SEC01-BP03 識別和驗證控制目標 - 安全支柱

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

SEC01-BP03 識別和驗證控制目標

根據合規需求以及從威脅模型識別的風險,衍生並驗證您需要套用到工作負載的控制目標和控制。對控制目標與控制持續進行驗證,可協助您測量風險降低的有效性。

預期成果:企業的安全控制目標是明確定義的,並符合您的合規要求。控制項是透過自動化和政策來實作和強制執行的,並持續評估其在達成目標方面的有效性。在一個時間點和一段時間內的有效性證據可以很容易地向稽核人員報告。

常見的反模式:

  • 您的企業對可保證安全的法規要求、市場預期和業界標準並未充分了解

  • 網路安全架構和控制目標不符合業務需求

  • 控制措施的實作並未以可衡量的方式與您的控制目標保持一致

  • 您不使用自動化來報告控制措施的有效性

未建立此最佳實務時的曝險等級:

實作指引

有許多常見的網路安全框架可以構成安全控制目標的基礎。考慮企業的法規要求、市場期望和業界標準,以決定哪些架構最能支援您的需求。範例包括 AICPA SOC 2HITRUSTPCI-DSSISO27001 NIST SP 800-53

對於您識別的控制目標,了解您取用 AWS 的服務如何協助您實現這些目標。使用 AWS Artifact 尋找與您的目標架構一致的文件和報告,以描述您負責的其餘範圍所涵蓋的責任範圍 AWS 和指引。如需符合各種架構控制聲明的詳細服務特定指引,請參閱 AWS Customer Compliance Guides

當您定義實現目標的控制措施時,使用預防性控制措施對執行進行整理,並使用偵測性控制來自動化緩解措施。 AWS Organizations 使用 服務控制政策 (SCP),協助防止整個 的不合規資源組態和動作。在 AWS Config 中實作規則以監控和報告不合規的資源,然後在對其行為有信心後,將規則切換為強制執行模型。若要部署符合網路安全架構的預定義和受控規則集,請首先評估 AWS Security Hub 標準的使用。 AWS 基礎服務最佳實務 (FSBP) 標準和CIS AWS 基礎基準是很好的起點,其控制與多個標準架構之間共用的許多目標保持一致。如果 Security Hub 本質上沒有所需的控制偵測,則可以使用 AWS Config 一致性套件來補充它。

視需要使用 AWS 全球安全與合規加速 (GSCA) 團隊建議的APN合作夥伴套件,向安全顧問、諮詢機構、證據收集和報告系統、稽核人員和其他補充服務取得協助。

實作步驟

  1. 評估常見的網路安全架構,並使您的控制目標與選擇的目標保持一致。

  2. 使用 取得架構指南和責任的相關文件 AWS Artifact。了解哪些合規部分屬於共同責任模型 AWS ,以及哪些部分是您的責任。

  3. 使用 SCPs、資源政策、角色信任政策和其他防護機制,以防止不合規的資源組態和動作。

  4. 評估部署符合您控制目標的 Security Hub 標準和 AWS Config 一致性套件。

資源

相關的最佳實務:

相關文件:

相關工具: