SEC01-BP03 識別和驗證控制目標
根據合規需求以及從威脅模型識別的風險,衍生並驗證您需要套用到工作負載的控制目標和控制。對控制目標與控制持續進行驗證,可協助您測量風險降低的有效性。
預期成果:您的企業擁有明確定義的安全控制目標,且這些目標與您的合規要求一致。控制是透過自動化和政策實作和強制執行,並且針對其能否有效實現您的目標這點,持續接受評估。稽核人員會定期收到某個時間點和某段時間的有效性實證報告。
常見的反模式:
-
貴企業未充分了解可保證安全的法規要求、市場期望和產業標準
-
您的網路安全架構和控制目標與您的企業需求不符
-
控制的實施未能透過可衡量的方式與您的控制目標完全相符
-
您未使用自動化方式來報告控制的有效性
未建立此最佳實務時的風險暴露等級:高
實作指引
有許多常見的網路安全架構可作為您訂立安全控制目標的基礎。考慮貴企業的法規要求、市場期望和產業標準,以確定哪些架構最合乎所需。範例包括 AICPA SOC 2
針對已確定的控制目標,務必了解您使用的 AWS 服務如何幫助您實現這些目標。使用 AWS Artifact
定義達成目標的控制措施時,請使用預防性控制措施來編制實施,並使用偵測控制來自動執行緩解措施。使用服務控制政策 (SCP) 協助防止您的 AWS Organizations 中不合規的資源組態和動作。在 AWS Config
使用 AWS Global Security and Compliance Acceleration (GSCA) 團隊推薦的 APN 合作夥伴組合
實作步驟
-
評估常見的網路安全架構,並調整您的控制目標,以使其符合您選擇的架構。
-
取得相關文件,了解您的架構使用 AWS Artifact 的指引和責任。了解合規的哪些部分需由 AWS 共同責任模式承擔,以及哪些部分屬於您的責任。
-
使用 SCP、資源政策、角色信任政策及其他防護機制,以防止不合規的資源組態和動作。
-
評估部署合乎您控制目標的 Security Hub 標準和 AWS Config 合規套件。
資源
相關的最佳實務:
相關文件:
相關工具: