SEC01-BP03 Identifikasikan dan validasikan tujuan kontrol
Berdasarkan persyaratan kepatuhan dan risiko yang diidentifikasi dari model ancaman Anda, dapatkan dan validasikan kontrol dan tujuan kontrol yang perlu Anda terapkan pada beban kerja Anda. Validasi berkelanjutan terhadap kontrol dan tujuan kontrol dapat membantu Anda mengukur efektivitas mitigasi risiko.
Hasil yang diinginkan: Tujuan kontrol keamanan bisnis Anda ditentukan dengan jelas dan selaras dengan persyaratan kepatuhan Anda. Kontrol diimplementasikan dan diberlakukan melalui otomatisasi dan kebijakan serta terus dievaluasi untuk mengetahui efektivitasnya dalam mencapai tujuan Anda. Bukti efektivitas pada suatu titik waktu dan selama periode waktu tertentu dapat mudah dilaporkan kepada auditor.
Antipola umum:
-
Persyaratan peraturan, ekspektasi pasar, dan standar industri untuk keamanan yang dapat dijamin belum dipahami dengan baik untuk bisnis Anda
-
Kerangka kerja keamanan siber dan tujuan kontrol Anda tidak selaras dengan persyaratan bisnis Anda
-
Implementasi kontrol tidak sepenuhnya selaras dengan tujuan kontrol Anda secara terukur
-
Anda tidak menggunakan otomatisasi untuk melaporkan efektivitas kontrol Anda
Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Tinggi
Panduan implementasi
Ada banyak kerangka kerja keamanan siber umum yang bisa menjadi dasar untuk tujuan kontrol keamanan Anda. Pertimbangkan persyaratan peraturan, ekspektasi pasar, dan standar industri untuk bisnis Anda guna menentukan kerangka kerja mana yang paling memenuhi kebutuhan Anda. Contohnya termasuk AICPA SOC 2
Untuk tujuan kontrol yang Anda identifikasi, pahami cara layanan AWS yang Anda gunakan membantu Anda mencapai tujuan tersebut. Gunakan AWS Artifact
Saat Anda menentukan kontrol yang memenuhi tujuan Anda, lakukan kodifikasi pemberlakuan menggunakan kontrol preventif, dan otomatiskan mitigasi menggunakan kontrol deteksi. Bantu untuk mencegah konfigurasi dan tindakan sumber daya yang tidak mematuhi persyaratan di seluruh AWS Organizations menggunakan kebijakan kontrol layanan (SCP). Implementasikan aturan di AWS Config
Gunakan Paket Partner APN
Langkah implementasi
-
Evaluasi kerangka kerja keamanan siber umum, dan selaraskan tujuan kontrol Anda dengan kerangka kerja yang dipilih.
-
Dapatkan dokumentasi yang relevan tentang panduan dan tanggung jawab untuk kerangka kerja Anda menggunakan AWS Artifact. Pahami bagian kepatuhan mana yang termasuk dalam porsi AWS pada model tanggung jawab bersama dan bagian mana yang merupakan tanggung jawab Anda.
-
Gunakan SCP, kebijakan sumber daya, kebijakan kepercayaan peran, dan pagar pembatas lainnya untuk mencegah konfigurasi dan tindakan sumber daya yang tidak mematuhi persyaratan.
-
Evaluasi penerapan standar Security Hub dan paket kesesuaian AWS Config yang selaras dengan tujuan kontrol Anda.
Sumber daya
Praktik terbaik terkait:
Dokumen terkait:
Alat terkait: