ISO/IEC 27001:2013 Annex A

AWS Audit Manager 提供預先建立的標準架構，支援國際標準化組織 (ISO)/國際電工委員會 (IEC) 27001:2013 附件 A。

什麼是 ISO/IEC 27001:2013 Annex A？

國際電工委員會（IEC）和國際標準化組織（ISO）都是獨立的非政府組 not-for-profit織，他們制定和發布完全同意的國際標準。

ISO/IEC 27001:2013 Annex A 是一項安全管理標準，其指出遵循 ISO/IEC 27002 最佳實務指引的安全管理最佳做法，以及完整的安全控制措施。此國際標準規定了如何在組織中建立、實施、維護和持續改善資訊安全管理系統的要求。這些標準包括針對您的組織需求量身打造的資訊安全風險評估和處理要求。此國際標準中的要求是通用的，旨在適用於所有組織，無論其類型、規模或性質。

使用此架構

您可以使用 ISO/IEC 27001:2013 附件 A 的 AWS Audit Manager 架構來協助您為稽核做好準備。此架構包含預先打造的控制集合，其中包含說明和測試程序。這些控制項會根據 ISO/IEC 27001:2013 Annex A 要求，分為控制組。您也可以根據特定需求自訂架構和控制項，以支援內部稽核。

使用此架構作為起點，您可以建立 Audit Manager 評估，並開始收集與 ISO/IEC 27001:2013 Annex A 稽核相關的證據。在評估中，您可以指 AWS 帳戶 定要包含在稽核範圍中的項目。建立評估之後，Audit Manager 會開始評估您的 AWS 資源。其根據 ISO/IEC 27001:2013 Annex A 架構中所定義的控制項來執行此操作。需要進行稽核時，您或您選擇的委派代表可以檢閱 Audit Manager 所收集的證據。您也可以瀏覽這些評估中的證據資料夾，並選擇要包含在評估報告中的證據。或者，如果您啟用了證據搜尋工具，您就可以搜尋特定證據並以 CSV 格式匯出，或者從搜尋結果建立評估報告。不論何種方式，您都可以使用此評估報告來顯示您的控制項正在按預期運作。

架構的詳細資訊如下：

框架名稱 AWS Audit Manager	自動化控制項數量	手動控制項數量	控制集數
國際標準化組織 (ISO)/國際電工委員會 (IEC)	61	53	35

提示

若要檢閱在此標準架構中用作資料來源對應的 AWS Config 規則，請下載 AuditManager_ ConfigDataSourceMappings _ISO-IEC-270012013-Annex-A.zip 檔案。

此 AWS Audit Manager 架構中的控制項並不用於驗證您的系統是否符合此國際標準。此外，他們不能保證您將通過 ISO/IEC 審核。 AWS Audit Manager 不會自動檢查需要手動證據收集的程序控件。

您可以在 Audit Manager 使用框架庫來管理框架 AWS Audit Manager 的標準架構索引標籤下，找到 ISO/IEC 27001:2013 Annex A 架構。

後續步驟

如需使用此架構建立評估方式的說明，請參閱 在中建立評估 AWS Audit Manager。

如需如何自訂此架構以支援您的特定需求的指示，請參閱在中製作現有框架的可編輯副本 AWS Audit Manager。

其他資源

• 如需有關此國際標準的詳細資訊，請參閱 ANSI 網路商店中的 ISO/IEC 27001:2013。