laporan. Ini termasuk jumlah total masalah pemeriksaan kepatuhan yang ditemukan dalam laporan.

Ringkasan penilaian

Bagian ini merangkum penilaian yang terkait dengan laporan tersebut.

Nama	Penjelasan
Nama penilaian	Nama penilaian dari mana laporan itu dihasilkan.
Status	Status penilaian pada saat laporan dibuat.
Wilayah Asessnent	Di Wilayah AWS mana penilaian dibuat.
Akun AWS dalam ruang lingkup	Daftar Akun AWS yang ada dalam lingkup penilaian.
Nama kerangka	Nama kerangka kerja tempat penilaian dibuat.
Pemilik audit	Pengguna atau peran pemilik audit penilaian.
Terakhir diperbarui	Tanggal penilaian terakhir diperbarui. Waktu diwakili dalam UTC.

Halaman daftar isi

TOC menampilkan isi lengkap laporan penilaian. Isi dikelompokkan dan diatur berdasarkan set kontrol yang termasuk dalam penilaian. Kontrol terdaftar di bawah set kontrol masing-masing.

Pilih item apa pun dalam daftar isi untuk menavigasi langsung ke bagian laporan tersebut. Anda dapat memilih set kontrol atau langsung ke kontrol.

Halaman kontrol

Halaman kontrol memiliki dua bagian: ringkasan kontrol itu sendiri, dan ringkasan bukti yang dikumpulkan untuk kontrol.

Ringkasan kontrol

Bagian ini mencakup informasi berikut.

Nama	Penjelasan
Nama kontrol	Nama kontrol.
Deskripsi	Deskripsi kontrol.
Set kontrol	Nama set kontrol yang menjadi milik kontrol.
Menguji informasi	Prosedur pengujian yang direkomendasikan untuk kontrol ini.
Rencana aksi	Tindakan yang disarankan untuk dilakukan jika kontrol tidak terpenuhi.
Seleksi laporan penilaian	Jumlah item bukti yang terkait dengan kontrol ini yang dimasukkan dalam laporan penilaian. Ini termasuk jumlah masalah pemeriksaan kepatuhan yang ditemukan untuk bukti kontrol ini.

Bukti yang dikumpulkan

Bagian ini menunjukkan bukti yang dikumpulkan untuk kontrol. Bukti dikelompokkan berdasarkan folder, yang diatur dan diberi nama berdasarkan tanggal pengumpulan bukti. Di sebelah setiap nama folder bukti adalah jumlah total masalah pemeriksaan kepatuhan untuk folder itu.

Di bawah setiap nama folder bukti adalah daftar nama bukti hyperlink.

• Nama bukti otomatis dimulai dengan stempel waktu pengumpulan bukti, diikuti dengan kode layanan, nama acara (hingga 20 karakter), ID akun, dan ID unik 12 karakter unik.

  Misalnya: 21-30-24_IAM_CreateUser_111122223333_a1b2c3d4e5f6

  Untuk bukti otomatis, nama hyperlink membuka file PDF baru dengan ringkasan dan detail lebih lanjut.

• Nama bukti manual dimulai dengan stempel waktu unggahan bukti, diikuti dengan manual label, ID akun, dan ID unik 12 karakter. Mereka juga menyertakan 10 karakter pertama dari nama file, dan ekstensi file (hingga 10 karakter).

  Misalnya: 00-00-00_manual_111122223333_a1b2c3d4e5f6_myimage.png

  Untuk bukti manual, nama hyperlink membawa Anda ke ember S3 yang berisi bukti itu.

Di sebelah setiap nama bukti adalah hasil pemeriksaan kepatuhan untuk item tersebut.

• Untuk bukti otomatis yang dikumpulkan dari AWS Security Hub atau AWS Config, hasil Compliant, Non-compliant, atau Inconclusive dilaporkan.

• Untuk bukti otomatis yang dikumpulkan dari AWS CloudTrail dan panggilan API, dan untuk semua bukti manual, hasil yang tidak meyakinkan ditampilkan.

Halaman ringkasan bukti

Halaman ringkasan bukti mencakup informasi berikut.

Nama	Deskripsi
ID	Pengidentifikasi unik untuk bukti.
Tanggal dikumpulkan	Tanggal ketika bukti dibuat atau diunggah.
Deskripsi	Deskripsi bukti, termasuk ID akun dan tipe sumber data.
Nama penilaian	Nama penilaian dari mana laporan itu dihasilkan.
Nama kerangka	Nama kerangka kerja tempat penilaian dibuat.
Nama kontrol	Nama kontrol yang didukung bukti.
Kontrol nama set	Nama set kontrol yang dimiliki oleh kontrol terkait.
Deskripsi kontrol	Deskripsi kontrol yang didukung bukti.
Menguji informasi	Prosedur pengujian yang direkomendasikan untuk kontrol.
Rencana aksi	Tindakan yang disarankan untuk dilakukan jika kontrol tidak terpenuhi.
Wilayah AWS	Nama daerah yang terkait dengan bukti.
ID IAM	ARN dari pengguna atau peran yang terkait dengan bukti.
Akun AWS	Akun AWS ID yang terkait dengan bukti.
AWS layanan	Nama AWS layanan yang terkait dengan bukti.
Nama acara	Nama peristiwa bukti.
Waktu acara	Waktu ketika peristiwa bukti terjadi.
Sumber data	Dari mana bukti dikumpulkan atau diunggah. Jenis sumber data dapat berupa AWS Config, Security Hub, panggilan AWS API CloudTrail, atau Manual.
Bukti berdasarkan jenis	Kategori bukti Bukti pemeriksaan kepatuhan dikumpulkan dari AWS Config atau Security Hub. Bukti aktivitas pengguna dikumpulkan dari CloudTrail log. Bukti data konfigurasi dikumpulkan dari snapshot lainnya AWS layanan. Bukti manual adalah bukti bahwa Anda mengunggah secara manual.
Status pemeriksaan kepatuhan	Status evaluasi untuk bukti yang termasuk dalam kategori pemeriksaan kepatuhan. Untuk bukti otomatis yang dikumpulkan dari AWS Security Hub atau AWS Config, hasil Compliant, Non-compliant, atau Inconclusive dilaporkan. Untuk bukti otomatis yang dikumpulkan dari AWS CloudTrail dan panggilan API, dan untuk semua bukti manual, hasil yang tidak meyakinkan ditampilkan.

Halaman detail bukti

Halaman detail bukti menunjukkan nama bukti dan tabel detail bukti. Tabel ini memberikan rincian rinci dari setiap elemen bukti sehingga Anda dapat memahami data dan memvalidasi bahwa itu benar. Bergantung pada sumber data bukti, isi halaman detail bukti bervariasi.

Tip

Navigasi breadcrumb di bagian atas setiap halaman menunjukkan lokasi Anda saat ini saat Anda menelusuri detail bukti. Pilih Ringkasan bukti untuk menavigasi kembali ke ringkasan bukti kapan saja.

Memvalidasi laporan penilaian

Saat Anda membuat laporan penilaian, Audit Manager menghasilkan checksum file laporan yang disebutdigest.txt. Anda dapat menggunakan file ini untuk memvalidasi integritas laporan dan memastikan bahwa tidak ada bukti yang diubah setelah laporan dibuat. Ini berisi objek JSON dengan tanda tangan dan hash yang tidak valid jika ada bagian dari arsip laporan diubah.

Untuk memvalidasi integritas laporan penilaian, gunakan ValidateAssessmentReportIntegrityAPI yang disediakan oleh Audit Manager.

Sumber daya tambahan

Untuk menemukan jawaban atas pertanyaan dan masalah umum, lihat Memecahkan masalah laporan penilaian di bagian Pemecahan Masalah di panduan ini.