腫瘤學概觀

AWS 已開發標準分類系統，以協助分類、組織和建立控制項之間的映射。此本體可用來將控制項映射至現有和新的法規標準，包括 24 個架構，以及 PCI、HIPAA 等法規標準。我們也對應至產業標準，例如 NIST 和 ISO，以及 Amazon 特定的架構，包括 Well-Architected 架構。

內部部署有四個核心層面

• 依控制網域、控制目標和常見控制項的控制分類。內部部署有助於將相關控制項組織並分組成三個層級：

  • L1：控制網域、

  • L2：控制目標、

  • L3：常用控制項。

  這些層級具有嚴格的階層關係。也就是說，每個網域都有多個控制目標，但每個控制目標都必須有一個父網域。每個控制目標都有多個通用控制項，但每個通用控制項都有單一父目標。

• 對應至法規標準。內科具有稱為標準控制項 (L4) 的概念，其代表法規或產業標準中的特定要求。這些標準控制項會對應到有助於解決這些特定需求的常見控制項。

  例如，PCI-DSS 3.2.1 版。ID 4.1 使用強式密碼編譯和安全通訊協定，在透過開放、公有網路和 NIST 800.53.r5 ID SC-16 傳輸安全與隱私權屬性期間保護敏感持卡人資料，兩者都是標準控制項，皆對應至傳輸中的加密資料常見控制項。 SC-16

• 控制實作和控制證據。內部部署具有控制實作 (L6) 的概念 AWS，可代表 中的特定控制實作，例如 AWS Control Tower 控制項、 AWS Security Hub 檢查、 AWS Config 規則等，或是外部的非技術實作 AWS，例如程序指引。控制證據 (L7) 的個別概念代表資料來源，可做為 AWS Audit Manager第三方工具或客戶本身控制的證據。這些證據來源可以是 AWS CloudTrail 事件、API 呼叫日誌和 AWS Config 規則評估結果等 AWS 來源。或者，它們可能是外部來源，例如客戶文件。

• Core 控制 (L5) 的概念。Core 控制項是一種映射層，可將所有控制項實作 (L6)、對應的證據來源 (L7)、相關的標準控制項 (L4) 和通用控制項 (L3) 合併為單一整體物件。核心控制項比控制項本身更像是映射文件。它有助於回答 的問題，顯示與控制項 X 相關的所有資訊。 每個核心控制項都可以有多個控制實作 (L6) 和多個證據來源 (L7)。

總而言之， AWS 控制目錄本體包含七個圖層。三個是階層分類層 （控制網域、控制目標、常見控制項）。另一層 （標準控制項） 說明法規或產業標準要求。映射層 （核心控制） 說明指定資源類型的控制結果。兩層 （控制實作、控制證據） 說明特定的控制實作和證據來源。

此本體是由認證稽核人員 AWS 團隊所設計，根據他們與數百位客戶合作進行合規稽核的經驗。控制網域、控制目標、常用控制項和標準控制項 (L1-L4) 的概念是整個產業使用的。它們符合常見的產業模式和 NIST 建議。其餘的三層 (L5-L7) 是根據現有的 AWS 概念設計，例如資源類型和受管控制項。