Memahami AWS Audit Manager konsep dan terminologi

Penilaian

Anda dapat menggunakan penilaian Audit Manager untuk secara otomatis mengumpulkan bukti yang relevan untuk audit.

Penilaian didasarkan pada kerangka kerja, yang merupakan pengelompokan kontrol yang terkait dengan audit Anda. Anda dapat membuat penilaian dari kerangka kerja standar atau kerangka kerja khusus. Kerangka kerja standar berisi set kontrol bawaan yang mendukung standar atau peraturan kepatuhan tertentu. Sebaliknya, kerangka kerja khusus berisi kontrol yang dapat Anda sesuaikan dan kelompokkan sesuai dengan persyaratan audit spesifik Anda. Menggunakan kerangka kerja sebagai titik awal, Anda dapat membuat penilaian yang menentukan Akun AWS yang ingin Anda sertakan dalam lingkup audit Anda.

Saat Anda membuat penilaian, Audit Manager secara otomatis mulai menilai sumber daya Akun AWS berdasarkan kontrol yang ditentukan dalam kerangka kerja. Selanjutnya, ia mengumpulkan bukti yang relevan dan mengubahnya menjadi format yang ramah auditor. Setelah melakukan ini, kemudian melampirkan bukti ke kontrol dalam penilaian Anda. Ketika tiba waktunya untuk audit, Anda—atau delegasi pilihan Anda—dapat meninjau bukti yang dikumpulkan dan kemudian menambahkannya ke laporan penilaian. Laporan penilaian ini membantu Anda menunjukkan bahwa kontrol Anda berfungsi sebagaimana dimaksud.

Pengumpulan bukti adalah proses berkelanjutan yang dimulai saat Anda membuat penilaian. Anda dapat menghentikan pengumpulan bukti dengan mengubah status penilaian menjadi tidak aktif. Atau, Anda dapat menghentikan pengumpulan bukti di tingkat kontrol. Anda dapat melakukan ini dengan mengubah status kontrol tertentu dalam penilaian Anda menjadi tidak aktif.

Untuk petunjuk tentang cara membuat dan mengelola penilaian, lihatMengelola penilaian di AWS Audit Manager.

Laporan penilaian

Laporan penilaian adalah dokumen final yang dihasilkan dari penilaian Audit Manager. Laporan ini merangkum bukti relevan yang dikumpulkan untuk audit Anda. Mereka menautkan ke folder bukti yang relevan. Folder diberi nama dan diatur sesuai dengan kontrol yang ditentukan dalam penilaian Anda. Untuk setiap penilaian, Anda dapat meninjau bukti yang dikumpulkan Audit Manager, dan memutuskan bukti mana yang ingin Anda sertakan dalam laporan penilaian.

Untuk mempelajari lebih lanjut tentang laporan penilaian, lihatLaporan penilaian. Untuk mempelajari cara membuat laporan penilaian, lihatMempersiapkan laporan penilaian di AWS Audit Manager.

Tujuan laporan penilaian

Tujuan laporan penilaian adalah bucket S3 default tempat Audit Manager menyimpan laporan penilaian Anda. Untuk mempelajari selengkapnya, lihat Mengonfigurasi tujuan laporan penilaian default.

Audit

Audit adalah pemeriksaan independen terhadap aset, operasi, atau integritas bisnis organisasi Anda. Audit teknologi informasi (TI) secara khusus memeriksa kontrol dalam sistem informasi organisasi Anda. Tujuan dari audit TI adalah untuk menentukan apakah sistem informasi melindungi aset, beroperasi secara efektif, dan menjaga integritas data. Semua ini penting untuk memenuhi persyaratan peraturan yang diamanatkan oleh standar atau peraturan kepatuhan.

Pemilik audit

Istilah pemilik audit memiliki dua arti yang berbeda tergantung pada konteksnya.

Dalam konteks Audit Manager, pemilik audit adalah pengguna atau peran yang mengelola penilaian dan sumber daya terkait. Tanggung jawab persona Audit Manager ini meliputi membuat penilaian, meninjau bukti, dan menghasilkan laporan penilaian. Audit Manager adalah layanan kolaboratif, dan pemilik audit mendapat manfaat ketika pemangku kepentingan lain berpartisipasi dalam penilaian mereka. Misalnya, Anda dapat menambahkan pemilik audit lain ke penilaian Anda untuk berbagi tugas manajemen. Atau, jika Anda adalah pemilik audit dan Anda memerlukan bantuan untuk menafsirkan bukti yang dikumpulkan untuk kontrol, Anda dapat mendelegasikan kontrol itu kepada pemangku kepentingan yang memiliki keahlian materi pelajaran di bidang tersebut. Orang seperti itu dikenal sebagai persona delegasi.

Dalam istilah bisnis, pemilik audit adalah seseorang yang mengoordinasikan dan mengawasi upaya kesiapan audit perusahaan mereka, dan menyajikan bukti kepada auditor. Biasanya, ini adalah profesional tata kelola, risiko, dan kepatuhan (GRC), seperti Petugas Kepatuhan atau Petugas Perlindungan Data GDPR. Profesional GRC memiliki keahlian dan wewenang untuk mengelola persiapan audit. Lebih khusus lagi, mereka memahami persyaratan kepatuhan, dan dapat menganalisis, menafsirkan, dan menyiapkan data pelaporan. Namun, peran bisnis lainnya juga dapat mengasumsikan persona Audit Manager dari pemilik audit — tidak hanya profesional GRC yang mengambil peran ini. Misalnya, Anda dapat memilih agar penilaian Audit Manager disiapkan dan dikelola oleh pakar teknis dari salah satu tim berikut:

SecOps
IT/ DevOps
Pusat Operasi Keamanan/Respon Insiden
Tim serupa yang memiliki, mengembangkan, memulihkan, dan menyebarkan aset cloud, serta memahami infrastruktur cloud organisasi Anda

Siapa yang Anda pilih untuk ditetapkan sebagai pemilik audit dalam penilaian Audit Manager Anda sangat bergantung pada organisasi Anda. Itu juga tergantung pada bagaimana Anda menyusun operasi keamanan Anda dan spesifikasi audit. Dalam Audit Manager, individu yang sama dapat mengasumsikan persona pemilik audit dalam satu penilaian, dan persona delegasi di penilaian lain.

Tidak peduli bagaimana Anda memilih untuk menggunakan Audit Manager, Anda dapat mengelola pemisahan tugas di seluruh organisasi Anda menggunakan persona pemilik audit/delegasi dan memberikan kebijakan IAM khusus kepada setiap pengguna. Melalui pendekatan dua langkah ini, Audit Manager memastikan bahwa Anda memiliki kendali penuh atas semua spesifikasi penilaian individu. Untuk informasi selengkapnya, lihat Kebijakan yang disarankan untuk persona pengguna di AWS Audit Manager.

AWS sumber terkelola

Sumber AWS terkelola adalah sumber bukti yang AWS disimpan untuk Anda.

Setiap sumber AWS terkelola adalah pengelompokan sumber data yang telah ditentukan sebelumnya yang memetakan ke kontrol umum atau kontrol inti tertentu. Ketika Anda menggunakan kontrol umum sebagai sumber bukti, Anda secara otomatis mengumpulkan bukti untuk semua kontrol inti yang mendukung kontrol bersama itu. Anda juga dapat menggunakan kontrol inti individu sebagai sumber bukti.

Setiap kali sumber AWS terkelola diperbarui, pembaruan yang sama secara otomatis diterapkan ke semua kontrol khusus yang menggunakan sumber AWS terkelola tersebut. Ini berarti bahwa kontrol kustom Anda mengumpulkan bukti terhadap definisi terbaru dari sumber bukti tersebut. Ini membantu Anda memastikan kepatuhan berkelanjutan saat lingkungan kepatuhan cloud berubah.

Lihat juga:customer managed source,evidence source.

Changelog

Untuk setiap kontrol dalam penilaian, Audit Manager melacak aktivitas pengguna untuk kontrol tersebut. Anda kemudian dapat meninjau jejak audit aktivitas yang terkait dengan kontrol tertentu. Untuk informasi selengkapnya tentang aktivitas pengguna yang ditangkap di changelog, lihat. Tab Changelog

Kepatuhan cloud

Kepatuhan cloud adalah prinsip umum bahwa sistem yang dikirim cloud harus sesuai dengan standar yang dihadapi oleh pelanggan cloud.

Kontrol umum

Lihat control.

Peraturan kepatuhan

Peraturan kepatuhan adalah hukum, aturan, atau perintah lain yang ditentukan oleh otoritas, biasanya untuk mengatur perilaku. Salah satu contohnya adalah GDPR.

Standar kepatuhan

Standar kepatuhan adalah seperangkat pedoman terstruktur yang merinci proses organisasi untuk mempertahankan sesuai dengan peraturan, spesifikasi, atau undang-undang yang ditetapkan. Contohnya termasuk PCI DSS dan HIPAA.

Pengendalian

Kontrol adalah perlindungan atau penanggulangan yang ditentukan untuk sistem informasi atau organisasi. Kontrol dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan informasi Anda, dan untuk memenuhi serangkaian persyaratan yang ditetapkan. Mereka memberikan jaminan bahwa sumber daya Anda beroperasi sebagaimana dimaksud, data Anda dapat diandalkan, dan organisasi Anda mematuhi hukum dan peraturan yang berlaku.

Dalam Audit Manager, kontrol juga dapat mewakili pertanyaan dalam kuesioner penilaian risiko vendor. Dalam hal ini, kontrol adalah pertanyaan spesifik yang menanyakan informasi tentang keamanan dan postur kepatuhan organisasi.

Kontrol mengumpulkan bukti secara terus-menerus saat mereka aktif dalam penilaian Audit Manager Anda. Anda juga dapat menambahkan bukti secara manual ke kontrol apa pun. Setiap bukti adalah catatan yang membantu Anda menunjukkan kepatuhan terhadap persyaratan kontrol.

Audit Manager menyediakan jenis kontrol berikut:

Jenis kontrol	Deskripsi
Kontrol umum	Anda dapat menganggap kontrol bersama sebagai tindakan yang membantu Anda memenuhi tujuan kontrol. Karena kontrol umum tidak spesifik untuk standar kepatuhan apa pun, mereka membantu Anda mengumpulkan bukti yang dapat mendukung berbagai kewajiban kepatuhan yang tumpang tindih. Misalnya, katakanlah memiliki tujuan kontrol yang disebut Klasifikasi dan penanganan data. Untuk memenuhi tujuan ini, Anda dapat menerapkan kontrol umum yang disebut Kontrol akses untuk memantau dan mendeteksi akses tidak sah ke sumber daya Anda. Kontrol umum otomatis mengumpulkan bukti untuk Anda. Mereka terdiri dari pengelompokan satu atau lebih kontrol inti terkait. Pada gilirannya, masing-masing kontrol inti ini secara otomatis mengumpulkan bukti yang relevan dari kelompok sumber AWS data yang telah ditentukan sebelumnya. AWS mengelola sumber data yang mendasari ini untuk Anda, dan memperbaruinya setiap kali peraturan dan standar berubah dan sumber data baru diidentifikasi. Kontrol umum manual mengharuskan Anda untuk mengunggah bukti Anda sendiri. Ini karena mereka biasanya memerlukan penyediaan catatan fisik, atau rincian tentang peristiwa yang terjadi di luar AWS lingkungan Anda. Untuk alasan ini, seringkali tidak ada sumber AWS data yang dapat menghasilkan bukti untuk mendukung persyaratan kontrol umum manual. Anda tidak dapat mengedit kontrol umum. Namun, Anda dapat menggunakan kontrol umum apa pun sebagai sumber bukti saat Anda membuat kontrol khusus.
Kontrol inti	Ini adalah pedoman preskriptif untuk lingkungan Anda. AWS Anda dapat menganggap kontrol inti sebagai tindakan yang membantu Anda memenuhi persyaratan kontrol bersama. Misalnya, katakanlah Anda menggunakan kontrol umum yang disebut Kontrol akses untuk memantau akses tidak sah ke sumber daya Anda. Untuk mendukung kontrol umum ini, Anda dapat menggunakan kontrol inti yang disebut Blokir akses baca publik di bucket S3. Karena kontrol inti tidak spesifik untuk standar kepatuhan apa pun, mereka mengumpulkan bukti yang dapat mendukung berbagai kewajiban kepatuhan yang tumpang tindih. Setiap kontrol inti menggunakan satu atau lebih sumber data untuk mengumpulkan bukti tentang suatu spesifik Layanan AWS. AWS mengelola sumber data yang mendasari ini untuk Anda, dan memperbaruinya setiap kali peraturan dan standar berubah dan sumber data baru diidentifikasi. Anda tidak dapat mengedit kontrol inti. Namun, Anda dapat menggunakan kontrol inti apa pun sebagai sumber bukti saat Anda membuat kontrol khusus.
Kontrol standar	Ini adalah kontrol bawaan yang disediakan Audit Manager. Anda dapat menggunakan kontrol standar untuk membantu Anda dengan persiapan audit untuk standar kepatuhan tertentu. Setiap kontrol standar terkait dengan standar tertentu framework di Audit Manager, dan mengumpulkan bukti yang dapat Anda gunakan untuk menunjukkan kepatuhan terhadap kerangka kerja tersebut. Kontrol standar mengumpulkan bukti dari sumber data yang mendasari yang AWS mengelola. Sumber data ini diperbarui secara otomatis setiap kali peraturan dan standar berubah dan sumber data baru diidentifikasi. Anda tidak dapat mengedit kontrol standar. Namun, Anda dapat membuat salinan kontrol standar yang dapat diedit.
Kontrol kustom	Ini adalah kontrol yang Anda buat di Audit Manager untuk memenuhi persyaratan kepatuhan spesifik Anda. Anda dapat membuat kontrol kustom dari awal, atau membuat salinan yang dapat diedit dari kontrol standar yang ada. Saat membuat kontrol kustom, Anda dapat menentukan evidence source s tertentu yang menentukan dari mana Audit Manager mengumpulkan bukti. Setelah Anda membuat kontrol kustom, Anda dapat mengedit kontrol itu atau menambahkannya ke kerangka kustom. Anda juga dapat membuat salinan yang dapat diedit dari kontrol kustom apa pun.

Domain kontrol

Anda dapat menganggap domain kontrol sebagai kategori kontrol yang tidak spesifik untuk standar kepatuhan apa pun. Contoh domain kontrol adalah Perlindungan data.

Kontrol sering dikelompokkan berdasarkan domain untuk tujuan organisasi yang sederhana. Setiap domain memiliki beberapa tujuan.

Pengelompokan domain kontrol adalah salah satu fitur paling canggih dari dasbor Audit Manager. Audit Manager menyoroti kontrol dalam penilaian Anda yang memiliki bukti yang tidak sesuai, dan mengelompokkannya berdasarkan domain kontrol. Ini memungkinkan Anda untuk memfokuskan upaya remediasi Anda pada domain subjek tertentu saat Anda mempersiapkan audit.

Tujuan kontrol

Tujuan kontrol menggambarkan tujuan dari kontrol umum yang berada di bawahnya. Setiap tujuan dapat memiliki beberapa kontrol umum. Jika kontrol umum ini berhasil diterapkan, mereka akan membantu Anda memenuhi tujuan.

Setiap tujuan kontrol berada di bawah domain kontrol. Misalnya, domain kontrol perlindungan data mungkin memiliki tujuan kontrol bernama Klasifikasi dan penanganan data. Untuk mendukung tujuan kontrol ini, Anda dapat menggunakan kontrol umum yang disebut Kontrol akses untuk memantau dan mendeteksi akses tidak sah ke sumber daya Anda.

Kontrol inti

Lihat control.

Kontrol kustom

Lihat control.

Sumber terkelola pelanggan

Sumber yang dikelola pelanggan adalah sumber bukti yang Anda tentukan.

Saat membuat kontrol khusus di Audit Manager, Anda dapat menggunakan opsi ini untuk membuat sumber data individual Anda sendiri. Ini memberi Anda fleksibilitas untuk mengumpulkan bukti otomatis dari sumber daya khusus bisnis, seperti aturan khusus AWS Config . Anda juga dapat menggunakan opsi ini jika Anda ingin menambahkan bukti manual ke kontrol kustom Anda.

Ketika Anda menggunakan sumber yang dikelola pelanggan, Anda bertanggung jawab untuk menjaga semua sumber data yang Anda buat.

Lihat juga:AWS managed source,evidence source.

Sumber data

Audit Manager menggunakan sumber data untuk mengumpulkan bukti untuk kontrol. Sumber data memiliki properti berikut:

Tipe sumber data menentukan jenis sumber data Audit Manager yang mengumpulkan bukti.
- Untuk bukti otomatis, jenisnya bisa berupa AWS Security Hub, AWS Config AWS CloudTrail, atau panggilan AWS API.
- Jika Anda mengunggah bukti Anda sendiri, jenisnya adalah Manual.
- Audit Manager API mengacu pada tipe sumber data sebagai SourceType.
Pemetaan sumber data adalah kata kunci yang menunjukkan dengan tepat dari mana bukti dikumpulkan untuk jenis sumber data tertentu.
- Misalnya, ini mungkin nama CloudTrail acara atau nama AWS Config aturan.
- Audit Manager API mengacu pada pemetaan sumber data sebagai SourceKeyword.
Nama sumber data memberi label pasangan tipe sumber data dan pemetaan.
- Untuk kontrol standar, Audit Manager memberikan nama default.
- Untuk kontrol khusus, Anda dapat memberikan nama Anda sendiri.
- Audit Manager API mengacu pada nama sumber data sebagai SourceName.

Kontrol tunggal dapat memiliki beberapa tipe sumber data dan beberapa pemetaan. Misalnya, satu kontrol mungkin mengumpulkan bukti dari campuran tipe sumber data (seperti AWS Config dan Security Hub). Kontrol lain AWS Config mungkin memiliki satu-satunya tipe sumber data, dengan beberapa AWS Config aturan sebagai pemetaan.

Tabel berikut mencantumkan tipe sumber data otomatis dan menunjukkan contoh beberapa pemetaan yang sesuai.

Jenis sumber data	Deskripsi	Contoh pemetaan
AWS Security Hub	Gunakan tipe sumber data ini untuk menangkap snapshot dari postur keamanan sumber daya Anda. Audit Manager menggunakan nama kontrol Security Hub sebagai kata kunci pemetaan, dan melaporkan hasil pemeriksaan keamanan tersebut langsung dari Security Hub.	`EC2.1`
AWS Config	Gunakan tipe sumber data ini untuk menangkap snapshot dari postur keamanan sumber daya Anda. Audit Manager menggunakan nama AWS Config aturan sebagai kata kunci pemetaan, dan melaporkan hasil pemeriksaan aturan tersebut langsung dari AWS Config.	`SNS_ENCRYPTED_KMS`
AWS CloudTrail	Gunakan tipe sumber data ini untuk melacak aktivitas pengguna tertentu yang diperlukan dalam audit Anda. Audit Manager menggunakan nama CloudTrail acara sebagai kata kunci pemetaan, dan mengumpulkan aktivitas pengguna terkait dari log Anda CloudTrail .	`CreateAccessKey`
AWS Panggilan API	Gunakan tipe sumber data ini untuk mengambil snapshot konfigurasi sumber daya Anda melalui panggilan API ke yang spesifik Layanan AWS. Audit Manager menggunakan nama panggilan API sebagai kata kunci pemetaan, dan mengumpulkan respons API.	`kms_ListKeys`

Mendelegasikan

Delegasi adalah AWS Audit Manager pengguna dengan izin terbatas. Delegasi biasanya memiliki keahlian bisnis atau teknis khusus. Misalnya, keahlian ini mungkin dalam kebijakan penyimpanan data, rencana pelatihan, infrastruktur jaringan, atau manajemen identitas. Delegasi membantu pemilik audit meninjau bukti yang dikumpulkan untuk kontrol yang berada di bidang keahlian mereka. Delegasi dapat meninjau set kontrol dan bukti terkait mereka, menambahkan komentar, mengunggah bukti tambahan, dan memperbarui status setiap kontrol yang Anda tetapkan kepada mereka untuk ditinjau.

Pemilik audit menetapkan set kontrol khusus untuk delegasi, bukan seluruh penilaian. Akibatnya, delegasi memiliki akses terbatas ke penilaian. Untuk petunjuk tentang cara mendelegasikan set kontrol, lihatDelegasi di AWS Audit Manager.

Bukti

Bukti adalah catatan yang berisi informasi yang diperlukan untuk menunjukkan kepatuhan terhadap persyaratan kontrol. Contoh bukti termasuk aktivitas perubahan yang dipanggil oleh pengguna, dan snapshot konfigurasi sistem.

Ada dua jenis bukti utama dalam Audit Manager: bukti otomatis dan bukti manual.

Jenis bukti	Deskripsi
Bukti otomatis	Ini adalah bukti yang dikumpulkan oleh Audit Manager secara otomatis. Ini termasuk tiga kategori bukti otomatis berikut: Pemeriksaan kepatuhan — Hasil pemeriksaan kepatuhan diambil dari AWS Security Hub, AWS Config, atau keduanya. Contoh pemeriksaan kepatuhan termasuk hasil pemeriksaan keamanan dari Security Hub untuk kontrol PCI DSS, dan evaluasi AWS Config aturan untuk kontrol HIPAA. Untuk informasi selengkapnya, lihat Aturan AWS Config didukung oleh AWS Audit Manager dan AWS Security Hub kontrol yang didukung oleh AWS Audit Manager. Aktivitas pengguna — Aktivitas pengguna yang mengubah konfigurasi sumber daya diambil dari CloudTrail log saat aktivitas tersebut terjadi. Contoh aktivitas pengguna termasuk pembaruan tabel rute, perubahan setelan cadangan instans Amazon RDS, dan perubahan kebijakan enkripsi bucket S3. Untuk informasi selengkapnya, lihat AWS CloudTrail nama acara yang didukung oleh AWS Audit Manager. Data konfigurasi — Sebuah snapshot dari konfigurasi sumber daya diambil langsung dari setiap hari, mingguan, atau bulanan. Layanan AWS Contoh snapshot konfigurasi mencakup daftar rute untuk tabel rute VPC, setelan cadangan instans Amazon RDS, dan kebijakan enkripsi bucket S3. Untuk informasi selengkapnya, lihat AWS Panggilan API didukung oleh AWS Audit Manager.
Bukti manual	Ini adalah bukti yang Anda tambahkan ke Audit Manager sendiri. Ada tiga cara untuk menambahkan bukti Anda sendiri: Impor file dari Amazon S3 Unggah file dari browser Anda Masukkan respons teks untuk pertanyaan penilaian risiko Untuk informasi selengkapnya, lihat Menambahkan bukti manual di AWS Audit Manager.

Jenis bukti

Deskripsi

Bukti otomatis

Ini adalah bukti yang dikumpulkan oleh Audit Manager secara otomatis. Ini termasuk tiga kategori bukti otomatis berikut:

Pemeriksaan kepatuhan — Hasil pemeriksaan kepatuhan diambil dari AWS Security Hub, AWS Config, atau keduanya.

Contoh pemeriksaan kepatuhan termasuk hasil pemeriksaan keamanan dari Security Hub untuk kontrol PCI DSS, dan evaluasi AWS Config aturan untuk kontrol HIPAA.

Untuk informasi selengkapnya, lihat Aturan AWS Config didukung oleh AWS Audit Manager dan AWS Security Hub kontrol yang didukung oleh AWS Audit Manager.
Aktivitas pengguna — Aktivitas pengguna yang mengubah konfigurasi sumber daya diambil dari CloudTrail log saat aktivitas tersebut terjadi.

Contoh aktivitas pengguna termasuk pembaruan tabel rute, perubahan setelan cadangan instans Amazon RDS, dan perubahan kebijakan enkripsi bucket S3.

Untuk informasi selengkapnya, lihat AWS CloudTrail nama acara yang didukung oleh AWS Audit Manager.
Data konfigurasi — Sebuah snapshot dari konfigurasi sumber daya diambil langsung dari setiap hari, mingguan, atau bulanan. Layanan AWS

Contoh snapshot konfigurasi mencakup daftar rute untuk tabel rute VPC, setelan cadangan instans Amazon RDS, dan kebijakan enkripsi bucket S3.

Untuk informasi selengkapnya, lihat AWS Panggilan API didukung oleh AWS Audit Manager.

Bukti manual

Ini adalah bukti yang Anda tambahkan ke Audit Manager sendiri. Ada tiga cara untuk menambahkan bukti Anda sendiri:

Impor file dari Amazon S3
Unggah file dari browser Anda
Masukkan respons teks untuk pertanyaan penilaian risiko

Untuk informasi selengkapnya, lihat Menambahkan bukti manual di AWS Audit Manager.

Pengumpulan bukti otomatis dimulai saat Anda membuat penilaian. Ini adalah proses yang berkelanjutan, dan Audit Manager mengumpulkan bukti pada frekuensi yang berbeda tergantung pada jenis bukti dan sumber data yang mendasarinya. Untuk informasi selengkapnya, lihat Memahami bagaimana AWS Audit Manager mengumpulkan bukti.

Untuk petunjuk tentang cara meninjau bukti dalam penilaian, lihatMeninjau bukti di AWS Audit Manager.

Sumber bukti

Sumber bukti menentukan dari mana kontrol mengumpulkan bukti. Ini bisa berupa sumber data individu, atau pengelompokan sumber data yang telah ditentukan sebelumnya yang memetakan ke kontrol umum atau kontrol inti.

Saat membuat kontrol khusus, Anda dapat mengumpulkan bukti dari sumber AWS terkelola, sumber yang dikelola pelanggan, atau keduanya.

Tip

Kami menyarankan Anda menggunakan sumber AWS terkelola. Setiap kali sumber AWS terkelola diperbarui, pembaruan yang sama secara otomatis diterapkan ke semua kontrol khusus yang menggunakan sumber ini. Ini berarti bahwa kontrol kustom Anda selalu mengumpulkan bukti terhadap definisi terbaru dari sumber bukti tersebut. Ini membantu Anda memastikan kepatuhan berkelanjutan saat lingkungan kepatuhan cloud berubah.

Lihat juga:AWS managed source,customer managed source.

Metode pengumpulan bukti

Ada dua cara kontrol dapat mengumpulkan bukti.

Metode pengumpulan bukti	Deskripsi
Otomatis	Kontrol otomatis secara otomatis mengumpulkan bukti dari sumber AWS data. Bukti otomatis ini dapat membantu Anda menunjukkan kepatuhan penuh atau sebagian terhadap kontrol.
Manual	Kontrol manual mengharuskan Anda untuk mengunggah bukti Anda sendiri untuk menunjukkan kepatuhan terhadap kontrol.

catatan

Anda dapat melampirkan bukti manual ke kontrol otomatis apa pun. Dalam banyak kasus, kombinasi bukti otomatis dan manual diperlukan untuk menunjukkan kepatuhan penuh terhadap kontrol. Meskipun Audit Manager dapat memberikan bukti otomatis yang bermanfaat dan relevan, beberapa bukti otomatis mungkin hanya menunjukkan kepatuhan sebagian. Dalam hal ini, Anda dapat melengkapi bukti otomatis yang diberikan Audit Manager dengan bukti Anda sendiri.

Sebagai contoh:

AWS kerangka praktik terbaik AI generatif v2Berisi kontrol yang disebutError analysis. Kontrol ini mengharuskan Anda untuk mengidentifikasi kapan ketidakakuratan terdeteksi dalam penggunaan model Anda. Ini juga mengharuskan Anda untuk melakukan analisis kesalahan menyeluruh untuk memahami akar penyebab dan mengambil tindakan korektif.
Untuk mendukung kontrol ini, Audit Manager mengumpulkan bukti otomatis yang menunjukkan jika CloudWatch alarm diaktifkan untuk Akun AWS tempat penilaian Anda berjalan. Anda dapat menggunakan bukti ini untuk menunjukkan kepatuhan sebagian terhadap kontrol dengan membuktikan bahwa alarm dan pemeriksaan Anda dikonfigurasi dengan benar.
Untuk menunjukkan kepatuhan penuh, Anda dapat melengkapi bukti otomatis dengan bukti manual. Misalnya, Anda dapat mengunggah kebijakan atau prosedur yang menunjukkan proses analisis kesalahan, ambang batas untuk eskalasi dan pelaporan, dan hasil analisis akar penyebab Anda. Anda dapat menggunakan bukti manual ini untuk menunjukkan bahwa kebijakan yang ditetapkan sudah ada, dan bahwa tindakan korektif diambil saat diminta.

Untuk contoh yang lebih rinci, lihat Kontrol dengan sumber data campuran.

Tujuan ekspor

Tujuan ekspor adalah bucket S3 default tempat Audit Manager menyimpan file yang Anda ekspor dari pencari bukti. Untuk informasi selengkapnya, lihat Mengonfigurasi tujuan ekspor default Anda untuk pencari bukti.

Kerangka

Kerangka kerja Audit Manager menyusun dan mengotomatiskan penilaian untuk standar atau prinsip tata kelola risiko tertentu. Kerangka kerja ini mencakup kumpulan kontrol bawaan atau yang ditentukan pelanggan, dan mereka membantu Anda memetakan AWS sumber daya Anda sesuai persyaratan kontrol ini.

Ada dua jenis framework di Audit Manager.

Jenis kerangka	Deskripsi
Kerangka standar	Ini adalah kerangka kerja bawaan yang didasarkan pada praktik AWS terbaik untuk berbagai standar dan peraturan kepatuhan. Anda dapat menggunakan kerangka kerja standar untuk membantu persiapan audit untuk standar atau peraturan kepatuhan tertentu, seperti PCI DSS atau HIPAA.
Kerangka kustom	Ini adalah kerangka kerja khusus yang Anda definisikan sebagai pengguna Audit Manager. Anda dapat menggunakan kerangka kerja khusus untuk membantu persiapan audit sesuai dengan persyaratan GRC spesifik Anda.

Jenis kerangka

Deskripsi

Kerangka standar

Ini adalah kerangka kerja bawaan yang didasarkan pada praktik AWS terbaik untuk berbagai standar dan peraturan kepatuhan.

Anda dapat menggunakan kerangka kerja standar untuk membantu persiapan audit untuk standar atau peraturan kepatuhan tertentu, seperti PCI DSS atau HIPAA.

Kerangka kustom

Ini adalah kerangka kerja khusus yang Anda definisikan sebagai pengguna Audit Manager.

Anda dapat menggunakan kerangka kerja khusus untuk membantu persiapan audit sesuai dengan persyaratan GRC spesifik Anda.

Untuk petunjuk tentang cara membuat dan mengelola kerangka kerja, lihatMenggunakan pustaka kerangka kerja untuk mengelola kerangka kerja di AWS Audit Manager.

catatan

AWS Audit Manager membantu mengumpulkan bukti yang relevan untuk memverifikasi kepatuhan terhadap standar dan peraturan kepatuhan tertentu. Namun, itu tidak menilai kepatuhan Anda sendiri. AWS Audit Manager Oleh karena itu, bukti yang dikumpulkan mungkin tidak mencakup semua informasi tentang AWS penggunaan Anda yang diperlukan untuk audit. AWS Audit Manager bukan pengganti penasihat hukum atau pakar kepatuhan.

Berbagi kerangka

Anda dapat menggunakan Berbagi kerangka kustom di AWS Audit Manager fitur ini untuk membagikan kerangka kerja kustom Anda dengan cepat di seluruh Akun AWS dan Wilayah. Untuk berbagi kerangka kustom, Anda membuat permintaan berbagi. Penerima kemudian memiliki 120 hari untuk menerima atau menolak permintaan. Ketika mereka menerima, Audit Manager mereplikasi kerangka kustom bersama ke dalam pustaka kerangka kerja mereka. Selain mereplikasi kerangka kustom, Audit Manager juga mereplikasi setiap set kontrol kustom dan kontrol yang terkandung dalam framework tersebut. Kontrol kustom ini ditambahkan ke pustaka kontrol penerima. Audit Manager tidak mereplikasi kerangka kerja atau kontrol standar. Ini karena sumber daya ini sudah tersedia secara default di setiap akun dan Wilayah.

Sumber Daya

Sumber daya adalah aset fisik atau informasi yang dinilai dalam audit. Contoh sumber AWS daya termasuk instans Amazon EC2, instans Amazon RDS, bucket Amazon S3, dan subnet Amazon VPC.

Penilaian sumber daya

Penilaian sumber daya adalah proses menilai sumber daya individu. Penilaian ini didasarkan pada persyaratan kontrol. Sementara penilaian aktif, Audit Manager menjalankan penilaian sumber daya untuk setiap sumber daya individu dalam lingkup penilaian. Penilaian sumber daya menjalankan serangkaian tugas berikut:

Mengumpulkan bukti termasuk konfigurasi sumber daya, log peristiwa, dan temuan
Menerjemahkan dan memetakan bukti ke kontrol
Menyimpan dan melacak garis keturunan bukti untuk memungkinkan integritas

Kepatuhan sumber daya

Kepatuhan sumber daya mengacu pada status evaluasi sumber daya yang dinilai saat mengumpulkan bukti pemeriksaan kepatuhan.

Audit Manager mengumpulkan bukti pemeriksaan kepatuhan untuk kontrol yang menggunakan AWS Config dan Security Hub sebagai tipe sumber data. Beberapa sumber daya dapat dinilai selama pengumpulan bukti ini. Akibatnya, satu bagian bukti pemeriksaan kepatuhan dapat mencakup satu atau lebih sumber daya.

Anda dapat menggunakan filter kepatuhan sumber daya di pencari bukti untuk menjelajahi status kepatuhan di tingkat sumber daya. Setelah penelusuran selesai, Anda kemudian dapat melihat pratinjau sumber daya yang cocok dengan kueri penelusuran Anda.

Dalam pencari bukti, ada tiga nilai yang mungkin untuk kepatuhan sumber daya:

Nilai	Deskripsi
Tidak patuh	Ini mengacu pada sumber daya dengan masalah pemeriksaan kepatuhan. Hal ini terjadi jika Security Hub melaporkan hasil Gagal untuk sumber daya, atau jika AWS Config melaporkan hasil yang tidak sesuai.
Sesuai	Ini mengacu pada sumber daya yang tidak memiliki masalah pemeriksaan kepatuhan. Hal ini terjadi jika Security Hub melaporkan hasil Pass untuk sumber daya, atau jika AWS Config melaporkan hasil Compliant.
Tidak meyakinkan	Ini mengacu pada sumber daya yang pemeriksaan kepatuhan tidak tersedia atau berlaku. Ini terjadi jika AWS Config atau Security Hub adalah tipe sumber data yang mendasarinya, tetapi layanan tersebut tidak diaktifkan. Ini juga terjadi jika tipe sumber data yang mendasarinya tidak mendukung pemeriksaan kepatuhan (seperti bukti manual, panggilan AWS API, atau CloudTrail).

Nilai

Deskripsi

Tidak patuh

Ini mengacu pada sumber daya dengan masalah pemeriksaan kepatuhan.

Hal ini terjadi jika Security Hub melaporkan hasil Gagal untuk sumber daya, atau jika AWS Config melaporkan hasil yang tidak sesuai.

Sesuai

Ini mengacu pada sumber daya yang tidak memiliki masalah pemeriksaan kepatuhan.

Hal ini terjadi jika Security Hub melaporkan hasil Pass untuk sumber daya, atau jika AWS Config melaporkan hasil Compliant.

Tidak meyakinkan

Ini mengacu pada sumber daya yang pemeriksaan kepatuhan tidak tersedia atau berlaku.

Ini terjadi jika AWS Config atau Security Hub adalah tipe sumber data yang mendasarinya, tetapi layanan tersebut tidak diaktifkan.

Ini juga terjadi jika tipe sumber data yang mendasarinya tidak mendukung pemeriksaan kepatuhan (seperti bukti manual, panggilan AWS API, atau CloudTrail).

Layanan dalam lingkup

Audit Manager mengelola yang Layanan AWS berada dalam ruang lingkup penilaian Anda. Jika Anda memiliki penilaian yang lebih lama, ada kemungkinan bahwa Anda secara manual menentukan layanan dalam ruang lingkup di masa lalu. Setelah 04 Juni 2024, Anda tidak dapat menentukan atau mengedit layanan secara manual dalam cakupan.

Layanan dalam ruang lingkup adalah Layanan AWS bahwa penilaian Anda mengumpulkan bukti tentang. Ketika layanan disertakan dalam lingkup penilaian Anda, Audit Manager menilai sumber daya layanan tersebut. Beberapa contoh sumber daya meliputi yang berikut:

Instans Amazon EC2
Ember S3
Pengguna atau peran IAM
Tabel DynamoDB
Komponen jaringan seperti Amazon Virtual Private Cloud (VPC), grup keamanan, atau tabel daftar kontrol akses jaringan (ACL)

Misalnya, jika Amazon S3 adalah layanan dalam cakupan, Audit Manager dapat mengumpulkan bukti tentang bucket S3 Anda. Bukti pasti yang dikumpulkan ditentukan oleh kontroldata source. Misalnya, jika tipe sumber data adalah AWS Config, dan pemetaan sumber data adalah AWS Config aturan (sepertis3-bucket-public-write-prohibited), Audit Manager mengumpulkan hasil evaluasi aturan tersebut sebagai bukti.

catatan

Perlu diingat bahwa layanan dalam lingkup berbeda dengan tipe sumber data, yang juga bisa berupa Layanan AWS atau sesuatu yang lain. Untuk informasi selengkapnya, lihat Apa perbedaan antara layanan dalam lingkup dan tipe sumber data? di bagian Pemecahan Masalah pada panduan ini.

Kontrol standar

Lihat control.