AWS 風險與合規計畫 - Amazon Web Services:風險與合規
AWS 業務風險管理營運和業務管理 控制環境和自動化控制評估和持續監控 AWS 認證、計畫、報告與第三方證明雲端安全聯盟

AWS 風險與合規計畫

AWS 在整個組織中整合了風險與合規計畫。本計畫旨在管理服務設計和部署的所有階段風險,且不斷改進和重新評估組織的風險相關活動。AWS 整合風險和合規計畫的組成元件將在下列各節中進行更詳細的討論。

AWS 業務風險管理

AWS 有個業務風險管理 (BRM) 計畫,該計劃與 AWS 業務單位合作,為 AWS 董事會和 AWS 高階領導層提供有關整個 AWS 之關鍵風險的整體觀點。BRM 計畫展示了對 AWS 功能的獨立風險監督。具體而言,BRM 計畫執行以下作業:

  • 對關鍵的 AWS 功能區域執行風險評估和風險監控

  • 識別並推動風險修補

  • 維護已知風險登記

為了推動風險的修補,BRM 計畫會回報其工作成果,並在必要時向上彙報至企業的董事和副總裁,告知業務決策。

營運和業務管理

AWS 使用每週、每月和季度會議和報告的組合,以確保風險管理流程的所有組成部分間的風險溝通。此外,AWS 還會實施一個上報流程,在整個組織中對優先順序高的風險提供管理能見度。這些努力結合起來,有助於確保風險的管理與 AWS 業務模式複雜性保持一致。

此外,透過串聯式責任結構,副總裁 (業務擁有者) 負責監督其業務。為此,AWS 每週舉行會議,審查營運指標,並在其影響業務之前識別關鍵趨勢和風險。

執行長和高階領導層對於建立 AWS 的基調和核心價值扮演重要的角色。每名員工皆應取得公司的《業務行為與道德準則》,且員工們完成定期培訓。我們會進行合規稽核,確定員工了解並遵守已制訂的政策。

AWS 組織結構提供了規劃、執行與控制業務營運的架構。組織結構包括角色與責任,以確保人員配置充足、營運有效率、職能分工得宜。管理階層也為金鑰相關人員建立了適當的回報管道。公司的聘用驗證程序包括針對員工職位和 AWS 設施存取層級,驗證學歷、工作經歷,特定情況下亦得於適用法律允許範圍內進行背景審查。公司採用結構化的新進員工到職程序,以利新進員工熟悉 Amazon 工具、程序、系統、政策與辦法。

控制環境和自動化

AWS 採用安全控制,以作為管理整個組織風險的基本要素。AWS 控制環境由標準、流程和結構組成,這些標準、流程和結構為在整個 AWS 中實施一組最低安全要求奠定了基礎。

雖然作為 AWS 控制環境一部分的流程和標準獨立存在,但 AWS 還利用了 Amazon 整體控制環境的各個方面。運用的工具包括:

  • 用於所有 Amazon 企業的工具,例如管理職能分工的工具

  • 某些 Amazon 範圍內的業務職能部門,例如法務、人力資源和財務

在 AWS 利用 Amazon 的整體控制環境情況下,管理這些機制的標準和流程是專門為 AWS 業務量身訂做的。這意味著,對於其在 AWS 控制環境中的使用和應用的期望可能與其在整個 Amazon 環境中的使用和應用的期望不同。AWS 控制環境最終是充當 AWS 服務產品安全交付的基礎。

控制自動化是減少 AWS 對組成 AWS 控制環境的某些重複流程進行人工干預的一種方式。其為有效實施資訊安全控制和相關風險管理的關鍵。控制自動化尋求主動地最小化執行過程中潛在的不一致現象,此不一致可能是由於人類進行重複性過程的缺陷本質所引起的。透過控制自動化,消除了潛在的過程偏差。這提供了更大程度的保證,即控制將依設計加以應用。

AWS 跨安全功能的工程團隊負責設計 AWS 控制環境,盡可能支援更高階層級的控制自動化。AWS 的自動控制範例包括:

  • 管控和監督:政策版本控制和核准

  • 人事管理:自動化培訓交付,快速解僱員工

  • 開發和組態管理:代碼部署管道、代碼掃描、代碼備份、整合部署測試

  • Identity and Access Management:自動職能分工、存取審查、許可管理

  • 監控和日誌記錄:自動日誌收集和關聯,警示

  • 物理安全:與 AWS 資料中心相關的自動化流程,包括硬體管理、資料中心安全培訓、存取警示和物理存取管理

  • 掃描和修補程式管理:自動化漏洞掃描、修補程式管理和部署

控制評估和持續監控

AWS 在服務部署前後執行各種活動,以進一步降低 AWS 環境中的風險。這些活動在每個 AWS 服務的設計和開發過程中整合了安全和合規要求,然後驗證服務在移至生產 (啟動) 後是否安全運行。

風險管理和合規活動包括兩項啟動前活動和兩項啟動後活動。啟動前活動如下:

  • AWS 應用程式安全風險管理審核,以驗證安全風險是否已確定且緩解

  • 架構就緒性審查,可協助客戶確保與合規制度保持一致

部署服務時,服務將會根據詳細的安全要求進行嚴格評估,以符合 AWS 的安全性高標準。啟動後活動包括:

  • AWS 應用程式安全持續審核,以協助確保維持服務安全狀態

  • 持續漏洞管理掃描

這些控制評估和持續監控可使受監管客戶在 AWS 服務上自信地建置合規解決方案。如需有關各種合規計畫範圍內的服務清單,請參閲 AWS 服務範圍網頁。

AWS 認證、計畫、報告與第三方證明

AWS 定期接受獨立的第三方證明稽核,以確保控制活動依預期運行。更具體地説,AWS 會根據各種全球和區域安全架構進行稽核,此取決於區域和產業。AWS 參與了 50 多個不同的稽核計畫。

這些稽核結果由評估機構記錄,並透過 AWS Artifact 提供給所有的 AWS 客戶。AWS Artifact 是個免費的自助服務入口網站,可讓您隨需存取 AWS 合規報告。發佈新的報告時,其會顯示於 AWS Artifact 中,可讓客戶以立即存取新報告來持續監控 AWS 的安全性和合規性。

根據國家/地區或產業的當地法規或合約要求,AWS 還可能直接接受客戶或政府稽核員的稽核。這些稽核提供了對 AWS 控制環境的額外監督,可確保客戶擁有使用 AWS 服務以自信、合規及風險型方法協助自己作業的工具。

如需有關 AWS 認證計畫、報告和第三方證明的詳細資訊,請造訪 AWS 合規計畫網頁。您還可造訪 AWS 服務範圍網頁,了解服務特定的資訊。

雲端安全聯盟

AWS 參與自願性雲端安全聯盟 (CSA) 安全、信任和保證註冊 (STAR) 自我評估,以記錄我們是否符合 CSA 公佈的最佳實務。CSA 是「全球領先的組織,致力於定義和提高對最佳實務的認識,協助確保安全的雲端運算環境」。CSA 自我主動評估問卷 (CAIQ) 提供 CSA 預期雲端客戶一組問題且/或雲端稽核員將會詢問雲端供應商。其提供一系列安全、控制和流程問題,可用於廣泛的工作,包括雲端供應商選項和安全評估。

客戶可使用兩種資源來記錄 AWS 與 CSA CAIQ 的一致性。第一份是 CSA CAIQ 白皮書,第二份是更詳細的控制映射至我們的 SOC-2 控制項,可透過 AWS Artifact 取得。有關 AWS 參與 CSA CAIQ 的詳細資訊,請參閲 AWS CSA 網站