OPS01-BP04 Evaluieren Sie die Compliance-Anforderungen - Säule „Betriebliche Exzellenz“

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

OPS01-BP04 Evaluieren Sie die Compliance-Anforderungen

Regulatorische, branchenspezifische und interne Compliance-Anforderungen sind ein wichtiger Faktor, wenn Sie die Prioritäten Ihrer Organisation definieren. Ihr Compliance-Regelwerk hindert Sie möglicherweise daran, spezifische Technologien oder geografische Standorte zu nutzen. Wenden Sie die erforderliche Sorgfalt an, wenn keine externen Compliance-Regelwerke identifiziert sind. Erstellen Sie Audits oder Berichte, die die Compliance bestätigen.

Wenn Sie damit werben, dass Ihr Produkt bestimmte Compliance-Standards erfüllt, benötigen Sie einen internen Prozess zur kontinuierlichen Gewährleistung der Compliance. Zu den Compliance-Standards gehören beispielsweise PCI DSSRAMP, Fed und. HIPAA Die geltenden Compliance-Standards werden durch verschiedene Faktoren bestimmt, beispielsweise dadurch, welche Datentypen von der Lösung gespeichert oder gesendet werden und welche geografischen Regionen die Lösung unterstützt.

Gewünschtes Ergebnis:

  • Die regulatorischen, branchenspezifischen und internen Compliance-Anforderungen werden bei der Auswahl der Architektur berücksichtigt.

  • Sie können die Compliance bestätigen und Audit-Berichte erstellen.

Typische Anti-Muster:

  • Teile Ihres Workloads fallen unter das Payment Card Industry Data Security Standard (PCI-DSS) -Framework, aber Ihr Workload speichert Kreditkartendaten unverschlüsselt.

  • Ihren Software-Entwicklern und -Architekten ist das Compliance-Regelwerk, das Ihre Organisation einhalten muss, nicht bekannt.

  • Das jährliche System and Organizations Control (SOC2) Type II Audit findet bald statt, und Sie können nicht überprüfen, ob die Kontrollen vorhanden sind.

Vorteile der Nutzung dieser bewährten Methode:

  • Die Bewertung und das Verständnis der Compliance-Anforderungen für Ihren Workload liefern die Grundlage dafür, wie Sie Ihre Anstrengungen zur Bereitstellung eines geschäftlichen Mehrwerts priorisieren.

  • Sie wählen die Ihrem Compliance-Regelwerk entsprechenden Standorte und Technologien.

  • Indem Sie Ihren Workload so entwerfen, dass Überprüfungen möglich sind, können Sie leichter nachweisen, dass Sie das Compliance-Regelwerk einhalten.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch

Implementierungsleitfaden

Wenn Sie diese bewährte Methode implementieren, bedeutet dies, dass Sie Compliance-Anforderungen in den Entwurfsprozess für Ihre Architektur integrieren. Ihren Teammitgliedern ist das erforderliche Compliance-Regelwerk bekannt. Sie bestätigen Ihre Compliance mit diesem Regelwerk.

Kundenbeispiel

AnyCompany Einzelhändler speichern Kreditkarteninformationen für Kunden. Die Entwickler des Kartenspeicher-Teams wissen, dass sie das PCI DSS -Framework einhalten müssen. Sie haben Schritte unternommen, um zu überprüfen, ob Kreditkarteninformationen gemäß dem PCI - DSS Framework sicher gespeichert und abgerufen werden. Jedes Jahr arbeiten sie mit dem Sicherheitsteam zusammen, um die Compliance zu bestätigen.

Implementierungsschritte

  1. Arbeiten Sie mit Ihrem Sicherheits- und Governance-Team zusammen, um zu ermitteln, welche branchenspezifischen, regulatorischen oder internen Compliance-Regelwerke Ihr Workload einhalten muss. Integrieren Sie die Compliance-Regelwerke in Ihren Workload.

    1. Überprüfen Sie die kontinuierliche Konformität der AWS Ressourcen mit Diensten wie AWS Compute Optimizerund AWS Security Hub.

  2. Informieren Sie Ihre Teammitglieder über die Compliance-Anforderungen, damit diese den Workload in Übereinstimmung mit den Anforderungen betreiben und weiterentwickeln können. Die Compliance-Anforderungen sollten bei architektur- und technologiebezogenen Entscheidungen berücksichtigt werden.

  3. Je nach Compliance-Regelwerk müssen Sie möglicherweise einen Audit- oder Compliance-Bericht erstellen. Arbeiten Sie mit Ihrer Organisation zusammen, um diesen Prozess so weit wie möglich zu automatisieren.

    1. Nutzen Sie Services wie AWS Audit Manager, um die Compliance zu validieren und Auditberichte zu erstellen.

    2. Sie können AWS Sicherheits- und Compliance-Dokumente mit AWS Artifactherunterladen.

Aufwand für den Implementierungsplan: Mittel. Die Implementierung von Compliance-Regelwerken kann eine Herausforderung darstellen. Das Erstellen von Auditberichten oder Compliance-Dokumenten erfordert zusätzlichen Aufwand.

Ressourcen

Zugehörige bewährte Methoden:

Zugehörige Dokumente:

Zugehörige Videos:

Zugehörige Beispiele:

Zugehörige Services: