대리인을 위한 자습서: 통제 집합 검토

이 자습서에서는 AWS Audit Manager에서 감사 소유자가 공유한 통제 세트를 검토하는 방법을 설명합니다.

감사 소유자는 Audit Manager를 사용하여 평가를 작성하고 해당 평가에 나열된 통제 항목에 대한 증거를 수집합니다. 감사 담당자가 컨트롤 세트에 대한 증거를 검증할 때 질문이 있거나 도움이 필요한 경우가 있습니다. 이 경우 감사 담당자는 주제 전문가에게 검토를 위해 컨트롤 세트를 위임할 수 있습니다.

대리인은 감사 소유자가 수집된 증거를 검토하여 자신의 전문 분야에 해당하는 통제 항목이 있는지 검토할 수 있도록 도와줍니다.

이 자습서에서는 다음을 수행하는 방법을 보여줍니다.

• 감사 소유자가 보낸 액세스 알림

• 통제 집합 및 관련 증거 검토

• 통제를 뒷받침하는 수동 증거 업로드

• 검토 중인 통제에 의견 추가

• 통제 상태 업데이트

• 검토가 완료되면 검토된 통제 세트를 감사 소유자에게 제출

이 자습서를 시작하기 전에 다음 조건을 충족하는지 확인하십시오.

• AWS 계정이 설정되었습니다. 이 자습서를 완료하려면 AWS 계정과 AWS Audit Manager 콘솔을 모두 사용해야 합니다. 자세한 내용은 AWS Audit Manager 설정 섹션을 참조하세요.

• Audit Manager의 용어 및 기능에 대해 잘 알고 계실 것입니다. Audit Manager에 대한 일반적인 개요는 AWS Audit Manager란 무엇인가요? 및 AWS Audit Manager 개념 및 용어을 참조하십시오.

1단계: 알림 액세스

먼저 AWS Audit Manager에 로그인해 알림에 액세스하여 검토를 위해 위임된 통제 세트를 확인할 수 있습니다.

알림에 액세스하려면

1. https://console.aws.amazon.com/auditmanager/home에서 AWS Audit Manager 콘솔을 엽니다.

2. 왼쪽 탐색 창에서 알림을 선택합니다. 또는 페이지 상단의 파란색 플래시 막대에서 알림 보기를 선택하여 알림 페이지를 엽니다.

3. 알림 페이지에서는 자신에게 위임된 통제 집합 목록을 검토할 수 있습니다. 이 알림 표에는 다음 정보가 포함됩니다.

   • 날짜 - 컨트롤 세트를 위임한 날짜.

   • 평가 — 통제 세트와 연결된 평가의 이름입니다. 평가 이름을 선택하여 평가 세부 정보 페이지를 열 수 있습니다.

   • 통제 세트 — 검토를 위해 사용자에게 위임된 통제 세트의 이름입니다.

   • 소스 - 컨트롤 세트를 위임한 사용자 또는 역할.

   • 설명 - 감사 소유자가 제공한 검토 지침입니다.

작은 정보

또한 SNS 주제를 구독하여 검토를 위해 통제 세트가 할당되면 이메일 알림을 받을 수 있습니다. 자세한 내용은 AWS Audit Manager의 알림을 참조하십시오.

2단계: 통제 세트 및 관련 증거 검토

다음 단계는 감사 소유자가 위임한 통제 세트를 검토하는 것입니다. 통제 수단과 그 증거를 검토하여 통제를 위한 추가 조치가 필요한지 판단할 수 있습니다. 추가 조치에는 규정 준수를 입증하기 위해 추가 증거를 수동으로 업로드하거나 해당 통제에 대한 의견을 남기는 것이 포함될 수 있습니다.

컨트롤 세트를 검토하려면

1. 알림 페이지에서 자신에게 위임된 통제 세트 목록을 검토하십시오. 그런 다음 검토할 평가를 식별하고 관련 평가의 이름을 선택하십시오.

2. 평가 세부 정보 페이지의 컨트롤 탭에서 컨트롤 세트 테이블까지 아래로 스크롤합니다.

3. 컨트롤 세트별로 그룹화된 컨트롤 열에서 컨트롤 세트의 이름을 확장하여 해당 컨트롤을 표시합니다. 그런 다음 통제 이름을 선택하여 통제 세부 정보 페이지를 엽니다.

4. (선택 사항) 통제 상태 업데이트를 선택하여 통제 상태를 변경합니다. 검토를 진행하는 동안 상태를 검토 중으로 표시할 수 있습니다.

5. 증거 폴더, 데이터 소스, 의견 및 변경 로그 탭에서 통제 에 대한 정보를 검토하십시오. 각 탭에 대한 자세한 내용과 탭에 포함된 데이터를 해석하는 방법은 평가에서 통제 항목 검토를 참조하십시오.

통제에 대한 증거 검토하기

1. 컨트롤 세부 정보 페이지에서 증거 폴더 탭을 선택합니다.

2. 증거 폴더 테이블로 이동합니다. 이 테이블에는 해당 통제에 대한 증거가 들어 있는 폴더 목록이 표시됩니다. 이러한 폴더는 해당 폴더 내의 증거가 수집된 날짜를 기준으로 구성되고 이름이 지정됩니다.

3. 증거 폴더의 이름을 선택하여 엽니다. 여기에서 해당 날짜에 수집된 모든 증거의 요약을 검토할 수 있습니다. 이 요약에는 AWS Security Hub, AWS Config 또는 둘 다에서 직접 보고된 규정 준수 확인 문제의 총 수도 포함됩니다. 이 페이지의 데이터를 해석하는 방법에 대한 지침은 증거 폴더 검토를 참조하십시오.

4. 증거 폴더 요약 페이지에서 증거 테이블로 이동합니다. 시간 열에서 라인 항목을 선택하여 해당 시점에 수집된 증거의 세부 정보를 열고 검토하십시오. 증거 세부 정보 페이지의 데이터를 해석하는 방법에 대한 지침은 개별 증거 검토를 참조하세요.

3단계. 수동 증거 업로드(선택 사항)

AWS Audit Manager이 여러 통제 항목에 대한 증거를 자동으로 수집하지만 경우에 따라 추가 증거를 제공해야 할 수도 있습니다. 이러한 경우 해당 통제 준수를 입증하는 데 도움이 되는 증거를 수동으로 업로드할 수 있습니다.

수동 증거를 평가에 업로드하려면 먼저 증거를 S3 버킷에 배치해야 합니다. 지침을 보려면 Amazon Simple Storage Service 사용 설명서의 버킷 생성 및 객체 업로드를 참조하세요.

중요

각 AWS는 하나의 제어에 매일 최대 100개의 증거 파일만 수동으로 제어에 업로드할 수 있습니다. 이 일일 할당량을 초과하면 해당 제어에 대한 추가 수동 업로드가 실패합니다. 대량의 수동 증거를 단일 컨트롤에 업로드해야 하는 경우, 며칠에 걸쳐 일괄적으로 증거를 업로드하세요.

수동 증거를 통제에 업로드하려면

1. https://console.aws.amazon.com/auditmanager/home에서 AWS Audit Manager 콘솔을 엽니다.

2. 알림 페이지에서 자신에게 위임된 통제 세트 목록을 볼 수 있습니다. 근거를 추가하려는 통제 세트를 식별하고 관련 평가 이름을 선택하여 평가 세부 정보 페이지를 여십시오.

3. 통제 탭을 선택하고 통제 세트까지 아래로 스크롤한 다음 통제 이름을 선택하여 엽니다.

4. 증거 폴더 탭을 선택한 다음 수동 증거 업로드를 선택합니다.

5. 다음 페이지에서 증거의 S3 URI를 입력합니다. Amazon S3 콘솔에서 객체로 이동한 다음 S3 URI 복사를 선택하면 S3 URI를 찾을 수 있습니다.

6. 업로드를 선택하여 수동 증거를 업로드하십시오.

참고

통제가 비활성 상태인 경우 해당 통제에 대한 수동 증거를 업로드할 수 없습니다. 수동 증거를 업로드하려면 먼저 통제 상태를 검토 중 또는 검토 완료 로 변경해야 합니다. 통제 상태를 변경하는 방법에 대한 지침은 단원 5단계: 통제를 검토된 것으로 표시(선택 사항)을 참조하십시오.

4단계. 통제에 의견을 추가합니다(선택 사항).

검토하는 모든 통제에 의견을 추가할 수 있습니다. 이러한 설명은 감사 소유자가 볼 수 있습니다. 예를 들어 의견을 남겨 상태 업데이트를 제공하고 해당 통제와 관련된 문제를 해결했는지 확인할 수 있습니다.

통제에 의견을 추가하려면

1. 알림 페이지에서 자신에게 위임된 통제 세트 목록을 검토하세요. 의견을 남기고 싶은 통제 세트를 찾아 관련 평가의 이름을 선택하십시오.

2. 통제 탭을 선택하고 통제 세트 테이블까지 아래로 스크롤한 다음 통제 이름을 선택하여 엽니다.

3. 의견 탭을 선택합니다.

4. 의견 보내기에서 텍스트 상자에 의견을 입력합니다.

5. 의견 제출을 선택하여 의견을 추가합니다. 이제 의견이 통제와 관련된 다른 의견괴 함께 페이지의 이전 의견 섹션 아래에 표시됩니다.

5단계: 통제를 검토된 것으로 표시(선택 사항)

통제 상태 변경은 선택 사항입니다. 그러나 통제에 대한 검토를 완료한 후 각 통제의 상태를 검토됨으로 변경하는 것이 좋습니다. 각 개별 통제의 상태에 관계없이 여전히 감사 소유자에게 통제를 제출할 수 있습니다.

통제를 검토된 것으로 표시하려면

1. 알림 페이지에서 자신에게 위임된 통제 세트 목록을 검토하십시오. 검토한 것으로 표시하려는 통제가 들어 있는 통제 세트를 찾으십시오. 그런 다음 관련 평가의 이름을 선택하여 평가 세부 정보 페이지를 엽니다.

2. 평가 세부 정보 페이지의 컨트롤 탭에서 컨트롤 세트 테이블까지 아래로 스크롤합니다.

3. 컨트롤 세트별로 그룹화된 컨트롤 열에서 컨트롤 세트의 이름을 확장하여 해당 컨트롤을 표시합니다. 통제 이름을 선택하여 통제 세부 정보 페이지를 엽니다.

4. 통제 상태 업데이트를 선택하고 상태를 검토됨으로 변경합니다.

5. 표시되는 팝업 창에서 통제 상태 업데이트를 선택하여 통제 검토를 마쳤는지 확인합니다.

6단계. 검토된 통제 세트를 감사 소유자에게 다시 제출하십시오.

모든 통제 항목 검토를 완료하면 감사 소유자에게 통제 세트를 다시 제출하여 검토가 완료되었음을 알리세요.

검토된 통제 세트를 소유자에게 다시 제출하려면

1. 알림 페이지에서 자신에게 할당된 통제 세트 목록을 검토하십시오. 감사 소유자에게 제출하고자 하는 관리 세트를 찾고 관련 평가의 이름을 선택하십시오.

2. 통제 세트 테이블까지 아래로 스크롤하여 감사 소유자에게 다시 제출할 통제 세트를 선택한 다음 검토를 위해 제출을 선택합니다.

3. 표시되는 팝업 창에서 검토를 위해 제출을 선택하기 전에 해당 통제 세트에 대한 상위 수준의 설명을 추가할 수 있습니다.

통제 기능을 감사 소유자에게 제출하면 감사 소유자는 사용자가 남긴 모든 의견을 볼 수 있습니다.

추가 정보

이 자습서에 소개된 개념에 대해 계속 자세히 알아볼 수 있습니다. 다음은 몇 가지 권장 리소스입니다.

• 평가 검토 - AWS Audit Manager에서 평가의 다양한 구성 요소를 탐색할 수 있는 평가 페이지를 소개합니다.

• 평가의 통제 항목 검토 및 평가의 증거 검토 - 각 평가의 통제 항목 및 증거를 해석하는 데 도움이 되는 데이터 정의를 제공합니다.

• AWS Audit Manager 개념 및 용어 - Audit Manager에서 사용되는 개념 및 용어에 대한 정의를 제공합니다.