Program risiko dan kepatuhan AWS - Amazon Web Services: Risiko dan Kepatuhan
Manajemen risiko bisnis AWSManajemen operasional dan bisnis Kontrol lingkungan dan otomatisasiMengontrol penilaian dan pemantauan berkelanjutan AWS Certification, Program, Laporan, dan Atestasi Pihak KetigaCloud Security Alliance (CSA)

Program risiko dan kepatuhan AWS

AWS telah mengintegrasikan program risiko dan kepatuhan di seluruh organisasi. Program ini bertujuan untuk mengelola risiko dalam semua tahapan desain dan deployment layanan dan terus meningkatkan dan menilai kembali kegiatan terkait risiko organisasi. Komponen program risiko dan kepatuhan terintegrasi AWS dibahas secara lebih rinci di bagian berikut.

Manajemen risiko bisnis AWS

AWS memiliki program manajemen risiko bisnis (BRM) yang bermitra dengan unit bisnis AWS untuk memberikan Dewan Direksi AWS dan kepemimpinan senior AWS pandangan holistik tentang risiko utama di AWS. Program BRM menunjukkan pengawasan risiko independen atas fungsi AWS. Secara khusus, program BRM melakukan hal berikut:

  • Melakukan penilaian risiko dan pemantauan risiko pada area fungsional AWS utama

  • Mengidentifikasi dan mendorong remediasi risiko

  • Mempertahankan daftar risiko yang diketahui

Untuk mendorong perbaikan risiko, program BRM melaporkan hasil upayanya, dan meningkat jika diperlukan, kepada direksi dan wakil presiden di seluruh bisnis untuk menginformasikan pengambilan keputusan bisnis.

Manajemen operasional dan bisnis

AWS menggunakan kombinasi pertemuan dan laporan mingguan, bulanan, dan triwulanan untuk, antara lain, memastikan komunikasi risiko di semua komponen proses manajemen risiko. Selain itu, AWS menerapkan proses eskalasi untuk memberikan visibilitas manajemen ke dalam risiko prioritas tinggi di seluruh organisasi. Upaya ini, yang dilakukan bersama, membantu memastikan bahwa risiko dikelola secara konsisten dengan kompleksitas model bisnis AWS.

Selain itu, melalui struktur tanggung jawab yang mengalir, wakil presiden (pemilik bisnis) bertanggung jawab atas pengawasan bisnis mereka. Untuk tujuan ini, AWS melakukan rapat mingguan untuk meninjau metrik operasional dan mengidentifikasi tren dan risiko utama sebelum memengaruhi bisnis.

Kepemimpinan eksekutif dan senior memainkan peran penting dalam menetapkan sikap dan nilai-nilai inti AWS. Setiap karyawan diberikan Kode Perilaku dan Etika Bisnis perusahaan, dan karyawan menyelesaikan pelatihan berkala. Audit kepatuhan dilakukan agar karyawan memahami dan mengikuti kebijakan yang ditetapkan.

Struktur organisasi AWS menyediakan kerangka kerja untuk merencanakan, mengeksekusi, dan mengendalikan operasi bisnis. Struktur organisasi mencakup peran dan tanggung jawab untuk menyediakan kepegawaian yang memadai, efisiensi operasi, dan pemisahan tugas. Manajemen juga telah menetapkan jalur pelaporan yang sesuai untuk personil kunci. Proses verifikasi perekrutan perusahaan mencakup validasi pendidikan, pekerjaan sebelumnya, dan, dalam beberapa kasus, pemeriksaan latar belakang sebagaimana diizinkan oleh hukum dan peraturan bagi karyawan yang sepadan dengan posisi karyawan dan tingkat akses ke fasilitas AWS. Perusahaan mengikuti proses on-boarding terstruktur untuk membiasakan karyawan baru dengan alat, proses, sistem, kebijakan, dan prosedur Amazon.

Kontrol lingkungan dan otomatisasi

AWS menerapkan kontrol keamanan sebagai elemen dasar untuk mengelola risiko di seluruh organisasi. Lingkungan kontrol AWS terdiri dari standar, proses, dan struktur yang memberikan dasar untuk menerapkan seperangkat persyaratan keamanan minimum di AWS.

Sementara proses dan standar yang disertakan sebagai bagian dari lingkungan kontrol AWS berdiri sendiri, AWS juga memanfaatkan aspek lingkungan kontrol Amazon secara keseluruhan. Alat yang dimanfaatkan meliputi:

  • Alat yang digunakan di semua bisnis Amazon, seperti alat yang mengelola pemisahan tugas

  • Beberapa fungsi bisnis di seluruh Amazon, seperti hukum, sumber daya manusia, dan keuangan

Dalam kasus di mana AWS memanfaatkan lingkungan kontrol Amazon secara keseluruhan, standar dan proses yang mengatur mekanisme ini disesuaikan khusus untuk bisnis AWS. Ini berarti bahwa harapan untuk penggunaan dan aplikasinya dalam lingkungan kontrol AWS mungkin berbeda dari harapan untuk penggunaan dan aplikasinya dalam lingkungan Amazon secara keseluruhan. Lingkungan kontrol AWS pada akhirnya bertindak sebagai dasar untuk pengiriman aman penawaran layanan AWS.

Otomatisasi kontrol adalah cara bagi AWS untuk mengurangi intervensi manusia dalam proses berulang tertentu yang terdiri dari lingkungan kontrol AWS. Ini adalah kunci untuk implementasi kontrol keamanan informasi yang efektif dan manajemen risiko terkait. Otomatisasi kontrol berusaha untuk secara proaktif meminimalkan potensi inkonsistensi dalam pelaksanaan proses yang mungkin timbul karena sifat cacat manusia yang melakukan proses berulang. Melalui otomatisasi kontrol, penyimpangan proses potensial dieliminasi. Hal ini memberikan peningkatan tingkat jaminan bahwa kontrol akan diterapkan seperti yang dirancang.

Tim teknik di AWS di seluruh fungsi keamanan bertanggung jawab untuk merekayasa lingkungan kontrol AWS untuk mendukung peningkatan tingkat otomatisasi kontrol sedapat mungkin. Contoh kontrol otomatis di AWS meliputi:

  • Tata Kelola dan Pengawasan: Versi kebijakan dan persetujuan

  • Manajemen Personalia: Pengiriman pelatihan otomatis, penghentian karyawan yang cepat

  • Manajemen Pengembangan dan Konfigurasi: Saluran pipa deployment kode, pemindaian kode, pencadangan kode, pengujian deployment terpadu

  • Manajemen Identitas dan Akses: Pemisahan tugas otomatis, ulasan akses, manajemen izin

  • Monitoring dan Logging: Koleksi log otomatis dan korelasi, mengkhawatirkan

  • Keamanan Fisik: Proses otomatis yang terkait dengan pusat data AWS, termasuk manajemen perangkat keras, pelatihan keamanan pusat data, mengkhawatirkan akses, dan manajemen akses fisik

  • Manajemen Pemindaian dan Patch: Pemindaian kerentanan otomatis, manajemen patch, dan deployment

Mengontrol penilaian dan pemantauan berkelanjutan

AWS menerapkan berbagai aktivitas sebelum dan sesudah deployment layanan untuk mengurangi risiko lebih lanjut dalam lingkungan AWS. Aktivitas ini mengintegrasikan persyaratan keamanan dan kepatuhan selama desain dan pengembangan setiap layanan AWS dan kemudian memvalidasi bahwa layanan beroperasi dengan aman setelah dipindahkan ke produksi (diluncurkan).

Aktivitas manajemen risiko dan kepatuhan mencakup dua kegiatan pra-peluncuran dan dua kegiatan pasca peluncuran. Kegiatan pra-peluncuran adalah:

  • Tinjauan manajemen risiko AWS Application Security untuk memvalidasi bahwa risiko keamanan telah diidentifikasi dan dikurangi

  • Tinjauan kesiapan arsitektur untuk membantu pelanggan memastikan keselarasan dengan rezim kepatuhan

Pada saat deployment, layanan akan melalui penilaian yang ketat terhadap persyaratan keamanan terperinci untuk memenuhi bilah tinggi AWS untuk keamanan. Kegiatan pasca-peluncuran adalah:

  • Tinjauan berkelanjutan AWS Application Security untuk membantu memastikan postur keamanan layanan dipertahankan

  • Pemindaian manajemen kerentanan berkelanjutan

Penilaian kontrol dan pemantauan berkelanjutan ini memungkinkan pelanggan yang diatur kemampuan untuk membangun solusi yang sesuai dengan percaya diri pada layanan AWS. Untuk daftar layanan dalam lingkup berbagai program kepatuhan, lihat halaman web AWS Services in Scope .

AWS Certification, Program, Laporan, dan Atestasi Pihak Ketiga

AWS secara teratur menjalani audit pengesahan pihak ketiga independen untuk memberikan jaminan bahwa aktivitas kontrol beroperasi sebagaimana dimaksud. Lebih khusus lagi, AWS diaudit terhadap berbagai kerangka kerja keamanan global dan regional yang bergantung pada wilayah dan industri. AWS berpartisipasi dalam lebih dari 50 program audit yang berbeda.

Hasil audit ini didokumentasikan oleh badan penilaian dan tersedia untuk semua pelanggan AWS melalui AWS Artifact. AWS Artifact adalah portal layanan mandiri gratis untuk akses sesuai permintaan ke laporan kepatuhan AWS Ketika laporan baru dirilis, laporan tersebut tersedia di AWS Artifact, yang memungkinkan pelanggan untuk terus memantau keamanan dan kepatuhan AWS dengan akses langsung ke laporan baru.

Bergantung pada persyaratan peraturan atau kontrak lokal negara atau industri, AWS juga dapat menjalani audit secara langsung dengan pelanggan atau auditor pemerintah. Audit ini memberikan pengawasan tambahan terhadap lingkungan kontrol AWS untuk memastikan bahwa pelanggan memiliki alat untuk membantu diri mereka sendiri beroperasi dengan percaya diri, patuh, dan dengan cara berbasis risiko menggunakan layanan AWS.

Untuk informasi lebih rinci tentang program sertifikasi AWS, laporan, dan pengesahan pihak ketiga, kunjungi halaman web AWS Compliance Program . Anda juga dapat mengunjungi halaman web AWS Services in Scope untuk informasi khusus layanan.

Cloud Security Alliance (CSA)

AWS berpartisipasi dalam Penilaian Cloud Security Alliance (CSA) Security, Trust & Assurance Registry (STAR) sukarela untuk mendokumentasikan kepatuhan kami dengan praktik terbaik yang diterbitkan CSA. CSA adalah “organisasi terkemuka di dunia yang didedikasikan untuk mendefinisikan dan meningkatkan kesadaran akan praktik terbaik untuk membantu memastikan lingkungan komputasi cloud yang aman”. The CSA Consensus Assessments Initiative Questionnaire (CAIQ) memberikan serangkaian pertanyaan CSA mengantisipasi pelanggan cloud dan/atau auditor cloud akan meminta penyedia cloud. Dokumen ini menyediakan serangkaian pertanyaan keamanan, kontrol, dan proses yang kemudian dapat digunakan untuk berbagai penggunaan, termasuk seleksi penyedia cloud dan evaluasi keamanan.

Ada dua sumber daya yang tersedia untuk pelanggan yang mendokumentasikan keselarasan AWS ke CSA CAIQ. Yang pertama adalah Laporan resmi CSA CAIQ, dan yang kedua adalah pemetaan kontrol yang lebih rinci untuk kontrol SOC-2 kami yang tersedia melalui AWS Artifact. Untuk informasi lebih lanjut tentang partisipasi AWS dalam CSA CAIQ, lihat situs AWS CSA.