[AWS]AWS风险和合规计划

AWS在整个组织中集成了风险和合规计划。该计划旨在管理服务设计和部署各个阶段的风险，并不断改进和重新评估组织的风险相关活动。以下章节将更详细地讨论AWS集成风险和合规计划的组成部分。

AWS业务风险管理

AWS有一个业务风险管理（BRM）计划，该计划与AWS业务部门合作，为AWS董事会和AWS高级领导层提供整个AWS关键风险的整体视图。BRM计划展示了对AWS功能的独立风险监督。具体来说，BRM程序执行以下操作：

• 对AWS关键功能领域进行风险评估和风险监控
• 识别并推动风险补救

为了推动风险的补救，BRM计划报告其努力的结果，并在必要时上报给整个业务部门的董事和副总裁，以告知业务决策。

运营和业务管理

AWS结合每周、每月和每季度的会议和报告，以确保风险管理流程所有组成部分之间的风险沟通。此外，AWS实施了一个升级流程，以提供对整个组织高优先级风险的管理可见性。这些努力加在一起，有助于确保风险管理与AWS业务模型的复杂性保持一致。

此外，通过逐级责任结构，副总裁（企业主）负责监督其业务。为此，AWS每周举行会议，审查运营指标，并在关键趋势和风险影响业务之前确定它们。

高管和高级领导层在确立AWS基调和核心价值观方面发挥着重要作用。公司为每位员工提供《商业行为和道德规范》，员工定期接受培训。执行合规审计，以便员工了解并遵守既定政策。

AWS组织结构为规划、执行和控制业务运营提供了一个框架。组织结构包括角色和职责，以提供足够的人员配置、运营效率和职责分工。管理层还为关键人员建立了适当的汇报关系。该公司的招聘验证流程包括验证教育、以前的工作经历，在某些情况下，还包括法律法规允许的与员工职位和AWS设施访问级别相称的员工背景调查。该公司遵循结构化的入职流程，让新员工熟悉亚马逊的工具、流程、系统、政策和程序。

控制环境和自动化

AWS将安全控制作为管理整个组织风险的基本要素。AWS控制环境由标准、流程和结构组成，为在整个AWS中实施最低安全要求提供了基础。

虽然作为AWS控制环境一部分的流程和标准是独立的，但AWS也利用了亚马逊整体控制环境的各个方面。利用的工具包括：

• 所有亚马逊业务中使用的工具，例如管理职责分离的工具
• 某些亚马逊范围内的业务职能，如法律、人力资源和财务

在AWS利用亚马逊的整体控制环境的情况下，管理这些机制的标准和流程是专门为AWS业务量身定制的。这意味着，在AWS控制环境中对其使用和应用的期望可能与在整个亚马逊环境中的期望不同。AWS控制环境最终将作为安全交付AWS服务产品的基础。

控制自动化是AWS减少对构成AWS控制环境的某些重复过程的人为干预的一种方式。它是有效实施信息安全控制和相关风险管理的关键。控制自动化旨在主动最小化由于人类执行重复过程的缺陷而可能出现的过程执行中的潜在不一致。通过控制自动化，消除了潜在的过程偏差。这提供了更高水平的保证，即控制将按设计应用。

AWS跨安全职能的工程团队负责设计AWS控制环境，以尽可能支持更高级别的控制自动化。AWS的自动化控制示例包括：

• 治理和监督：政策版本控制和批准
• 人事管理：自动化培训交付，快速解雇员工
• 开发和配置管理：代码部署管道、代码扫描、代码备份、集成部署测试
• 身份和访问管理：自动化职责分离、访问审查、权限管理
• 监控和记录：自动日志收集和关联，报警
• 物理安全：与AWS数据中心相关的自动化流程，包括硬件管理、数据中心安全培训、访问报警和物理访问管理
• 扫描和补丁管理：自动漏洞扫描、补丁管理和部署

控制评估和持续监测

AWS在服务部署前后实施了各种活动，以进一步降低AWS环境中的风险。这些活动在每个AWS服务的设计和开发过程中整合了安全性和合规性要求，然后验证服务在投入生产（启动）后是否安全运行。

风险管理和合规活动包括两项发布前活动和两项发布后活动。发射前活动包括：

• AWS应用程序安全风险管理审查，以验证安全风险是否已被识别和缓解
• 架构准备情况审查，以帮助客户确保与合规制度保持一致

在部署时，服务将根据详细的安全要求进行严格的评估，以满足AWS的高安全标准。发射后的活动包括：

• AWS应用程序安全持续审查，以帮助确保维持服务安全态势
• 持续的漏洞管理扫描

这些控制评估和持续监控使受监管的客户能够自信地在AWS服务上构建合规的解决方案。有关各种合规计划范围内的服务列表，请参阅AWS服务范围网页。

AWS认证、计划、报告和第三方认证

AWS定期接受独立的第三方认证审计，以确保控制活动按预期运行。更具体地说，AWS会根据不同地区和行业的各种全球和区域安全框架进行审计。AWS参与了50多个不同的审计项目。

这些审计的结果由评估机构记录，并通过AWS Artifact提供给所有AWS客户。AWS Artifact是一个免费的自助服务门户，用于按需访问AWS合规报告。当新报告发布时，它们会在AWS Artifact中提供，使客户能够持续监控AWS的安全性和合规性，并立即访问新报告。

根据一个国家或行业的当地监管或合同要求，AWS也可能直接接受客户或政府审计师的审计。这些审计提供了对AWS控制环境的额外监督，以确保客户拥有工具来帮助自己使用AWS服务以自信、合规和基于风险的方式进行操作。

有关AWS认证计划、报告和第三方认证的更多详细信息，请访问AWS合规计划网页。您还可以访问AWS服务范围网页以获取服务特定信息。

云安全联盟

AWS参与了自愿的云安全联盟（CSA）安全、信任和保证注册中心（STAR）自我评估，以记录其对CSA发布的最佳实践的合规性。CSA是“世界领先的组织，致力于定义和提高对最佳实践的认识，以帮助确保安全的云计算环境”。CSA共识评估计划问卷（CAIQ）提供了一组CSA预计云客户和/或云审计员会向云提供商提出的问题。它提供了一系列安全、控制和流程问题，可用于广泛的工作，包括云提供商选择和安全评估。

客户可以使用两种资源来记录AWS与CSA CAIQ的一致性。第一个是CSA CAIQ白皮书，第二个是到我们的SOC-2控件的更详细的控件映射，可通过AWS Artifact访问。有关AWS参与CSA CAIQ的更多信息，请参阅AWS CSA网站。