AWS 风险和合规性计划 - Amazon Web Services:风险与合规性
AWS 业务风险管理运营和业务管理 控制环境和自动化控制评估和持续监控 AWS 认证、计划、报告和第三方鉴证云安全联盟

AWS 风险和合规性计划

AWS 已在整个组织中集成风险和合规性计划。该计划旨在管理所有服务设计和部署阶段的风险,并不断改进和重新评估组织中的风险相关活动。以下各节将更详细地讨论 AWS 集成风险与合规性计划的组成部分。

AWS 业务风险管理

AWS 制定了业务风险管理 (BRM) 计划,AWS 业务部门可借助该计划向 AWS 董事会和 AWS 高层领导提供 AWS 面临的主要风险的整体情况。BRM 计划表明我们能够对 AWS 功能进行独立风险监督。具体来说,BRM 计划执行以下操作:

  • 对关键 AWS 功能领域执行风险评估和风险监控

  • 识别并推动风险补救

  • 维护已知风险登记

为了推动风险补救,BRM 计划会报告其工作结果,并在必要时向整个企业的董事和副总裁上报问题,以便为业务决策提供信息。

运营和业务管理

AWS 组合使用每周、每月和每季度会议及报告,以确保风险管理流程所有组成部分之间的风险沟通。此外,AWS 还实施了上报流程,从而让管理层能够了解整个组织的高优先级风险。这些工作结合起来,有助于确保风险管理与 AWS 业务模式的复杂性保持一致。

此外,通过 Cascading 责任结构,副总裁(业务所有者)负责监督其业务。为此,AWS 每周都会召开会议,以审核运营指标,并在影响业务之前确定关键趋势和风险。

公司的管理层和高级领导层在建立 AWS 的基调和核心价值观方面起着重要作用。每名员工都会收到公司发放的《商业行为和道德准则》,并且需要定期接受培训。执行合规性审计,使员工了解并遵从既定政策。

AWS 的组织结构提供了可用于计划、执行和控制商业运营的框架。组织结构包括角色和责任,以提供足够的人力、运营效率并明确责任分工。管理层还为关键员工建立了相应的报告制度。公司的招聘调查过程包括调查教育背景、先前的工作经历,以及在某些情况下根据招聘职位以及该职位可访问 AWS 设施的级别进行法律法规允许的员工背景调查。公司还按照既定的入职流程,帮助新员工熟悉 Amazon 工具、流程、系统、策略和程序。

控制环境和自动化

AWS 将安全控制措施作为管理整个组织风险的基本要素予以实施。AWS 控制环境由标准、流程和结构组成,它们为在整个 AWS 中实施一套最低安全要求奠定了基础。

虽然 AWS 控制环境中包含的流程和标准是独立的,但是 AWS 还利用了 Amazon 整体控制环境的各个方面。利用的工具包括:

  • 适用于所有 Amazon 业务的工具,例如用于管理职责分离的工具

  • 整个 Amazon 范围内的某些企业职能,如法律、人力资源和财务

在 AWS 利用 Amazon 整体控制环境的情况下,管理这些机制的标准和流程专为 AWS 业务量身定制。这意味着,在 AWS 控制环境中使用和应用它们的期望可能不同于在整个 Amazon 环境中使用和应用它们的期望。AWS 控制环境最终充当安全交付 AWS 服务产品的基础。

在构成 AWS 控制环境的某些重复性流程中,控制自动化是 AWS 减少人为干预的一种方式。它是有效实施信息安全控制以及进行相关风险管理的关键。控制自动化旨在主动地最大限度减少流程执行中的潜在不一致问题,执行重复过程的人员本质上的缺陷便可能引起这样的不一致。通过控制自动化,潜在的过程偏差得以消除。这为按设计实施控制提供了更高保证。

AWS 跨安全职能的工程团队负责设计 AWS 控制环境,以尽可能支持更高级别的控制自动化。AWS 的自动化控制措施包括如下示例:

  • 治理和监督:政策版本控制和批准

  • 人员管理:自动提供培训、快速解雇员工

  • 开发和配置管理:代码部署管道、代码扫描、代码备份、集成部署测试

  • 身份和访问管理:自动分离职责、访问审核、权限管理

  • 监控和日志记录:自动收集和关联日志、报警

  • 物理安全:与 AWS 数据中心相关的自动化流程,包括硬件管理、数据中心安全培训、访问报警和物理访问管理

  • 扫描和补丁管理:自动扫描漏洞、补丁管理和部署

控制评估和持续监控

AWS 会在服务部署前后开展各种活动,以进一步降低 AWS 环境中的风险。这些活动在每项 AWS 服务的设计和开发过程中都集成了安全性和合规性要求,然后验证服务在投入生产(启动)后能否安全运行。

风险管理和合规性活动包括两项启动前活动和两项启动后活动。启动前活动包括:

  • AWS 应用程序安全性风险管理审核,以验证是否已识别并缓解安全风险

  • 架构就绪性审核,以帮助客户确保符合各项法规要求

在部署时,我们将根据详细的安全要求对服务进行严格评估,以满足 AWS 的高安全性标准。启动后活动包括:

  • AWS 应用程序安全性持续审核,以帮助确保服务安全态势得以维持

  • 持续漏洞管理扫描

通过这些控制评估和持续监控,受到监管的客户便能够放心地在 AWS 服务上构建合规的解决方案。有关各种合规性计划范围内的服务列表,请参阅 AWS 范围内服务网页。

AWS 认证、计划、报告和第三方鉴证

AWS 定期接受独立的第三方鉴证审计,以确保控制活动按预期运行。更具体地说,需要根据各地区和行业的各种全球和区域安全框架对 AWS 进行审计。AWS 参与了 50 多项不同的审计计划。

这些审计的结果由评估机构记录,并通过 AWS Artifact 提供给所有 AWS 客户。AWS Artifact 是一个免费的自助服务门户,用于按需访问 AWS 合规性报告。当新报告发布时,它们会在 AWS Artifact 中提供,让客户能够立即访问新报告,根据报告结果持续监控 AWS 的安全性与合规性。

根据国家/地区或行业的本地法规或合同要求,AWS 可能还需直接接受客户或政府审计人员的审计。这些审计提供对 AWS 控制环境的额外监督,以确保客户有工具帮助他们放心、合规且以基于风险的方式使用 AWS 服务开展运营。

有关 AWS 认证计划、报告和第三方鉴证计划的更多详细信息,请访问 AWS 合规性计划网页。还可以访问AWS 范围内服务网页,了解服务特定信息。

云安全联盟

AWS 参与了自发性云安全联盟 (CSA) 安全、信任和保证注册表 (STAR) 自我评估,以记录我们对 CSA 发布的最佳实践的遵守情况。CSA 是“一个全球领先组织,致力于定义和提高大家对最佳实践的认识,从而帮助确保云计算环境安全”。CSA 一致性评估倡议问卷 (CAIQ) 提供 CSA 预期云客户和/或云审计人员会向云提供商提出的一系列问题。它包含一系列安全、控制和流程问题,用途广泛,包括云提供商选择和安全评估。

有两个资源可供客户使用,它们记录了 AWS 与 CSA CAIQ 的一致性。第一个是 CSA CAIQ 白皮书,第二个是与我们的 SOC-2 控制体系的更详细的控制映射,可通过 AWS Artifact 获得。有关 AWS 参与 CSA CAIQ 的更多信息,请参阅 AWS CSA 网站