OPS01-BP05 评估威胁形势
评估对业务的威胁(例如竞争、业务风险和负债、运营风险和信息安全威胁),并在风险注册表中维护当前信息。在确定工作重心时,将风险的影响考虑在内。
Well-Architected Framework
AWS 客户可以使用针对关键任务型工作负载的指导式架构完善的审核,以根据 AWS 最佳实践来衡量其架构
这些审核需要跨团队参与,可帮助各团队就工作负载形成共识,并理解彼此的团队角色如何助力取得成功。通过审核所确定的需求可以帮助确定优先事项。
AWS Trusted Advisor
期望结果:
-
您定期审核 Well-Architected 和 Trusted Advisor 输出并采取行动
-
您了解服务的最新补丁状态
-
您了解已知威胁的风险和影响,并能采取相应的行动
-
您能够根据需要实施缓解措施
-
您能够传达行动和背景
常见反模式:
-
您在产品中使用的是旧版软件库。对于可能会对工作负载产生意外影响的问题,需要对库进行安全更新,而您忽略了这一点。
-
您的竞争对手刚刚发布了新的产品版本,可以解决许多客户对您产品的投诉。您没有优先解决这些已知问题。
-
监管机构一直在追查像您这样的不符合法律法规要求的公司。您没有优先处理任何未解决的合规性要求。
建立此最佳实践的好处:发现并了解对组织和工作负载的威胁,帮助确定要解决的威胁、需解决的威胁的优先级以及执行操作所需的资源。
在未建立这种最佳实践的情况下暴露的风险等级:中
实施指导
-
评估威胁形势:评估对业务的威胁(例如竞争、业务风险和负债、运营风险和信息安全威胁),以便您在确定工作重心时可以将其影响考虑在内。
-
维护威胁模型:建立并维护威胁模型,确定潜在威胁、计划内和已实施的缓解措施及其优先级。审核威胁酿成意外事件的可能性、从意外事件恢复的成本和预期造成的危害,以及防止这些意外事件发生的成本。根据威胁模型内容的更改修订优先级。
资源
相关最佳实践:
相关文档:
相关视频: