本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
SEC01-BP03 识别和验证控制目标
根据合规性要求以及从威胁模型中发现的风险,获得并验证需要应用于工作负载的控制目标和控制措施。持续验证控制目标和控制措施可帮助您衡量风险缓解措施的有效性。
期望结果:针对业务明确定义了安全控制目标,并且这些目标符合合规性要求。通过自动化方法以及策略来实施和强制执行控制措施,并持续评估这些措施在达成目标方面的有效性。收集某个时间点以及一段时间内的有效性证据,并能够随时报告给审核人员。
常见反模式:
-
没有充分了解用于确保业务安全性的监管要求、市场期望和行业标准
-
网络安全框架和控制目标与业务要求不一致
-
虽然实施了控制措施,但没有与控制目标保持高度一致,也难于衡量
-
不使用自动化方法来报告控制措施的有效性
在未建立这种最佳实践的情况下暴露的风险等级:高
实施指导
根据安全控制目标,您可以利用许多常见的网络安全框架来奠定基础。根据业务考虑监管要求、市场期望和行业标准,确定哪些框架能够很好地满足需求。示例包括 AICPASOC2
对于您确定的控制目标,请了解您使用的 AWS 服务如何帮助您实现这些目标。用于AWS Artifact
在定义用于实现目标的控制措施时,请使用预防性控制措施来规范执行方法,并使用检测性控制措施来自动执行缓解方法。 AWS Organizations 使用服务控制策略(SCP),帮助防止在整个过程中出现不合规的资源配置和操作。在 AWS Config
使用 AWS 全球安全与合规加速 (GSCA) 团队推荐的APN合作伙伴捆绑包
实施步骤
-
评估常见的网络安全框架,让控制目标与所选框架保持一致。
-
使用获取有关框架指导和责任的相关文档 AWS Artifact。了解合规的哪些部分属于共担责任模型,哪些部分属于您的责任。 AWS
-
使用SCPs资源策略、角色信任策略和其他防护措施来防止不合规的资源配置和操作。
-
评估部署 AWS Config 符合您的控制目标的 Security Hub 标准和一致性包。
资源
相关最佳实践:
相关文档:
相关工具: