Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memahami AWS Audit Manager konsep dan terminologi
Untuk membantu Anda memulai, halaman ini mendefinisikan istilah dan menjelaskan beberapa konsep kunci AWS Audit Manager.
A
A| B | C | D E | F | | G | H | I | J | K | L | M | N | O | P R | T S | T | U | W | X | Y | Z
- Penilaian
-
Anda dapat menggunakan penilaian Audit Manager untuk secara otomatis mengumpulkan bukti yang relevan untuk audit.
Penilaian didasarkan pada kerangka kerja, yang merupakan pengelompokan kontrol yang terkait dengan audit Anda. Anda dapat membuat penilaian dari kerangka kerja standar atau kerangka kerja khusus. Kerangka kerja standar berisi set kontrol bawaan yang mendukung standar atau peraturan kepatuhan tertentu. Sebaliknya, kerangka kerja khusus berisi kontrol yang dapat Anda sesuaikan dan kelompokkan sesuai dengan persyaratan audit spesifik Anda. Menggunakan kerangka kerja sebagai titik awal, Anda dapat membuat penilaian yang menentukan Akun AWS yang ingin Anda sertakan dalam lingkup audit Anda.
Saat Anda membuat penilaian, Audit Manager secara otomatis mulai menilai sumber daya di Akun AWS berdasarkan kontrol yang didefinisikan dalam kerangka kerja. Selanjutnya, ia mengumpulkan bukti yang relevan dan mengubahnya menjadi format yang ramah auditor. Setelah melakukan ini, kemudian melampirkan bukti ke kontrol dalam penilaian Anda. Ketika tiba waktunya untuk audit, Anda—atau delegasi pilihan Anda—dapat meninjau bukti yang dikumpulkan dan kemudian menambahkannya ke laporan penilaian. Laporan penilaian ini membantu Anda menunjukkan bahwa kontrol Anda berfungsi sebagaimana mestinya.
Pengumpulan bukti adalah proses berkelanjutan yang dimulai saat Anda membuat penilaian. Anda dapat menghentikan pengumpulan bukti dengan mengubah status penilaian menjadi tidak aktif. Atau, Anda dapat menghentikan pengumpulan bukti di tingkat kontrol. Anda dapat melakukan ini dengan mengubah status kontrol tertentu dalam penilaian Anda menjadi tidak aktif.
Untuk petunjuk tentang cara membuat dan mengelola penilaian, lihatMengelola penilaian di AWS Audit Manager.
- Laporan penilaian
-
Laporan penilaian adalah dokumen final yang dihasilkan dari penilaian Audit Manager. Laporan ini merangkum bukti relevan yang dikumpulkan untuk audit Anda. Mereka menautkan ke folder bukti yang relevan. Folder diberi nama dan diatur sesuai dengan kontrol yang ditentukan dalam penilaian Anda. Untuk setiap penilaian, Anda dapat meninjau bukti yang dikumpulkan Audit Manager, dan memutuskan bukti mana yang ingin Anda sertakan dalam laporan penilaian.
Untuk mempelajari lebih lanjut tentang laporan penilaian, lihatLaporan penilaian. Untuk mempelajari cara membuat laporan penilaian, lihatMempersiapkan laporan penilaian di AWS Audit Manager.
- Tujuan laporan penilaian
-
Tujuan laporan penilaian adalah bucket S3 default tempat Audit Manager menyimpan laporan penilaian Anda. Untuk mempelajari selengkapnya, lihat Mengonfigurasi tujuan laporan penilaian default Anda.
- Audit
-
Audit adalah pemeriksaan independen terhadap aset, operasi, atau integritas bisnis organisasi Anda. Audit teknologi informasi (TI) secara khusus memeriksa kontrol dalam sistem informasi organisasi Anda. Tujuan dari audit TI adalah untuk menentukan apakah sistem informasi melindungi aset, beroperasi secara efektif, dan menjaga integritas data. Semua ini penting untuk memenuhi persyaratan peraturan yang diamanatkan oleh standar atau peraturan kepatuhan.
- Pemilik audit
-
Istilah pemilik audit memiliki dua arti yang berbeda tergantung pada konteksnya.
Dalam konteks Audit Manager, pemilik audit adalah pengguna atau peran yang mengelola penilaian dan sumber daya terkait. Tanggung jawab persona Audit Manager ini meliputi membuat penilaian, meninjau bukti, dan menghasilkan laporan penilaian. Audit Manager adalah layanan kolaboratif, dan pemilik audit mendapat manfaat ketika pemangku kepentingan lain berpartisipasi dalam penilaian mereka. Misalnya, Anda dapat menambahkan pemilik audit lain ke penilaian Anda untuk berbagi tugas manajemen. Atau, jika Anda adalah pemilik audit dan Anda memerlukan bantuan untuk menafsirkan bukti yang dikumpulkan untuk kontrol, Anda dapat mendelegasikan kontrol itu kepada pemangku kepentingan yang memiliki keahlian materi pelajaran di bidang tersebut. Orang seperti itu dikenal sebagai persona delegasi.
Dalam istilah bisnis, pemilik audit adalah seseorang yang mengoordinasikan dan mengawasi upaya kesiapan audit perusahaan mereka, dan menyajikan bukti kepada auditor. Biasanya, ini adalah profesional tata kelola, risiko, dan kepatuhan (GRC), seperti Petugas Kepatuhan atau Petugas Perlindungan GDPR Data. GRCprofesional memiliki keahlian dan wewenang untuk mengelola persiapan audit. Lebih khusus lagi, mereka memahami persyaratan kepatuhan, dan dapat menganalisis, menafsirkan, dan menyiapkan data pelaporan. Namun, peran bisnis lainnya juga dapat mengasumsikan persona Audit Manager dari pemilik audit — tidak hanya GRC profesional yang mengambil peran ini. Misalnya, Anda dapat memilih agar penilaian Audit Manager disiapkan dan dikelola oleh pakar teknis dari salah satu tim berikut:
-
SecOps
-
IT/ DevOps
-
Pusat Operasi Keamanan/Respon Insiden
-
Tim serupa yang memiliki, mengembangkan, memulihkan, dan menyebarkan aset cloud, serta memahami infrastruktur cloud organisasi Anda
Siapa yang Anda pilih untuk ditetapkan sebagai pemilik audit dalam penilaian Audit Manager Anda sangat bergantung pada organisasi Anda. Itu juga tergantung pada bagaimana Anda menyusun operasi keamanan Anda dan spesifikasi audit. Dalam Audit Manager, individu yang sama dapat mengasumsikan persona pemilik audit dalam satu penilaian, dan persona delegasi di penilaian lain.
Tidak peduli bagaimana Anda memilih untuk menggunakan Audit Manager, Anda dapat mengelola pemisahan tugas di seluruh organisasi Anda menggunakan persona pemilik audit/delegasi dan memberikan kebijakan khusus kepada setiap pengguna. IAM Melalui pendekatan dua langkah ini, Audit Manager memastikan bahwa Anda memiliki kendali penuh atas semua spesifikasi penilaian individu. Untuk informasi selengkapnya, lihat Kebijakan yang disarankan untuk persona pengguna di AWS Audit Manager.
-
- AWS sumber terkelola
-
Sesi AWS Sumber yang dikelola adalah sumber bukti yang AWS memelihara untuk Anda.
Masing-masing AWS Managed Source adalah pengelompokan sumber data yang telah ditentukan sebelumnya yang memetakan ke kontrol umum atau kontrol inti tertentu. Ketika Anda menggunakan kontrol umum sebagai sumber bukti, Anda secara otomatis mengumpulkan bukti untuk semua kontrol inti yang mendukung kontrol bersama itu. Anda juga dapat menggunakan kontrol inti individu sebagai sumber bukti.
Setiap kali AWS sumber terkelola diperbarui, pembaruan yang sama diterapkan secara otomatis ke semua kontrol khusus yang menggunakannya AWS sumber terkelola. Ini berarti bahwa kontrol kustom Anda mengumpulkan bukti terhadap definisi terbaru dari sumber bukti tersebut. Ini membantu Anda memastikan kepatuhan berkelanjutan saat lingkungan kepatuhan cloud berubah.
Lihat juga:customer managed source,evidence source.
C
A| B | C | D E | F | | G | H | I | J | K | L | M | N | O | P R | T S | T | U | W | X | Y | Z
- Changelog
-
Untuk setiap kontrol dalam penilaian, Audit Manager melacak aktivitas pengguna untuk kontrol tersebut. Anda kemudian dapat meninjau jejak audit aktivitas yang terkait dengan kontrol tertentu. Untuk informasi selengkapnya tentang aktivitas pengguna yang ditangkap di changelog, lihat. Tab Changelog
- Kepatuhan cloud
-
Kepatuhan cloud adalah prinsip umum bahwa sistem yang dikirim cloud harus sesuai dengan standar yang dihadapi oleh pelanggan cloud.
- Kontrol umum
-
Lihat control.
- Peraturan kepatuhan
-
Peraturan kepatuhan adalah hukum, aturan, atau perintah lain yang ditentukan oleh otoritas, biasanya untuk mengatur perilaku. Salah satu contohnya adalahGDPR.
- Standar kepatuhan
-
Standar kepatuhan adalah seperangkat pedoman terstruktur yang merinci proses organisasi untuk mempertahankan sesuai dengan peraturan, spesifikasi, atau undang-undang yang ditetapkan. Contohnya termasuk PCI DSS danHIPAA.
- Kontrol
-
Kontrol adalah perlindungan atau penanggulangan yang ditentukan untuk sistem informasi atau organisasi. Kontrol dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan informasi Anda, dan untuk memenuhi serangkaian persyaratan yang ditetapkan. Mereka memberikan jaminan bahwa sumber daya Anda beroperasi sebagaimana dimaksud, data Anda dapat diandalkan, dan organisasi Anda mematuhi hukum dan peraturan yang berlaku.
Dalam Audit Manager, kontrol juga dapat mewakili pertanyaan dalam kuesioner penilaian risiko vendor. Dalam hal ini, kontrol adalah pertanyaan spesifik yang menanyakan informasi tentang keamanan dan postur kepatuhan organisasi.
Kontrol mengumpulkan bukti secara terus-menerus saat mereka aktif dalam penilaian Audit Manager Anda. Anda juga dapat menambahkan bukti secara manual ke kontrol apa pun. Setiap bukti adalah catatan yang membantu Anda menunjukkan kepatuhan terhadap persyaratan kontrol.
Audit Manager menyediakan jenis kontrol berikut:
Jenis kontrol Deskripsi Kontrol umum
Anda dapat menganggap kontrol bersama sebagai tindakan yang membantu Anda memenuhi tujuan kontrol. Karena kontrol umum tidak spesifik untuk standar kepatuhan apa pun, mereka membantu Anda mengumpulkan bukti yang dapat mendukung berbagai kewajiban kepatuhan yang tumpang tindih.
Misalnya, katakanlah memiliki tujuan kontrol yang disebut Klasifikasi dan penanganan data. Untuk memenuhi tujuan ini, Anda dapat menerapkan kontrol umum yang disebut Kontrol akses untuk memantau dan mendeteksi akses tidak sah ke sumber daya Anda.
-
Kontrol umum otomatis mengumpulkan bukti untuk Anda. Mereka terdiri dari pengelompokan satu atau lebih kontrol inti terkait. Pada gilirannya, masing-masing kontrol inti ini secara otomatis mengumpulkan bukti yang relevan dari kelompok AWS sumber data. AWS mengelola sumber data yang mendasari ini untuk Anda, dan memperbaruinya setiap kali peraturan dan standar berubah dan sumber data baru diidentifikasi.
-
Kontrol umum manual mengharuskan Anda untuk mengunggah bukti Anda sendiri. Ini karena mereka biasanya memerlukan penyediaan catatan fisik, atau rincian tentang peristiwa yang terjadi di luar Anda AWS lingkungan. Untuk alasan ini, seringkali tidak ada AWS sumber data yang dapat menghasilkan bukti untuk mendukung persyaratan kontrol umum manual.
Anda tidak dapat mengedit kontrol umum. Namun, Anda dapat menggunakan kontrol umum apa pun sebagai sumber bukti saat Anda membuat kontrol khusus.
Kontrol inti
Ini adalah pedoman preskriptif untuk Anda AWS lingkungan. Anda dapat menganggap kontrol inti sebagai tindakan yang membantu Anda memenuhi persyaratan kontrol bersama.
Misalnya, katakanlah Anda menggunakan kontrol umum yang disebut Kontrol akses untuk memantau akses tidak sah ke sumber daya Anda. Untuk mendukung kontrol umum ini, Anda dapat menggunakan kontrol inti yang disebut Blokir akses baca publik di bucket S3.
Karena kontrol inti tidak spesifik untuk standar kepatuhan apa pun, mereka mengumpulkan bukti yang dapat mendukung berbagai kewajiban kepatuhan yang tumpang tindih. Setiap kontrol inti menggunakan satu atau lebih sumber data untuk mengumpulkan bukti tentang suatu Layanan AWS. AWS mengelola sumber data yang mendasari ini untuk Anda, dan memperbaruinya setiap kali peraturan dan standar berubah dan sumber data baru diidentifikasi.
Anda tidak dapat mengedit kontrol inti. Namun, Anda dapat menggunakan kontrol inti apa pun sebagai sumber bukti saat Anda membuat kontrol khusus.
Kontrol standar
Ini adalah kontrol bawaan yang disediakan Audit Manager.
Anda dapat menggunakan kontrol standar untuk membantu Anda dengan persiapan audit untuk standar kepatuhan tertentu. Setiap kontrol standar terkait dengan standar tertentu framework di Audit Manager, dan mengumpulkan bukti yang dapat Anda gunakan untuk menunjukkan kepatuhan terhadap kerangka kerja tersebut. Kontrol standar mengumpulkan bukti dari sumber data yang mendasarinya AWS mengelola. Sumber data ini diperbarui secara otomatis setiap kali peraturan dan standar berubah dan sumber data baru diidentifikasi.
Anda tidak dapat mengedit kontrol standar. Namun, Anda dapat membuat salinan yang dapat diedit dari kontrol standar apa pun.Kontrol kustom
Ini adalah kontrol yang Anda buat di Audit Manager untuk memenuhi persyaratan kepatuhan spesifik Anda.
Anda dapat membuat kontrol kustom dari awal, atau membuat salinan yang dapat diedit dari kontrol standar yang ada. Saat membuat kontrol kustom, Anda dapat menentukan evidence source s tertentu yang menentukan dari mana Audit Manager mengumpulkan bukti. Setelah Anda membuat kontrol kustom, Anda dapat mengedit kontrol itu atau menambahkannya ke kerangka kustom. Anda juga dapat membuat salinan yang dapat diedit dari kontrol kustom apa pun.
-
- Domain kontrol
-
Anda dapat menganggap domain kontrol sebagai kategori kontrol yang tidak spesifik untuk standar kepatuhan apa pun. Contoh domain kontrol adalah Perlindungan data.
Kontrol sering dikelompokkan berdasarkan domain untuk tujuan organisasi yang sederhana. Setiap domain memiliki beberapa tujuan.
Pengelompokan domain kontrol adalah salah satu fitur paling canggih dari dasbor Audit Manager. Audit Manager menyoroti kontrol dalam penilaian Anda yang memiliki bukti yang tidak sesuai, dan mengelompokkannya berdasarkan domain kontrol. Ini memungkinkan Anda untuk memfokuskan upaya remediasi Anda pada domain subjek tertentu saat Anda mempersiapkan audit.
- Tujuan kontrol
-
Tujuan kontrol menggambarkan tujuan dari kontrol umum yang berada di bawahnya. Setiap tujuan dapat memiliki beberapa kontrol umum. Jika kontrol umum ini berhasil diterapkan, mereka akan membantu Anda memenuhi tujuan.
Setiap tujuan kontrol berada di bawah domain kontrol. Misalnya, domain kontrol perlindungan data mungkin memiliki tujuan kontrol bernama Klasifikasi dan penanganan data. Untuk mendukung tujuan kontrol ini, Anda dapat menggunakan kontrol umum yang disebut Kontrol akses untuk memantau dan mendeteksi akses tidak sah ke sumber daya Anda.
- Kontrol inti
-
Lihat control.
- Kontrol kustom
-
Lihat control.
- Sumber yang dikelola pelanggan
-
Sumber yang dikelola pelanggan adalah sumber bukti yang Anda tentukan.
Saat membuat kontrol khusus di Audit Manager, Anda dapat menggunakan opsi ini untuk membuat sumber data individual Anda sendiri. Ini memberi Anda fleksibilitas untuk mengumpulkan bukti otomatis dari sumber daya khusus bisnis, seperti kustom AWS Config aturan. Anda juga dapat menggunakan opsi ini jika Anda ingin menambahkan bukti manual ke kontrol kustom Anda.
Ketika Anda menggunakan sumber yang dikelola pelanggan, Anda bertanggung jawab untuk menjaga semua sumber data yang Anda buat.
Lihat juga:AWS managed source,evidence source.
D
A| B | C | D E | F | | G | H | I | J | K | L | M | N | O | P R | T S | T | U | W | X | Y | Z
- Sumber data
-
Audit Manager menggunakan sumber data untuk mengumpulkan bukti untuk kontrol. Sumber data memiliki properti berikut:
-
Tipe sumber data menentukan jenis sumber data Audit Manager yang mengumpulkan bukti.
-
Untuk bukti otomatis, jenisnya bisa AWS Security Hub, AWS Config, AWS CloudTrail, atau AWS APIpanggilan.
-
Jika Anda mengunggah bukti Anda sendiri, jenisnya adalah Manual.
-
Audit Manager API mengacu pada tipe sumber data sebagai sourceType.
-
-
Pemetaan sumber data adalah kata kunci yang menunjukkan dengan tepat dari mana bukti dikumpulkan untuk jenis sumber data tertentu.
-
Misalnya, ini mungkin nama CloudTrail acara atau nama AWS Config aturan.
-
Audit Manager API mengacu pada pemetaan sumber data sebagai sourceKeyword.
-
-
Nama sumber data memberi label pasangan tipe sumber data dan pemetaan.
-
Untuk kontrol standar, Audit Manager memberikan nama default.
-
Untuk kontrol khusus, Anda dapat memberikan nama Anda sendiri.
-
Audit Manager API mengacu pada nama sumber data sebagai sourceName.
-
Kontrol tunggal dapat memiliki beberapa tipe sumber data dan beberapa pemetaan. Misalnya, satu kontrol mungkin mengumpulkan bukti dari campuran tipe sumber data (seperti AWS Config dan Security Hub). Kontrol lain mungkin memiliki AWS Config sebagai satu-satunya tipe sumber data, dengan banyak AWS Config aturan sebagai pemetaan.
Tabel berikut mencantumkan tipe sumber data otomatis dan menunjukkan contoh beberapa pemetaan yang sesuai.
Jenis sumber data Deskripsi Contoh pemetaan AWS Security Hub Gunakan tipe sumber data ini untuk menangkap snapshot dari postur keamanan sumber daya Anda.
Audit Manager menggunakan nama kontrol Security Hub sebagai kata kunci pemetaan, dan melaporkan hasil pemeriksaan keamanan tersebut langsung dari Security Hub.
EC2.1
AWS Config Gunakan tipe sumber data ini untuk menangkap snapshot dari postur keamanan sumber daya Anda.
Audit Manager menggunakan nama AWS Config aturan sebagai kata kunci pemetaan, dan melaporkan hasil pemeriksaan aturan itu langsung dari AWS Config.
SNS_ENCRYPTED_KMS
AWS CloudTrail Gunakan tipe sumber data ini untuk melacak aktivitas pengguna tertentu yang diperlukan dalam audit Anda.
Audit Manager menggunakan nama CloudTrail acara sebagai kata kunci pemetaan, dan mengumpulkan aktivitas pengguna terkait dari log Anda CloudTrail .
CreateAccessKey
AWS APIpanggilan Gunakan tipe sumber data ini untuk mengambil snapshot dari konfigurasi sumber daya Anda melalui API panggilan ke tertentu Layanan AWS.
Audit Manager menggunakan nama API panggilan sebagai kata kunci pemetaan, dan mengumpulkan respons. API
kms_ListKeys
-
- Mendelegasikan
-
Delegasi adalah AWS Audit Manager pengguna dengan izin terbatas. Delegasi biasanya memiliki keahlian bisnis atau teknis khusus. Misalnya, keahlian ini mungkin dalam kebijakan penyimpanan data, rencana pelatihan, infrastruktur jaringan, atau manajemen identitas. Delegasi membantu pemilik audit meninjau bukti yang dikumpulkan untuk kontrol yang berada di bidang keahlian mereka. Delegasi dapat meninjau set kontrol dan bukti terkait, menambahkan komentar, mengunggah bukti tambahan, dan memperbarui status setiap kontrol yang Anda tetapkan kepada mereka untuk ditinjau.
Pemilik audit menetapkan set kontrol khusus untuk delegasi, bukan seluruh penilaian. Akibatnya, delegasi memiliki akses terbatas ke penilaian. Untuk petunjuk tentang cara mendelegasikan set kontrol, lihatDelegasi di AWS Audit Manager.
E
A| B | C | D E | F | | G | H | I | J | K | L | M | N | O | P R | T S | T | U | W | X | Y | Z
- Bukti
-
Bukti adalah catatan yang berisi informasi yang diperlukan untuk menunjukkan kepatuhan terhadap persyaratan kontrol. Contoh bukti termasuk aktivitas perubahan yang dipanggil oleh pengguna, dan snapshot konfigurasi sistem.
Ada dua jenis bukti utama dalam Audit Manager: bukti otomatis dan bukti manual.
Jenis bukti
Deskripsi
Bukti otomatis
Ini adalah bukti yang dikumpulkan oleh Audit Manager secara otomatis. Ini termasuk tiga kategori bukti otomatis berikut:
-
Pemeriksaan kepatuhan — Hasil pemeriksaan kepatuhan diambil dari AWS Security Hub, AWS Config, atau keduanya.
Contoh pemeriksaan kepatuhan termasuk hasil pemeriksaan keamanan dari Security Hub untuk PCI DSS kontrol, dan AWS Config evaluasi aturan untuk HIPAA kontrol.
Untuk informasi selengkapnya, silakan lihat Aturan AWS Config didukung oleh AWS Audit Manager dan AWS Security Hub kontrol yang didukung oleh AWS Audit Manager.
-
Aktivitas pengguna — Aktivitas pengguna yang mengubah konfigurasi sumber daya diambil dari CloudTrail log saat aktivitas tersebut terjadi.
Contoh aktivitas pengguna termasuk pembaruan tabel rute, perubahan setelan cadangan RDS instans Amazon, dan perubahan kebijakan enkripsi bucket S3.
Untuk informasi selengkapnya, lihat AWS CloudTrail nama acara yang didukung oleh AWS Audit Manager.
-
Data konfigurasi — Sebuah snapshot dari konfigurasi sumber daya ditangkap langsung dari Layanan AWS setiap hari, mingguan, atau bulanan.
Contoh snapshot konfigurasi mencakup daftar rute untuk tabel VPC rute, setelan cadangan RDS instans Amazon, dan kebijakan enkripsi bucket S3.
Untuk informasi selengkapnya, lihat AWS Panggilan API didukung oleh AWS Audit Manager.
Bukti manual Ini adalah bukti yang Anda tambahkan ke Audit Manager sendiri. Ada tiga cara untuk menambahkan bukti Anda sendiri:
-
Impor file dari Amazon S3
-
Unggah file dari browser Anda
-
Masukkan respons teks untuk pertanyaan penilaian risiko
Untuk informasi selengkapnya, lihat Menambahkan bukti manual di AWS Audit Manager.
Pengumpulan bukti otomatis dimulai saat Anda membuat penilaian. Ini adalah proses yang berkelanjutan, dan Audit Manager mengumpulkan bukti pada frekuensi yang berbeda tergantung pada jenis bukti dan sumber data yang mendasarinya. Untuk informasi selengkapnya, lihat Memahami bagaimana AWS Audit Manager mengumpulkan bukti.
Untuk petunjuk tentang cara meninjau bukti dalam penilaian, lihatMeninjau bukti di AWS Audit Manager.
-
- Sumber bukti
-
Sumber bukti menentukan dari mana kontrol mengumpulkan bukti. Ini bisa berupa sumber data individu, atau pengelompokan sumber data yang telah ditentukan sebelumnya yang memetakan ke kontrol umum atau kontrol inti.
Saat Anda membuat kontrol khusus, Anda dapat mengumpulkan bukti dari AWS sumber terkelola, sumber yang dikelola pelanggan, atau keduanya.
Tip
Kami menyarankan Anda menggunakan AWS sumber yang dikelola. Setiap kali AWS sumber terkelola diperbarui, pembaruan yang sama diterapkan secara otomatis ke semua kontrol khusus yang menggunakan sumber ini. Ini berarti bahwa kontrol kustom Anda selalu mengumpulkan bukti terhadap definisi terbaru dari sumber bukti tersebut. Ini membantu Anda memastikan kepatuhan berkelanjutan saat lingkungan kepatuhan cloud berubah.
Lihat juga:AWS managed source,customer managed source.
- Metode pengumpulan bukti
-
Ada dua cara kontrol dapat mengumpulkan bukti.
Metode pengumpulan bukti
Deskripsi
Otomatis
Kontrol otomatis secara otomatis mengumpulkan bukti dari AWS sumber data. Bukti otomatis ini dapat membantu Anda menunjukkan kepatuhan penuh atau sebagian terhadap kontrol.
Manual Kontrol manual mengharuskan Anda untuk mengunggah bukti Anda sendiri untuk menunjukkan kepatuhan terhadap kontrol.
catatan
Anda dapat melampirkan bukti manual ke kontrol otomatis apa pun. Dalam banyak kasus, kombinasi bukti otomatis dan manual diperlukan untuk menunjukkan kepatuhan penuh terhadap kontrol. Meskipun Audit Manager dapat memberikan bukti otomatis yang bermanfaat dan relevan, beberapa bukti otomatis mungkin hanya menunjukkan kepatuhan sebagian. Dalam hal ini, Anda dapat melengkapi bukti otomatis yang diberikan Audit Manager dengan bukti Anda sendiri.
Sebagai contoh:
-
AWS kerangka praktik terbaik AI generatif v2Berisi kontrol yang disebut
Error analysis
. Kontrol ini mengharuskan Anda untuk mengidentifikasi kapan ketidakakuratan terdeteksi dalam penggunaan model Anda. Ini juga mengharuskan Anda untuk melakukan analisis kesalahan menyeluruh untuk memahami akar penyebab dan mengambil tindakan korektif. -
Untuk mendukung kontrol ini, Audit Manager mengumpulkan bukti otomatis yang menunjukkan jika CloudWatch alarm diaktifkan Akun AWS Di mana penilaian Anda berjalan. Anda dapat menggunakan bukti ini untuk menunjukkan kepatuhan sebagian terhadap kontrol dengan membuktikan bahwa alarm dan pemeriksaan Anda dikonfigurasi dengan benar.
-
Untuk menunjukkan kepatuhan penuh, Anda dapat melengkapi bukti otomatis dengan bukti manual. Misalnya, Anda dapat mengunggah kebijakan atau prosedur yang menunjukkan proses analisis kesalahan, ambang batas untuk eskalasi dan pelaporan, dan hasil analisis akar penyebab Anda. Anda dapat menggunakan bukti manual ini untuk menunjukkan bahwa kebijakan yang ditetapkan sudah ada, dan bahwa tindakan korektif diambil saat diminta.
Untuk contoh yang lebih rinci, lihat Kontrol dengan sumber data campuran.
-
- Tujuan ekspor
-
Tujuan ekspor adalah bucket S3 default tempat Audit Manager menyimpan file yang Anda ekspor dari pencari bukti. Untuk informasi selengkapnya, lihat Mengonfigurasi tujuan ekspor default Anda untuk pencari bukti.
F
A| B | C | D E | F | | G | H | I | J | K | L | M | N | O | P R | T S | T | U | W | X | Y | Z
- Kerangka
-
Kerangka kerja Audit Manager menyusun dan mengotomatiskan penilaian untuk standar atau prinsip tata kelola risiko tertentu. Kerangka kerja ini mencakup kumpulan kontrol bawaan atau yang ditentukan pelanggan, dan mereka membantu Anda memetakan AWS sumber daya untuk persyaratan kontrol ini.
Ada dua jenis framework di Audit Manager.
Jenis kerangka
Deskripsi
Kerangka standar
Ini adalah kerangka kerja bawaan yang didasarkan pada AWS praktik terbaik untuk berbagai standar dan peraturan kepatuhan.
Anda dapat menggunakan kerangka kerja standar untuk membantu persiapan audit untuk standar atau peraturan kepatuhan tertentu, seperti PCI DSS atauHIPAA.
Kerangka kustom Ini adalah kerangka kerja khusus yang Anda definisikan sebagai pengguna Audit Manager.
Anda dapat menggunakan kerangka kerja khusus untuk membantu persiapan audit sesuai dengan GRC kebutuhan spesifik Anda.
Untuk petunjuk tentang cara membuat dan mengelola kerangka kerja, lihatMenggunakan pustaka kerangka kerja untuk mengelola kerangka kerja di AWS Audit Manager.
catatan
AWS Audit Manager membantu mengumpulkan bukti yang relevan untuk memverifikasi kepatuhan terhadap standar dan peraturan kepatuhan tertentu. Namun, itu tidak menilai kepatuhan Anda sendiri. Bukti yang dikumpulkan melalui AWS Audit Manager Oleh karena itu mungkin tidak mencakup semua informasi tentang AWS penggunaan yang diperlukan untuk audit. AWS Audit Manager bukan pengganti penasihat hukum atau pakar kepatuhan.
- Berbagi kerangka
-
Anda dapat menggunakan Berbagi kerangka kustom di AWS Audit Manager fitur ini untuk membagikan kerangka kerja kustom Anda dengan cepat Akun AWS dan Wilayah. Untuk berbagi kerangka kustom, Anda membuat permintaan berbagi. Penerima kemudian memiliki 120 hari untuk menerima atau menolak permintaan. Ketika mereka menerima, Audit Manager mereplikasi kerangka kustom bersama ke dalam pustaka kerangka kerja mereka. Selain mereplikasi kerangka kustom, Audit Manager juga mereplikasi setiap set kontrol kustom dan kontrol yang terkandung dalam framework tersebut. Kontrol kustom ini ditambahkan ke pustaka kontrol penerima. Audit Manager tidak mereplikasi kerangka kerja atau kontrol standar. Ini karena sumber daya ini sudah tersedia secara default di setiap akun dan Wilayah.
R
A| B | C | D E | F | | G | H | I | J | K | L | M | N | O | P R | T S | T | U | W | X | Y | Z
- Sumber
-
Sumber daya adalah aset fisik atau informasi yang dinilai dalam audit. Contoh dari AWS sumber daya termasuk EC2 instans Amazon, RDS instans Amazon, bucket Amazon S3, dan subnet Amazon. VPC
- Penilaian sumber daya
-
Penilaian sumber daya adalah proses menilai sumber daya individu. Penilaian ini didasarkan pada persyaratan kontrol. Sementara penilaian aktif, Audit Manager menjalankan penilaian sumber daya untuk setiap sumber daya individu dalam lingkup penilaian. Penilaian sumber daya menjalankan serangkaian tugas berikut:
-
Mengumpulkan bukti termasuk konfigurasi sumber daya, log peristiwa, dan temuan
-
Menerjemahkan dan memetakan bukti ke kontrol
-
Menyimpan dan melacak garis keturunan bukti untuk memungkinkan integritas
-
- Kepatuhan sumber daya
-
Kepatuhan sumber daya mengacu pada status evaluasi sumber daya yang dinilai saat mengumpulkan bukti pemeriksaan kepatuhan.
Audit Manager mengumpulkan bukti pemeriksaan kepatuhan untuk kontrol yang digunakan AWS Config dan Security Hub sebagai tipe sumber data. Beberapa sumber daya dapat dinilai selama pengumpulan bukti ini. Akibatnya, satu bagian bukti pemeriksaan kepatuhan dapat mencakup satu atau lebih sumber daya.
Anda dapat menggunakan filter kepatuhan sumber daya di pencari bukti untuk menjelajahi status kepatuhan di tingkat sumber daya. Setelah penelusuran selesai, Anda kemudian dapat melihat pratinjau sumber daya yang cocok dengan kueri penelusuran Anda.
Dalam pencari bukti, ada tiga nilai yang mungkin untuk kepatuhan sumber daya:
Nilai
Deskripsi
Tidak patuh
Ini mengacu pada sumber daya dengan masalah pemeriksaan kepatuhan.
Hal ini terjadi jika Security Hub melaporkan hasil Gagal untuk sumber daya, atau jika AWS Config melaporkan hasil yang tidak sesuai.
Sesuai Ini mengacu pada sumber daya yang tidak memiliki masalah pemeriksaan kepatuhan.
Hal ini terjadi jika Security Hub melaporkan hasil Pass untuk sumber daya, atau jika AWS Config melaporkan hasil Compliant.
Tidak meyakinkan Ini mengacu pada sumber daya yang pemeriksaan kepatuhan tidak tersedia atau berlaku.
Hal ini terjadi jika AWS Config atau Security Hub adalah tipe sumber data yang mendasarinya, tetapi layanan tersebut tidak diaktifkan.
Ini juga terjadi jika tipe sumber data yang mendasarinya tidak mendukung pemeriksaan kepatuhan (seperti bukti manual, AWS APIpanggilan, atau CloudTrail).
S
A| B | C | D E | F | | G | H | I | J | K | L | M | N | O | P R | T S | T | U | W | X | Y | Z
- Layanan dalam ruang lingkup
-
Audit Manager mengelola yang Layanan AWS berada dalam ruang lingkup untuk penilaian Anda. Jika Anda memiliki penilaian yang lebih lama, ada kemungkinan bahwa Anda secara manual menentukan layanan dalam ruang lingkup di masa lalu. Setelah 04 Juni 2024, Anda tidak dapat menentukan atau mengedit layanan secara manual dalam cakupan.
Layanan dalam lingkup adalah Layanan AWS bahwa penilaian Anda mengumpulkan bukti tentang. Ketika layanan disertakan dalam lingkup penilaian Anda, Audit Manager menilai sumber daya layanan tersebut. Beberapa contoh sumber daya meliputi yang berikut:
-
EC2Contoh Amazon
-
Ember S3
-
IAMPengguna atau peran
-
Tabel DynamoDB
-
Komponen jaringan seperti tabel Amazon Virtual Private Cloud (VPC), grup keamanan, atau daftar kontrol akses jaringan (ACL)
Misalnya, jika Amazon S3 adalah layanan dalam cakupan, Audit Manager dapat mengumpulkan bukti tentang bucket S3 Anda. Bukti pasti yang dikumpulkan ditentukan oleh kontroldata source. Misalnya, jika tipe sumber data adalah AWS Config, dan pemetaan sumber data adalah AWS Config aturan (seperti
s3-bucket-public-write-prohibited
), Audit Manager mengumpulkan hasil evaluasi aturan tersebut sebagai bukti.catatan
Perlu diingat bahwa layanan dalam lingkup berbeda dengan tipe sumber data, yang juga dapat berupa Layanan AWS atau sesuatu yang lain. Untuk informasi selengkapnya, lihat Apa perbedaan antara layanan dalam lingkup dan tipe sumber data? di bagian Pemecahan Masalah pada panduan ini.
-
- Kontrol standar
-
Lihat control.