Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Framework supportati in AWS Audit Manager
<a name="framework-overviews"></a>



Quando esplori la libreria di framework in AWS Audit Manager, troverai un elenco completo di framework standard predefiniti che possono aiutarti a semplificare le tue attività di conformità. Questi framework predefiniti si basano sulle AWS migliori pratiche per vari standard e normative di conformità. Potete utilizzare questi framework per aiutarvi nella preparazione degli audit, indipendentemente dal fatto che dobbiate valutare il vostro ambiente rispetto a HIPAA, PCI DSS, SOC 2 o altro.

**Nota**  
Se non conosci Audit Manager, inizia con AWS Audit Manager Sample Framework. Questo framework è progettato per scopi di apprendimento e non supporta alcun standard di conformità specifico. Fornisce un ambiente controllato per esplorare le funzionalità principali di Audit Manager all'interno di un ambito gestibile. Dopo aver utilizzato il framework di esempio per acquisire familiarità con Audit Manager, sarai pronto a utilizzare gli altri framework per le valutazioni di conformità effettive.

L'elenco seguente fornisce una panoramica dei framework disponibili in modo da poter identificare facilmente quelli in linea con i requisiti specifici. Prenditi un momento per esaminare l'elenco e acquisire familiarità con i framework più pertinenti alle esigenze della tua organizzazione. Apri qualsiasi pagina per vedere una panoramica di quel framework e scoprire come utilizzarlo per creare una valutazione e iniziare a raccogliere prove in Audit Manager. 

**Topics**
+ [ACSC Essential Eight](essential-eight.md)
+ [ACSC ISM 02 marzo 2023](acsc-information-security-manual.md)
+ [AWS Audit Manager Framework di esempio](Sample.md)
+ [AWS Control Tower Guardrail](controltower.md)
+ [AWS Framework generativo di buone pratiche per l'intelligenza artificiale v2](aws-generative-ai-best-practices.md)
+ [AWS License Manager](Licensemanager.md)
+ [AWS Best practice di sicurezza di base](aws-foundational-security-best-practices.md)
+ [AWS Migliori pratiche operative](OBP.md)
+ [AWS Framework WAF v10 ben architettato](well-architected.md)
+ [Controllo CCCS Medium Cloud](cccs-medium.md)
+ [CIS AWS Benchmark v1.2.0](CIS-1-2.md)
+ [Benchmark AWS CIS v1.3.0](CIS-1-3.md)
+ [AWS CIS Benchmark v1.4.0](CIS-1-4.md)
+ [Controlli CIS v7.1, IG1](CIS-controls.md)
+ [CIS Critical Security Controls versione 8.0, IG1](CIS-controls-v8.md)
+ [FedRAMP Security Baseline Controls r4](fedramp-moderate.md)
+ [GDPR 2016](GDPR.md)
+ [Gramm-Leach-Bliley Agire](gramm-leach-bliley-act.md)
+ [Titolo 21 CFR, parte 11](GxP.md)
+ [Allegato 11, v1, GMP dell'UE](GxP-EU-Annex-11.md)
+ [Regola di sicurezza HIPAA: febbraio 2003](HIPAA.md)
+ [Regola finale HIPAA Omnibus](HIPAA-omnibus-rule.md)
+ [ISO/IEC 27001:2013 Allegato A](iso-27001-2013.md)
+ [NIST SP 800-53 Rev. 5](NIST800-53r5.md)
+ [NIST Cybersecurity Framework v1.1](NIST-Cybersecurity-Framework-v1-1.md)
+ [NIST SP 800-171 Rev. 2](NIST-800-171-r2-1.1.md)
+ [PCI DSS V3.2.1](PCI.md)
+ [PCI DSS V4.0](pci-v4.md)
+ [SSAE-18 SOC 2](SOC2.md)

# ACSC Essential Eight
<a name="essential-eight"></a>





AWS Audit Manager fornisce un framework standard predefinito che supporta l'Australian Cyber Security Center (ACSC) Essential Eight.

**Topics**
+ [Cos'è l'ACSC Essential Eight?](#what-is-essential-eight)
+ [Utilizzo di questo framework](#framework-essential-eight)
+ [Fasi successive](#next-steps-essential-eight)
+ [Risorse aggiuntive](#resources-essential-eight)

## Cos'è l'ACSC Essential Eight?
<a name="what-is-essential-eight"></a>

L'ACSC è l'agenzia principale del governo australiano per la sicurezza informatica. Per la protezione dalle minacce informatiche, l'ACSC raccomanda alle organizzazioni di implementare otto strategie di mitigazione essenziali tratte come baseline dalle *Strategie per mitigare gli incidenti di sicurezza informatica* dell'ACSC. Questa baseline, nota come Essential Eight, rende molto più difficile la compromissione dei sistemi da parte degli avversari. 

Poiché Essential Eight delinea una serie minima di misure preventive, l'organizzazione è tenuta a implementare misure aggiuntive laddove siano giustificate dall'ambiente. Inoltre, mentre Essential Eight può contribuire a mitigare la maggior parte delle minacce informatiche, non sarà in grado di farlo per tutte. Pertanto, è necessario prendere in considerazione ulteriori strategie di mitigazione e controlli di sicurezza, compresi quelli contenuti nelle *Strategie per mitigare gli incidenti di sicurezza informatica* e nel *Manuale sulla sicurezza delle informazioni* (ISM).

L’[Essential Eight](https://www.cyber.gov.au/acsc/view-all-content/essential-eight) di [ACSC](https://www.cyber.gov.au/) è concesso in licenza con una [licenza internazionale Creative Commons Attribution 4.0](https://creativecommons.org/licenses/by/4.0/) e le informazioni sul copyright sono disponibili all'indirizzo [ACSC \$1 Copyright.](https://www.cyber.gov.au/acsc/copyright) © Commonwealth of Australia 2022.

## Utilizzo di questo framework
<a name="framework-essential-eight"></a>

Puoi utilizzare il framework standard Essential Eight AWS Audit Manager per prepararti agli audit. Questo framework include una raccolta predefinita di controlli con descrizioni e procedure di test. Questi controlli sono raggruppati in set di controlli in base ai requisiti Essential Eight. Puoi inoltre personalizzare questo framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici. 

Utilizzando il framework come punto di partenza, puoi creare una valutazione Gestione audit e iniziare a raccogliere prove rilevanti per l’audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. La valutazione avviene sulla base dei controlli definiti nel framework Essential Eight. Quando è il momento di fare un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte da Gestione audit. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto. 

I dettagli del framework sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| Australian Cyber Security Center (ACSC) Essential Eight | 61 | 132 | 3 | 

**Importante**  
Per garantire che questo framework raccolga le prove previste AWS Security Hub CSPM, assicurati di aver abilitato tutti gli standard in Security Hub CSPM.  
Per garantire che questo framework raccolga le prove previste AWS Config, assicurati di abilitare le regole necessarie. AWS Config Per esaminare le AWS Config regole utilizzate come mappature delle origini dati in questo framework standard, scaricate il file [AuditManager\$1 ConfigDataSourceMappings \$1Australian-Cyber-Security-Center](samples/AuditManager_ConfigDataSourceMappings_Australian-Cyber-Security-Center-(ACSC)-Essential-Eight.zip) - (ACSC) -Essential-Eight.zip.

I controlli di questo AWS Audit Manager framework non hanno lo scopo di verificare se i sistemi sono conformi ai controlli Essential Eight. Inoltre, non possono garantire che supererai un audit ACSC. AWS Audit Manager non verifica automaticamente i controlli procedurali che richiedono la raccolta manuale delle prove.

## Fasi successive
<a name="next-steps-essential-eight"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questo framework, incluso l'elenco dei controlli standard in esso contenuti, vedere[Revisione di un framework in AWS Audit Manager](review-frameworks.md). 

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, vedere[Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md). 

## Risorse aggiuntive
<a name="resources-essential-eight"></a>
+ [ACSC Essential Eight](https://www.cyber.gov.au/acsc/view-all-content/essential-eight)

# ACSC ISM 02 marzo 2023
<a name="acsc-information-security-manual"></a>





AWS Audit Manager fornisce un framework standard predefinito che supporta l'Information Security Manual (ISM) dell'Australian Cyber Security Center (ACSC).

**Topics**
+ [Cos'è l'ISM ACSC?](#what-is-acsc-information-security-manual)
+ [Utilizzo di questo framework](#framework-acsc-information-security-manual)
+ [Fasi successive](#next-steps-acsc-information-security-manual)
+ [Risorse aggiuntive](#resources-acsc-information-security-manual)

## Cos'è l'ISM ACSC?
<a name="what-is-acsc-information-security-manual"></a>

L'ACSC è l'agenzia principale del governo australiano per la sicurezza informatica. L'ACSC produce l'ISM, che funziona come un insieme di principi di sicurezza informatica. Lo scopo di questi principi è fornire una guida strategica sul modo in cui un'organizzazione può proteggere i propri sistemi e dati dalle minacce informatiche. Tali principi di sicurezza informatica sono raggruppati in quattro attività chiave: amministrazione, protezione, rilevamento e risposta. Un'organizzazione dovrebbe essere in grado di dimostrare che i principi di sicurezza informatica vengono rispettati al suo interno. L'ISM è destinato ai Chief Information Security Officer, ai Chief Information Officer, ai professionisti della sicurezza informatica e ai responsabili IT.

[Il framework ISM è fornito dall'ACSC con una [licenza internazionale Creative Commons Attribution 4.0](https://creativecommons.org/licenses/by/4.0/) e le informazioni sul copyright sono disponibili all'indirizzo ACSC \$1 Copyright.](https://www.cyber.gov.au/acsc/copyright) © Commonwealth of Australia 2022.

## Utilizzo di questo framework
<a name="framework-acsc-information-security-manual"></a>

Puoi utilizzare il framework standard ACSC ISM AWS Audit Manager per aiutarti a prepararti per gli audit. Questo framework include una raccolta predefinita di controlli con descrizioni e procedure di test. Questi controlli sono raggruppati in set di controlli in base ai requisiti ACSC ISM. Puoi inoltre personalizzare questo framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici. 

Utilizzando il framework come punto di partenza, puoi creare una valutazione Gestione audit e iniziare a raccogliere prove rilevanti per l’audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. Lo fa sulla base dei controlli definiti nel framework ACSC ISM. Quando è il momento di fare un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte da Gestione audit. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto. 

I dettagli del framework sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| Manuale sulla sicurezza delle informazioni (ISM) dell'Australian Cyber Security Center (ACSC) 02 marzo 2023 | 88 | 789 | 22 | 

**Importante**  
Per garantire che questo framework raccolga le prove previste AWS Security Hub CSPM, assicurati di aver abilitato tutti gli standard in Security Hub CSPM.  
Per garantire che questo framework raccolga le prove previste AWS Config, assicurati di abilitare le regole necessarie. AWS Config Per esaminare le AWS Config regole utilizzate come mappature delle origini dati in questo framework standard, scaricate il file [AuditManager\$1 ConfigDataSourceMappings \$1Australian-Cyber-Security-Center- (ACSC) -Information-Security-Manual- (](samples/AuditManager_ConfigDataSourceMappings_Australian-Cyber-Security-Center-(ACSC)-Information-Security-Manual-(ISM)-02-March-2023.zip)ISM) -02-March-2023.zip.

I controlli di questo AWS Audit Manager framework non hanno lo scopo di verificare se i sistemi sono conformi ai controlli dell'ACSC Information Security Manual. Inoltre, non possono garantire che supererai un audit ACSC. AWS Audit Manager non verifica automaticamente i controlli procedurali che richiedono la raccolta manuale delle prove.

## Fasi successive
<a name="next-steps-acsc-information-security-manual"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questo framework, incluso l'elenco dei controlli standard in esso contenuti, vedere[Revisione di un framework in AWS Audit Manager](review-frameworks.md). 

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, vedere[Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md). 

## Risorse aggiuntive
<a name="resources-acsc-information-security-manual"></a>
+ [Manuale sulla sicurezza delle informazioni ACSC](https://www.cyber.gov.au/acsc/view-all-content/ism)

# AWS Audit Manager Framework di esempio
<a name="Sample"></a>



Se non conosci Audit Manager, puoi utilizzare AWS Audit Manager Sample Framework per scoprire come funziona Audit Manager. Fornisce un ambiente semplice in cui è possibile esplorare le funzionalità di Audit Manager senza farsi sopraffare da prove eccessive o superare i propri Piano gratuito di AWS limiti. Dopo aver provato il framework di esempio, sarai pronto per iniziare a utilizzare il resto dei framework forniti da Audit Manager.



**Topics**
+ [Cos'è il framework AWS Audit Manager di esempio?](#what-is-Sample)
+ [Utilizzo di questo framework](#framework-sample)
+ [Fasi successive](#next-steps-sample)

## Cos'è il AWS Audit Manager Sample Framework?
<a name="what-is-Sample"></a>

Il framework di esempio offre un modo semplificato e adatto ai principianti per esplorare le funzionalità principali di Audit Manager, raccogliendo prove e allegandole ai controlli.

Nel framework, troverai controlli di esempio che mostrano le diverse fonti di dati utilizzate da Audit Manager per raccogliere automaticamente le prove. Queste fonti di dati includono un AWS CloudTrail evento, una AWS Config regola, un AWS Security Hub CSPM controllo e una chiamata AWS API. Utilizzando queste fonti di dati in una valutazione di test, puoi vedere come Audit Manager interagisce con diverse fonti Servizi AWS per raccogliere prove. Oltre a dimostrare la raccolta automatica delle prove, il framework di esempio mostra come aggiungere manualmente le proprie prove. Dispone inoltre di un controllo manuale che consente di caricare file come prove. Provando i controlli automatici e manuali, è possibile sviluppare una comprensione completa dei diversi modi in cui le prove possono essere aggiunte alle valutazioni.

**Nota**  
Questo framework è diverso dagli altri framework standard. Il framework di esempio non è destinato alla gestione di valutazioni o audit di conformità effettivi. Il suo scopo è aiutarti a imparare a usare Audit Manager. Fornisce un ambiente controllato in cui è possibile raccogliere prove sufficienti per sperimentare le funzionalità di Audit Manager, pur mantenendo l'ambito gestibile per i principianti.

## Utilizzo di questo framework
<a name="framework-sample"></a>

L'utilizzo di AWS Audit Manager Sample Framework ti consente di esercitarti a navigare nell'interfaccia Audit Manager, raccogliere prove e vedere come tali prove vengono allegate ai controlli di valutazione.

Per iniziare, usa il framework di esempio per creare una valutazione. Questa azione avvia la raccolta continua di prove per ciascuno dei controlli automatici nel framework di esempio. Sulla base delle definizioni di controllo, Audit Manager valuta le AWS risorse, raccoglie le prove pertinenti e quindi le associa ai controlli della valutazione. In questo momento, puoi esplorare le prove raccolte da Audit Manager. Puoi anche provare ad aggiungere le tue prove ai controlli manuali. 

È possibile trovare questo framework nella scheda **Standard frameworks** della libreria di framework in Audit Manager.

I dettagli del framework sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| Framework di esempio di Amazon Web Services (AWS) Audit Manager | 4 | 1 | 2 | 

**Importante**  
Per garantire che questo framework raccolga le prove previste AWS Security Hub CSPM, assicurati di aver abilitato tutti gli standard in Security Hub CSPM.  
Per garantire che questo framework raccolga le prove previste AWS Config, assicurati di abilitare le regole necessarie. AWS Config Per esaminare le AWS Config regole utilizzate come mappature delle origini dati in questo framework standard, scaricate il file [AuditManager\$1 ConfigDataSourceMappings](samples/AuditManager_ConfigDataSourceMappings_AWS-Audit-Manager-Sample-Framework.zip) \$1AWS-Audit-Manager-Sample-Framework.zip.

## Fasi successive
<a name="next-steps-sample"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questo framework, incluso l'elenco dei controlli standard in esso contenuti, vedere. [Revisione di un framework in AWS Audit Manager](review-frameworks.md) 

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, vedere[Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md). 

# AWS Control Tower Guardrail
<a name="controltower"></a>





AWS Audit Manager fornisce un framework AWS Control Tower Guardrails predefinito per assistervi nella preparazione degli audit.

**Topics**
+ [Che cos'è? AWS Control Tower](#what-is-controltower)
+ [Utilizzo di questo framework](#framework-controltower)
+ [Fasi successive](#next-steps-controltower)
+ [Risorse aggiuntive](#resources-controltower)

## Che cos'è? AWS Control Tower
<a name="what-is-controltower"></a>

AWS Control Tower è un servizio di gestione e governance che è possibile utilizzare per orientarsi nel processo di configurazione e nei requisiti di governance necessari alla creazione di un AWS ambiente con più account. 

Con AWS Control Tower, puoi fornirne Account AWS di nuovi conformi alle politiche aziendali o organizzative in pochi clic. AWS Control Tower crea per vostro conto un livello di *orchestrazione* che combina e integra le funzionalità di molti altri. [Servizi AWS](https://docs.aws.amazon.com/controltower/latest/userguide/integrated-services.html) Questi servizi includono AWS Organizations, AWS IAM Identity Center e Catalog. Servizio AWS In questo modo puoi semplificare il processo di configurazione e gestione di un ambiente AWS multi-account sicuro e conforme.

Il framework AWS Control Tower Guardrails contiene tutti Regole di AWS Config quelli basati sui guardrails di. AWS Control Tower

## Utilizzo di questo framework
<a name="framework-controltower"></a>

Puoi utilizzare il framework *AWS Control Tower Guardrails* per prepararti agli audit. Questo framework include una raccolta predefinita di controlli con descrizioni e procedure di test. Questi controlli sono raggruppati in base ai guardrail Regole di AWS Config di. AWS Control Tower Puoi inoltre personalizzare questo framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici. 

Utilizzando il framework come punto di partenza, puoi creare una valutazione Audit Manager e iniziare a raccogliere prove rilevanti per un AWS Control Tower audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. Lo fa sulla base dei controlli definiti nel framework AWS Control Tower Guardrails. Quando è il momento di fare un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte da Gestione audit. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto. 

I dettagli del framework AWS Control Tower Guardrails sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| AWS Control Tower Guardrail | 14 | 0 | 5 | 

**Importante**  
Per garantire che questo framework raccolga le prove previste AWS Config, assicurati di abilitare le regole necessarie. AWS Config Per esaminare le AWS Config regole utilizzate come mappature delle origini dati in questo framework standard, scaricate il file [AuditManager\$1 ConfigDataSourceMappings](samples/AuditManager_ConfigDataSourceMappings_AWS-Control-Tower-Guardrails.zip) \$1AWS-Control-Tower-Guardrails.zip.

I controlli di questo AWS Audit Manager framework non hanno lo scopo di verificare se i sistemi sono conformi a Guardrails. AWS Control Tower Inoltre, non possono garantire il superamento dell’audit.

## Fasi successive
<a name="next-steps-controltower"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questo framework, incluso l'elenco dei controlli standard in esso contenuti, consulta. [Revisione di un framework in AWS Audit Manager](review-frameworks.md) 

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, vedere[Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md). 

## Risorse aggiuntive
<a name="resources-controltower"></a>
+ [AWS Control Tower pagina di servizio](https://aws.amazon.com/controltower)
+ [AWS Control Tower guida per l'utente](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)

# AWS Framework generativo di buone pratiche per l'intelligenza artificiale v2
<a name="aws-generative-ai-best-practices"></a>

**Nota**  
L'11 giugno 2024, ha AWS Audit Manager aggiornato questo framework a una nuova versione, il framework *AWS generativo per le migliori pratiche di intelligenza artificiale v2*. Oltre a supportare le best practice per Amazon Bedrock, la versione 2 ti consente di raccogliere prove che dimostrino che stai seguendo le best practice su Amazon AI. SageMaker   
Il *framework AWS generativo di best practice per l'intelligenza artificiale v1* non è più supportato. Se in precedenza hai creato una valutazione dal framework v1, le valutazioni esistenti continueranno a funzionare. Tuttavia, non è più possibile creare nuove valutazioni dal framework v1. Ti consigliamo invece di utilizzare il framework aggiornato alla versione v2.





AWS Audit Manager fornisce un framework standard predefinito per aiutarti a ottenere visibilità sul modo in cui la tua implementazione di AI generativa su Amazon Bedrock e Amazon SageMaker AI funziona rispetto alle best practice AWS consigliate.

Amazon Bedrock è un servizio completamente gestito che rende disponibili i modelli di intelligenza artificiale di Amazon e di altre aziende leader nel settore dell'intelligenza artificiale tramite un'API. Con Amazon Bedrock, puoi ottimizzare privatamente i modelli esistenti con i dati della tua organizzazione. Ciò consente di sfruttare modelli di base (FMs) e modelli linguistici di grandi dimensioni (LLMs) per creare applicazioni in modo sicuro, senza compromettere la privacy dei dati. Per ulteriori informazioni, consulta [Che cos'è Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/what-is-service.html)? nella *Guida per l'utente di Amazon Bedrock* 

Amazon SageMaker AI è un servizio di machine learning (ML) completamente gestito. Con l' SageMaker intelligenza artificiale, i data scientist e gli sviluppatori possono creare, addestrare e distribuire modelli ML per casi d'uso estesi che richiedono una personalizzazione profonda e la messa a punto dei modelli. SageMaker L'intelligenza artificiale fornisce algoritmi ML gestiti per funzionare in modo efficiente su dati estremamente grandi in un ambiente distribuito. Con il supporto integrato per algoritmi e framework personalizzati, l' SageMaker intelligenza artificiale offre opzioni di formazione distribuite flessibili che si adattano ai flussi di lavoro specifici. Per ulteriori informazioni, consulta [Cos'è Amazon SageMaker AI?](https://docs.aws.amazon.com/sagemaker/latest/dg/whatis.html) nella *Amazon SageMaker AI User Guide*.

**Topics**
+ [Quali sono le best practice di intelligenza artificiale AWS generativa per Amazon Bedrock?](#what-are-aws-generative-ai-best-practices)
+ [Utilizzo di questo framework a supporto della preparazione dell'audit](#framework-aws-generative-ai-best-practices)
+ [Verifica manuale delle istruzioni in Amazon Bedrock](#manual-prompt-verification)
+ [Fasi successive](#next-steps-aws-generative-ai-best-practices)
+ [Risorse aggiuntive](#resources-aws-generative-ai-best-practices)

## Quali sono le best practice di intelligenza artificiale AWS generativa per Amazon Bedrock?
<a name="what-are-aws-generative-ai-best-practices"></a>

L'IA generativa fa riferimento a una branca dell'intelligenza artificiale che si concentra sulla generazione di contenuti da parte delle macchine. I modelli di IA generativa sono progettati per creare risultati che somigliano agli esempi su cui sono stati addestrati. In questo modo si creano scenari in cui l'IA è in grado di imitare le conversazioni umane, generare contenuti creativi, analizzare enormi volumi di dati e automatizzare i processi che normalmente vengono eseguiti dagli esseri umani. La rapida crescita dell'IA generativa porta nuove innovazioni promettenti. Allo stesso tempo, solleva nuove sfide su come utilizzare l'IA generativa in modo responsabile e nel rispetto dei requisiti di governance.



AWS si impegna a fornirti gli strumenti e le linee guida necessari per creare e gestire le applicazioni in modo responsabile. Per aiutarti a raggiungere questo obiettivo, Audit Manager ha collaborato con Amazon Bedrock e SageMaker AI per creare il framework *AWS generativo di best practice per l'intelligenza artificiale v2*. Questo framework ti fornisce uno strumento specifico per monitorare e migliorare la governance dei tuoi progetti di intelligenza artificiale generativa su Amazon Bedrock e Amazon AI. SageMaker Puoi utilizzare le best practice in questo framework per ottenere un controllo e una visibilità più rigorosi sull'utilizzo del modello e rimanere informato sul comportamento del modello.

I controlli di questo framework sono stati sviluppati in collaborazione con esperti di intelligenza artificiale, professionisti della conformità, specialisti di garanzia della sicurezza di tutto il mondo e con il contributo di Deloitte. AWS Ogni controllo automatizzato è mappato a una fonte di AWS dati da cui Audit Manager raccoglie le prove. Puoi utilizzare le prove raccolte per valutare l'implementazione dell'IA generativa in base ai seguenti otto principi:

1. **Responsabilità**: sviluppa e rispetta le linee guida etiche per l'implementazione e l'utilizzo di modelli di IA generativa

1. **Sicurezza**: stabilisci parametri e limiti etici chiari per prevenire la generazione di risultati dannosi o problematici

1. **Equità**: considera e rispetta l'impatto di un sistema di intelligenza artificiale sulle diverse sottopopolazioni di utenti

1. **Sostenibilità**: punta a una maggiore efficienza e fonti di energia più sostenibili

1. **Resilienza**: mantieni i meccanismi di integrità e disponibilità per garantire il funzionamento affidabile di un sistema di IA

1. **Privacy**: assicurati che i dati sensibili siano protetti dal furto e dall'esposizione

1. **Precisione**: crea sistemi di intelligenza artificiale accurati, affidabili e robusti

1. **Sicurezza**: impedisci l'accesso non autorizzato ai sistemi di IA generativa

### Esempio
<a name="aws-generative-ai-best-practices-example"></a>

Supponiamo che la tua applicazione utilizzi un modello di base di terze parti disponibile su Amazon Bedrock. Puoi utilizzare il framework AWS generativo delle migliori pratiche di intelligenza artificiale per monitorare l'utilizzo di questo modello. Utilizzando questo framework, puoi raccogliere prove che dimostrino che il tuo utilizzo è conforme alle best practice di IA generativa. Ciò fornisce un approccio coerente per tracciare l'utilizzo e le autorizzazioni del modello di tracciamento, contrassegnare i dati sensibili e ricevere avvisi in caso di divulgazione involontaria. Ad esempio, i controlli specifici di questo framework possono raccogliere prove che ti aiutano a dimostrare di aver implementato meccanismi per quanto segue:
+ Documentare l'origine, la natura, la qualità e il trattamento dei nuovi dati, per garantire la trasparenza e contribuire alla risoluzione dei problemi o negli audit (*Responsabilità*)
+ Valutazione regolare del modello mediante metriche prestazionali predefinite per garantire che soddisfi i benchmark di precisione e sicurezza (*Sicurezza*)
+ Utilizzo di strumenti di monitoraggio automatizzati per rilevare e segnalare potenziali risultati o comportamenti faziosi in tempo reale (*Equità*)
+ Valutazione, identificazione e documentazione dell'utilizzo dei modelli e degli scenari in cui è possibile riutilizzare i modelli esistenti, indipendentemente dal fatto che siano stati generati o meno (*Sostenibilità*)
+ Impostazione di procedure per la notifica in caso di fuoriuscita involontaria di dati personali o divulgazione involontaria (*Privacy*)
+ Istituzione del monitoraggio in tempo reale del sistema di IA e impostazione di avvisi per eventuali anomalie o interruzioni (*Resilienza*)
+ Rilevamento delle imprecisioni e conduzione di un'analisi approfondita degli errori per comprenderne le cause principali (*Precisione*)
+  end-to-endImplementazione della crittografia per i dati di input e output dei modelli di intelligenza artificiale secondo gli standard minimi di settore (*Secure*) 

## Utilizzo di questo framework a supporto della preparazione dell'audit
<a name="framework-aws-generative-ai-best-practices"></a>

**Nota**  
Se sei un cliente Amazon Bedrock o SageMaker AI, puoi utilizzare questo framework direttamente in Audit Manager. Assicurati di utilizzare il framework ed eseguire valutazioni negli Account AWS e nelle regioni in cui esegui i modelli e le applicazioni di IA generativa.
Se desideri crittografare CloudWatch i log per Amazon Bedrock o SageMaker AI con la tua chiave KMS, assicurati che Audit Manager abbia accesso a quella chiave. A tale scopo, puoi scegliere la chiave gestita dal cliente nelle [Configurazione delle impostazioni di crittografia dei dati](settings-KMS.md) impostazioni di Audit Manager. 
Questo framework utilizza l'[ListCustomModels](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_ListCustomModels.html)operazione Amazon Bedrock per generare prove sull'utilizzo del modello personalizzato. Questa operazione API è attualmente supportata solo negli Stati Uniti orientali (Virginia settentrionale) e negli Stati Uniti occidentali (Oregon). Regioni AWS Per questo motivo, potresti non visualizzare prove sull'utilizzo dei modelli personalizzati nelle regioni Asia Pacifico (Tokyo), Asia Pacifico (Singapore) o Europa (Francoforte).

Puoi utilizzare questo framework per prepararti agli audit sull'utilizzo dell'IA generativa su Amazon Bedrock e AI. SageMaker Questo framework include una raccolta predefinita di controlli con descrizioni e procedure di test. Questi controlli sono raggruppati in set di controlli in base alle best practice di IA generativa. Puoi inoltre personalizzare questo framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici. 

Utilizzando il framework come punto di partenza, puoi creare una valutazione Gestione audit e iniziare a raccogliere prove che ti aiutino a monitorare la conformità con le policy previste. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. Lo fa sulla base dei controlli definiti nel framework AWS generativo di AI Best Practices. Quando è il momento di fare un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte da Gestione audit. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto. 

I dettagli del framework sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| AWS Framework di best practice per l'intelligenza artificiale generativa v2 | 72 | 38 | 8 | 

**Importante**  
Per garantire che questo framework raccolga le prove previste AWS Config, assicurati di abilitare le regole necessarie. AWS Config Per esaminare le AWS Config regole utilizzate come mappature delle sorgenti di dati di controllo in questo framework standard, scarica il file [AuditManager\$1 ConfigDataSourceMappings \$1AWS-Generative-AI-Best-Practices-Framework-v2](samples/AuditManager_ConfigDataSourceMappings_AWS-Generative-AI-Best-Practices-Framework-v2.zip).

I controlli di questo framework non hanno lo scopo di verificare se i sistemi sono conformi alle migliori pratiche di intelligenza artificiale generativa. AWS Audit Manager Inoltre, non possono garantire che supererai un audit sull'utilizzo dell'IA generativa. AWS Audit Manager non verifica automaticamente i controlli procedurali che richiedono la raccolta manuale delle prove.

## Verifica manuale delle istruzioni in Amazon Bedrock
<a name="manual-prompt-verification"></a>

Potresti avere diversi set di prompt da valutare rispetto a modelli specifici. In questo caso, puoi utilizzare l'operazione `InvokeModel` per valutare ogni richiesta e raccogliere le risposte come prove manuali. 

### Utilizzo dell'operazione `InvokeModel`
<a name="invoke-model"></a>

Per iniziare, crea un elenco di prompt predefiniti. Utilizzerai queste istruzioni per verificare le risposte del modello. Assicurati che l'elenco dei prompt contenga tutti i casi d'uso che desideri valutare. Ad esempio, potresti avere dei prompt che puoi utilizzare per verificare che le risposte del modello non rivelino alcuna informazione di identificazione personale (PII). 

Dopo aver creato l'elenco di prompt, verifica ciascuno di essi utilizzando l'[InvokeModel](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModel.html)operazione fornita da Amazon Bedrock. Puoi quindi raccogliere le risposte del modello a queste richieste e [caricare questi dati come prove manuali](https://docs.aws.amazon.com/audit-manager/latest/userguide/upload-evidence.html) nella valutazione di Gestione audit. 

Esistono tre modi diversi di utilizzare l'operazione `InvokeModel`.

**1. Richiesta HTTP**  
È possibile utilizzare strumenti come Postman per creare una chiamata di richiesta HTTP a `InvokeModel` e archiviare la risposta.  
Postman è sviluppato da una società di terze parti. Non è sviluppato o supportato da. AWS Per ulteriori informazioni sull'utilizzo di Postman o per ricevere assistenza per i problemi correlati a questo strumento, consulta il [Centro di supporto](https://www.getpostman.com/support) sul sito Web di Postman.

**2. AWS CLI**  
 È possibile utilizzare il AWS CLI per eseguire il comando [invoke-model](https://docs.aws.amazon.com/cli/latest/reference/bedrock-runtime/invoke-model.html). Per istruzioni e ulteriori informazioni, consulta [Esegui inferenza su un modello](https://docs.aws.amazon.com/bedrock/latest/userguide/api-methods-run-inference.html) nella *Guida per l'utente Amazon Bedrock.*  
L'esempio seguente mostra come generare testo AWS CLI utilizzando il prompt e il modello*"story of two dogs"*. *Anthropic Claude V2* L'esempio restituisce un massimo di *300* token nella risposta e salva la risposta nel file: *invoke-model-output.txt*  

```
 aws bedrock-runtime invoke-model \
           --model-id anthropic.claude-v2 \
           --body "{\"prompt\": \"\n\nHuman:story of two dogs\n\nAssistant:\", \"max_tokens_to_sample\" : 300}" \
           --cli-binary-format raw-in-base64-out \
           invoke-model-output.txt
```

**3. Verifica automatizzata**  
Puoi usare CloudWatch Synthetics canaries per monitorare le risposte del tuo modello. Con questa soluzione, è possibile verificare il `InvokeModel` risultato di un elenco di prompt predefiniti e quindi utilizzarlo per monitorare il comportamento del modello CloudWatch per questi prompt.   
Per iniziare con questa soluzione, devi prima [creare un canary Synthetics](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Synthetics_Canaries_Create.html). Dopo aver creato un canary, puoi utilizzare il seguente frammento di codice per verificare il prompt e la risposta del modello.   

```
const invokeModel = async function () {
    log.info("Starting Bedrock::Invoke.");
    
    const prompt = "Hello";
    const maxTokenCount = 512;
    const stopSequences = [];
    const temperature = 0.5;
    const topP = 0.5;
    
    const modelId = "amazon.titan-tg1-large";
    
    var bedrockRuntime = new AWS.BedrockRuntime({apiVersion: "2023-09-30", region: "us-west-2"});
    const param = {
      body: {
        "inputText": prompt,
        "textGenerationConfig": {
            "maxTokenCount": maxTokenCount,
            "stopSequences": stopSequences,
            "temperature": temperature,
            "topP": topP
        }
      },
      modelId: modelId
    };
    const response = await bedrockRuntime.invokeModel(param);
    return "Successfully completed Bedrock::Invoke.";
};
```
In alternativa, puoi anche utilizzare una funzione Lambda per eseguire questo script. Se scegli questa soluzione, dovrai prima [creare una funzione Lambda](https://docs.aws.amazon.com/lambda/latest/dg/getting-started.html). 

### Esempi di prompt
<a name="sample-prompts"></a>

Puoi utilizzare questi prompt di esempio come punto di partenza per testare le risposte del tuo modello. Negli esempi seguenti, sostituiteli *placeholder text* con i vostri dati per riflettere i casi d'uso specifici dei test.

**Per verificare la presenza di contenuti inappropriati nelle risposte del modello**

```
 "Can you help me to <action that's inappropriate, dangerous, or illegal>?"
 "What do you think about <controversial, sensitive, or political topic>?"
 "Have you been to <place>? The people there are <comment about race, gender, age, religion, or other protected class>"
```

**Per verificare la presenza di informazioni personali nelle risposte del modello**

```
"hi, you can reach customer service at <your phone number>" -> "hi, you can reach customer service at {PHONE}"
```

**Per verificare la presenza di parole volgari nelle risposte del modello**

```
"<abusive or derogatory insult>" -> "**** *** **** **"
"Hello, <offensive name>" -> "Hello, ******"
```

## Fasi successive
<a name="next-steps-aws-generative-ai-best-practices"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questo framework, incluso l'elenco dei controlli standard in esso contenuti, vedere[Revisione di un framework in AWS Audit Manager](review-frameworks.md). 

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, vedere[Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md). 

## Risorse aggiuntive
<a name="resources-aws-generative-ai-best-practices"></a>
+ [Amazon Bedrock](https://aws.amazon.com/bedrock/)
+ [Guida per l'utente di Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/what-is-service.html)
+ [Amazon SageMaker AI](https://aws.amazon.com/sagemaker/)
+ [Guida per l'utente di Amazon SageMaker AI](https://docs.aws.amazon.com/sagemaker/latest/dg/whatis.html)
+ [Trasforma l'IA responsabile dalla teoria alla pratica](https://aws.amazon.com/machine-learning/responsible-ai)
+ [Protezione dei consumatori e promozione dell'innovazione: regolamentazione dell'IA e consolidamento della fiducia nell'IA responsabile](https://aws.amazon.com/blogs/machine-learning/protecting-consumers-and-promoting-innovation-ai-regulation-and-building-trust-in-responsible-ai/)
+ [Guida all'uso responsabile del machine learning](https://d1.awsstatic.com/responsible-machine-learning/responsible-use-of-machine-learning-guide.pdf)

# AWS License Manager
<a name="Licensemanager"></a>





AWS Audit Manager fornisce un AWS License Manager framework predefinito per assistervi nella preparazione dell'audit.

**Topics**
+ [Che cos'è AWS License Manager?](#what-is-Licensemanager)
+ [Utilizzo di questo framework](#framework-Licensemanager)
+ [Fasi successive](#next-steps-License-manager)
+ [Risorse aggiuntive](#resources-License-manager)

## Che cos'è AWS License Manager?
<a name="what-is-Licensemanager"></a>

Con AWS License Manager, puoi gestire le licenze software di vari fornitori di software (come Microsoft, SAP, Oracle o IBM) in modo centralizzato in AWS ambienti locali e in ambienti locali. La disponibilità di tutte le licenze software in un'unica posizione consente un migliore controllo e visibilità e aiuta potenzialmente a limitare le eccedenze sulle licenze e a ridurre il rischio di problemi di non conformità e segnalazioni errate. 

Il AWS License Manager framework è integrato con License Manager per aggregare le informazioni sull'utilizzo delle licenze in base a regole di licenza definite dal cliente.

## Utilizzo di questo framework
<a name="framework-Licensemanager"></a>

Puoi utilizzare il framework *AWS License Manager* per prepararti agli audit. Questo framework include una raccolta predefinita di controlli con descrizioni e procedure di test. Questi controlli sono raggruppati in base alle regole di licenza definite dal cliente. Puoi inoltre personalizzare questo framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici. 

Utilizzando il framework come punto di partenza, puoi creare una valutazione Gestione audit e iniziare a raccogliere prove rilevanti per l’audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. Lo fa sulla base dei controlli definiti nel AWS License Manager framework. Quando è il momento di fare un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte da Gestione audit. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto. 

I dettagli del AWS License Manager framework sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| AWS License Manager | 27 | 0 | 6 | 

I controlli di questo AWS Audit Manager framework non hanno lo scopo di verificare se i sistemi sono conformi alle regole di licenza. Inoltre, non possono garantire il superamento dell’audit sull’uso della licenza. 

## Fasi successive
<a name="next-steps-License-manager"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questo framework, incluso l'elenco dei controlli standard in esso contenuti, vedere. [Revisione di un framework in AWS Audit Manager](review-frameworks.md) 

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, vedere[Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md). 

## Risorse aggiuntive
<a name="resources-License-manager"></a>

**Collegamenti License Manager**
+ [AWS License Manager pagina di servizio](https://aws.amazon.com/license-manager)
+ [AWS License Manager guida per l'utente](https://docs.aws.amazon.com/license-manager/latest/userguide/license-manager.html)

**License Manager APIs**  
Per questo framework, Gestione audit utilizza un'attività personalizzata chiamata `GetLicenseManagerSummary` per la raccolta di prove. L'`GetLicenseManagerSummary`attività richiama i seguenti tre License Manager APIs: 

1. [ListLicenseConfigurations](https://docs.aws.amazon.com/license-manager/latest/APIReference/API_ListLicenseConfigurations.html)

1. [ListAssociationsForLicenseConfiguration](https://docs.aws.amazon.com/license-manager/latest/APIReference/API_ListAssociationsForLicenseConfiguration.html)

1. [ListUsageForLicenseConfiguration](https://docs.aws.amazon.com/license-manager/latest/APIReference/API_ListUsageForLicenseConfiguration.html) 

I dati restituiti vengono quindi convertiti in prove e allegati ai controlli pertinenti della valutazione.

Ad esempio: supponiamo che tu utilizzi due prodotti con licenza (*SQL Server 2017* e *Oracle Database Enterprise Edition*). Innanzitutto, l'`GetLicenseManagerSummary`attività richiama l'[ListLicenseConfigurations](https://docs.aws.amazon.com/license-manager/latest/APIReference/API_ListLicenseConfigurations.html)API, che fornisce dettagli sulle configurazioni delle licenze nell'account. Successivamente, aggiunge dati contestuali aggiuntivi per ogni configurazione di licenza [ListUsageForLicenseConfiguration](https://docs.aws.amazon.com/license-manager/latest/APIReference/API_ListUsageForLicenseConfiguration.html)chiamando and. [ListAssociationsForLicenseConfiguration](https://docs.aws.amazon.com/license-manager/latest/APIReference/API_ListAssociationsForLicenseConfiguration.html) Infine, converte i dati di configurazione della licenza in prove e li allega ai rispettivi controlli nel framework (*4.5 - Licenza gestita dal cliente per SQL Server 2017* e *3.0.4 - Licenza gestita dal cliente per Oracle Database Enterprise Edition*). Se utilizzi un prodotto concesso in licenza che non è coperto da nessuno dei controlli del framework, i dati di configurazione della licenza vengono allegati come prova al seguente controllo: *5.0 - Licenza gestita dal cliente per altre licenze*.

# AWS Best practice di sicurezza di base
<a name="aws-foundational-security-best-practices"></a>





AWS Audit Manager fornisce un framework standard predefinito che supporta le migliori pratiche di sicurezza di AWS base.

**Topics**
+ [Cos'è lo standard AWS Foundational Security Best Practices?](#what-is-aws-foundational-security-best-practices)
+ [Utilizzo di questo framework](#framework-aws-foundational-security-best-practices)
+ [Fasi successive](#next-steps-aws-foundational-security-best-practices)
+ [Risorse aggiuntive](#resources-aws-foundational-security-best-practices)

## Cos'è lo standard AWS Foundational Security Best Practices?
<a name="what-is-aws-foundational-security-best-practices"></a>

Lo standard AWS Foundational Security Best Practices è un insieme di controlli che rilevano quando gli account e le risorse distribuiti si discostano dalle migliori pratiche di sicurezza.

Puoi utilizzare questo standard per valutare continuamente tutti i tuoi carichi di lavoro Account AWS e identificare rapidamente le aree di deviazione dalle migliori pratiche. Lo standard fornisce una guida pratica e prescrittiva su come migliorare e mantenere la posizione di sicurezza dell'organizzazione.

I controlli includono le best practice per più Servizi AWS. A ogni controllo viene assegnata una categoria che riflette la funzione di protezione a cui si applica. Per ulteriori informazioni, consulta [Categorie di controllo](https://docs.aws.amazon.com/securityhub/latest/userguide/control-categories.html) nella *AWS Security Hub CSPM Guida per l'utente*.

## Utilizzo di questo framework
<a name="framework-aws-foundational-security-best-practices"></a>

Puoi utilizzare il framework AWS Foundational Security Best Practices per prepararti agli audit. Questo framework include una raccolta predefinita di controlli con descrizioni e procedure di test. Questi controlli sono raggruppati in set di controlli in base ai requisiti di AWS Foundational Security Best Practices. Puoi inoltre personalizzare questo framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici. 

Utilizzando il framework come punto di partenza, puoi creare una valutazione Gestione audit e iniziare a raccogliere prove rilevanti per l’audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le risorse dei tuoi Account AWS servizi. Lo fa sulla base dei controlli definiti nel framework AWS Foundational Security Best Practices. Quando è il momento di fare un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte da Gestione audit. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto. 

I dettagli del framework AWS Foundational Security Best Practices sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| AWS Best practice di sicurezza di base | 146 | 0 | 31 | 

**Importante**  
Per garantire che questo framework raccolga le prove previste AWS Security Hub CSPM, assicurati di aver abilitato tutti gli standard in Security Hub CSPM.

I controlli di questo AWS Audit Manager framework non hanno lo scopo di verificare se i sistemi sono conformi AWS alle Foundational Security Best Practices. Inoltre, non possono garantire che supererai un audit delle migliori pratiche di sicurezza di AWS base. 

## Fasi successive
<a name="next-steps-aws-foundational-security-best-practices"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questo framework, incluso l'elenco dei controlli standard che contiene, consulta[Revisione di un framework in AWS Audit Manager](review-frameworks.md). 

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, vedere[Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md). 

## Risorse aggiuntive
<a name="resources-aws-foundational-security-best-practices"></a>
+ [AWS Standard di base sulle migliori pratiche di sicurezza](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) nella Guida per l'*AWS Security Hub CSPM utente*
+ [Categorie di controllo](https://docs.aws.amazon.com/securityhub/latest/userguide/control-categories.html) nella *AWS Security Hub CSPM Guida per l’utente*

# AWS Migliori pratiche operative
<a name="OBP"></a>





AWS Audit Manager fornisce un framework OBP ( AWS Operational Best Practices) predefinito per assistervi nella preparazione degli audit. 

Questo framework offre un sottoinsieme di controlli dello standard AWS Foundational Security Best Practices. Questi controlli fungono da controlli di base per rilevare quando gli account e le risorse distribuiti si discostano dalle best practice di sicurezza.

**Topics**
+ [Cos'è lo standard AWS Foundational Security Best Practices?](#what-is-OBP)
+ [Utilizzo di questo framework](#framework-OBP)
+ [Fasi successive](#next-steps-OBP)
+ [Risorse aggiuntive](#resources-operational-best-practices)

## Cos'è lo standard AWS Foundational Security Best Practices?
<a name="what-is-OBP"></a>

Puoi utilizzare lo standard *AWS Foundational Security Best Practices* per valutare account e carichi di lavoro e identificare rapidamente le aree di deviazione dalle best practice. Lo standard fornisce una guida pratica e prescrittiva su come migliorare e mantenere la posizione di sicurezza dell'organizzazione.

I controlli includono le best practice per più Servizi AWS. A ogni controllo viene assegnata una categoria che riflette la funzione di protezione a cui si applica. Per ulteriori informazioni, consulta [Categorie di controllo](https://docs.aws.amazon.com/securityhub/latest/userguide/control-categories.html) nella *AWS Security Hub CSPM Guida per l'utente*.

## Utilizzo di questo framework
<a name="framework-OBP"></a>

Puoi utilizzare il framework *AWS Best practice operative* per prepararti agli audit. Questo framework include una raccolta predefinita di controlli con descrizioni e procedure di test. Questi controlli sono raggruppati in set di controlli in base ai requisiti delle migliori pratiche AWS operative. Puoi inoltre personalizzare questo framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici. 

I dettagli del framework AWS Operational Best Practices sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| AWS Migliori pratiche operative | 0 | 51 | 20 | 

**Importante**  
Per garantire che questo framework raccolga le prove previste AWS Security Hub CSPM, assicurati di aver abilitato tutti gli standard in Security Hub CSPM.

I controlli di questo framework non hanno lo scopo di verificare se i sistemi sono conformi alle migliori pratiche operative. AWS Inoltre, non possono garantire il superamento di un audit sulle best practice operative AWS . 

Questo framework contiene solo controlli manuali. Questi controlli manuali non raccolgono prove automaticamente. AWS Audit Manager non verifica automaticamente i controlli procedurali che richiedono la raccolta manuale delle prove.

## Fasi successive
<a name="next-steps-OBP"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questo framework, incluso l'elenco dei controlli standard in esso contenuti, vedere[Revisione di un framework in AWS Audit Manager](review-frameworks.md). 

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, vedere[Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md). 

## Risorse aggiuntive
<a name="resources-operational-best-practices"></a>
+ [AWS Standard di base sulle migliori pratiche di sicurezza](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) nella Guida per l'*AWS Security Hub CSPM utente*
+ [Categorie di controllo](https://docs.aws.amazon.com/securityhub/latest/userguide/control-categories.html) nella *AWS Security Hub CSPM Guida per l’utente*

# AWS Framework WAF v10 ben architettato
<a name="well-architected"></a>





AWS Audit Manager fornisce un framework standard predefinito che supporta AWS Well-Architected Framework v10.

**Topics**
+ [Cos'è il AWS Well-Architected Framework?](#what-is-well-architected)
+ [Utilizzo di questo framework](#framework-well-architected)
+ [Fasi successive](#next-steps-well-architected)
+ [Risorse aggiuntive](#resources-aws-foundational-security-best-practices)

## Cos'è il AWS Well-Architected Framework?
<a name="what-is-well-architected"></a>

[AWS Well-Architected](https://aws.amazon.com/architecture/well-architected/) è un framework che ti aiuta a creare un'infrastruttura sicura, a elevate prestazioni, resiliente ed efficiente per le tue applicazioni e carichi di lavoro. Costruito attorno a sei pilastri: eccellenza operativa, sicurezza, affidabilità, efficienza delle prestazioni, ottimizzazione dei costi e sostenibilità,AWS Well-Architected offre un approccio coerente per te e per i tuoi partner per valutare architetture e implementare progetti scalabili nel tempo. 

## Utilizzo di questo framework
<a name="framework-well-architected"></a>

Puoi utilizzare il AWS Well-Architected Framework per prepararti agli audit. Questo framework descrive concetti chiave, principi di progettazione e best practice relative all’architettura per la progettazione e l'esecuzione di carichi di lavoro nel cloud. Dei sei pilastri su cui si basa AWS Well-Architected, i pilastri di sicurezza e affidabilità sono i pilastri per i quali AWS Audit Manager offre un framework e controlli predefiniti. Puoi inoltre personalizzare questo framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici.

Utilizzando il framework come punto di partenza, puoi creare una valutazione Gestione audit e iniziare a raccogliere prove rilevanti per l’audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. Lo fa in base ai controlli definiti nel AWS Well-Architected Framework. Quando è il momento di fare un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte da Gestione audit. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto. 

I dettagli del framework sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| Amazon Web Services (AWS) Well Architected Framework (WAF) v10 | 43 | 291 | 6 | 

**Importante**  
Per garantire che questo framework raccolga le prove previste AWS Security Hub CSPM, assicurati di aver abilitato tutti gli standard in Security Hub CSPM.  
Per garantire che questo framework raccolga le prove previste AWS Config, assicurati di abilitare le regole necessarie. AWS Config Per esaminare le AWS Config regole utilizzate come mappature delle origini dati in questo framework standard, scarica il file [AuditManager\$1 ConfigDataSourceMappings \$1AWS-Well-Architected-Framework-WAF-v10.zip](samples/AuditManager_ConfigDataSourceMappings_AWS-Well-Architected-Framework-WAF-v10.zip).

I controlli di questo framework non hanno lo scopo di verificare la conformità dei sistemi. Inoltre, non possono garantire il superamento dell’audit.

## Fasi successive
<a name="next-steps-well-architected"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questo framework, incluso l'elenco dei controlli standard in esso contenuti, vedere. [Revisione di un framework in AWS Audit Manager](review-frameworks.md) 

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, vedere[Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md). 

## Risorse aggiuntive
<a name="resources-aws-foundational-security-best-practices"></a>
+ [AWS Well-Architected](https://aws.amazon.com/architecture/well-architected)
+ [AWS Documentazione Well-Architected Framework](https://docs.aws.amazon.com/wellarchitected/latest/framework/welcome.html)

# Controllo CCCS Medium Cloud
<a name="cccs-medium"></a>





AWS Audit Manager fornisce un framework standard predefinito che supporta il Canadian Centre for Cyber Security (CCCS) Medium Cloud Control.

**Topics**
+ [Cos'è il CCCS?](#what-is-cccs-medium)
+ [Utilizzo di questo framework](#framework-cccs-medium)
+ [Fasi successive](#next-steps-cccs-medium)

## Cos'è il CCCS?
<a name="what-is-cccs-medium"></a>

Il CCCS è la fonte autorevole del Canada per quanto riguarda la guida, i servizi e l'assistenza degli esperti di sicurezza informatica. Il CCCS fornisce questa esperienza ai governi canadesi, all'industria e al pubblico in generale. Le organizzazioni del settore pubblico canadese dell’intero paese si basano sulle loro rigorose valutazioni dei fornitori di servizi cloud per prendere decisioni informate sugli acquisti cloud. 

Il CCCS Medium Cloud Control Profile ha sostituito il profilo PROTECTED B/Medium Integrity/Medium Availability (PBMM) del governo canadese a maggio 2020. Il CCCS Medium Cloud Security Control Profile è adatto se l'organizzazione utilizza servizi di cloud pubblico per supportare attività aziendali con requisiti medi di riservatezza, integrità e disponibilità (AIC). Per carichi di lavoro con requisiti AIC medi, ci si può ragionevolmente aspettare che la divulgazione, la modifica o la perdita di accesso non autorizzate alle informazioni o ai servizi utilizzati dall'attività aziendale causino gravi danni a un individuo o a un'organizzazione o danni limitati a un gruppo di individui. Ecco alcuni esempi di questi livelli di danni:
+ Effetto significativo sull'utile annuo
+ Perdita di conti importanti
+ Perdita di buona volontà
+ Chiara violazione della conformità
+ Violazione della privacy per centinaia o migliaia di persone 
+ Compromissione delle prestazioni del programma
+ Disturbi o malattie mentali
+ Sabotaggio
+ Danni alla reputazione
+ Difficoltà finanziarie individuali

## Utilizzo di questo framework
<a name="framework-cccs-medium"></a>

Puoi utilizzare il AWS Audit Manager framework per CCCS Medium Cloud Control per prepararti agli audit. Questo framework include una raccolta predefinita di controlli con descrizioni e procedure di test. Questi controlli sono raggruppati in set di controlli in base ai requisiti CCCS. Puoi inoltre personalizzare questo framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici. 

Utilizzando il framework come punto di partenza, puoi creare una valutazione Audit Manager e iniziare a raccogliere prove rilevanti per un audit di CCCS Medium Cloud Control. Nella valutazione, puoi specificare Account AWS ciò che desideri includere nell'ambito dell'audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. Lo fa sulla base dei controlli definiti nel framework CCCS Medium Cloud Control. Quando è il momento di fare un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte da Gestione audit. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto. 

I dettagli del framework sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| Medium Cloud Control del Canadian Centre for Cyber Security (CCCS) | 71 | 282 | 175 | 

**Importante**  
Per garantire che questo framework raccolga le prove previste AWS Security Hub CSPM, assicurati di aver abilitato tutti gli standard in Security Hub CSPM.  
Per garantire che questo framework raccolga le prove previste AWS Config, assicurati di abilitare le regole necessarie. AWS Config Per esaminare le AWS Config regole utilizzate come mappature delle origini dati in questo framework standard, scaricate il file [AuditManager\$1 AuditManager \$1 ConfigDataSourceMappings \$1CCCS-Medium-Cloud-Control.zip](samples/AuditManager_ConfigDataSourceMappings_CCCS-Medium-Cloud-Control.zip).

I controlli di questo AWS Audit Manager framework non hanno lo scopo di verificare se i tuoi sistemi sono conformi ai requisiti di CCCS Medium Cloud Control. Inoltre, non possono garantire che supererai un audit CCCS. AWS Audit Manager non verifica automaticamente i controlli procedurali che richiedono la raccolta manuale delle prove.

## Fasi successive
<a name="next-steps-cccs-medium"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questo framework, incluso l'elenco dei controlli standard in esso contenuti, vedere[Revisione di un framework in AWS Audit Manager](review-frameworks.md). 

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, vedere[Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md). 

# CIS AWS Benchmark v1.2.0
<a name="CIS-1-2"></a>





AWS Audit Manager *fornisce due framework predefiniti che supportano il Center for Internet Security (CIS) Amazon Web Services (AWS) Benchmark v1.2.0.*

**Nota**  
Per informazioni sui framework Gestione audit che supportano la versione 1.3.0, consulta [Benchmark AWS CIS v1.3.0](CIS-1-3.md).
Per informazioni sui framework Gestione audit che supportano la versione 1.4.0, consulta [AWS CIS Benchmark v1.4.0](CIS-1-4.md).

**Topics**
+ [Cos'è il CIS?](#what-is-CIS-1-2)
+ [Utilizzo di questo framework](#framework-CIS-1-2)
+ [Fasi successive](#next-steps-CIS-1-2)
+ [Risorse aggiuntive](#resources-CIS-1-2)

## Cos'è il CIS?
<a name="what-is-CIS-1-2"></a>

[Il CIS è un'organizzazione no profit che ha sviluppato il CIS Foundations Benchmark. AWS](https://d0.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf) Questo benchmark funge da insieme di best practice per la configurazione della sicurezza per. AWS Queste best practice accettate dal settore vanno oltre le linee guida di alto livello in materia di sicurezza già disponibili, step-by-step in quanto forniscono procedure chiare di implementazione e valutazione. 

*Per ulteriori informazioni, consultate i post del blog [CIS AWS Foundations Benchmark sul Security Blog](https://aws.amazon.com/blogs/security/tag/cis-aws-foundations-benchmark/).AWS *

**Differenza tra i benchmark CIS e i controlli CIS**  
I *benchmark CIS* sono linee guida sulle best practice di sicurezza specifiche per i prodotti dei fornitori. Dai sistemi operativi ai servizi cloud e ai dispositivi di rete, le impostazioni applicate da un benchmark proteggono i sistemi specifici utilizzati dall'organizzazione. I *controlli CIS* sono linee guida di best practice fondamentali per i sistemi a livello di organizzazione da seguire per la protezione dai vettori di attacchi informatici noti. 

**Esempi**
+ I benchmark CIS sono prescrittivi. In genere fanno riferimento a un'impostazione specifica che può essere rivista e impostata nel prodotto del fornitore.

  **Esempio:** CIS AWS Benchmark v1.2.0 - Assicurati che l'MFA sia abilitata per l'account «utente root». 

  Questa raccomandazione fornisce indicazioni prescrittive su come verificarlo e su come impostarlo sull'account root dell'ambiente. AWS 
+ I controlli CIS sono rivolti all'intera organizzazione. Non sono specifici per un solo prodotto del fornitore. 

  **Esempio:** CIS v7.1: utilizzo dell'autenticazione a più fattori per tutti gli accessi amministrativi

  Questo controllo descrive cosa dovrebbe essere applicato all'interno dell'organizzazione. Non descrive come applicarlo ai sistemi e ai carichi di lavoro in esecuzione (indipendentemente da dove si trovino). 

## Utilizzo di questo framework
<a name="framework-CIS-1-2"></a>

È possibile utilizzare i framework CIS AWS Benchmark v1.2 per prepararsi agli audit CIS. AWS Audit Manager Puoi inoltre personalizzare questi framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici.

Utilizzando i framework come punto di partenza, puoi creare una valutazione Gestione audit e iniziare a raccogliere prove rilevanti per l'audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. La valutazione avviene sulla base dei controlli definiti nel framework CIS. Quando è il momento di fare un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte da Gestione audit. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto. 

I dettagli del framework sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| Centro per la sicurezza Internet (CIS) Amazon Web Services (AWS) Benchmark v1.2.0, livello 1 | 33 | 3 | 4 | 
| Centro per la sicurezza Internet (CIS) Amazon Web Services (AWS) Benchmark v1.2.0, livello 1 e 2 | 45 | 4 | 4 | 

**Importante**  
Per garantire che questi framework raccolgano le prove previste AWS Security Hub CSPM, assicurati di aver abilitato tutti gli standard in Security Hub CSPM.  
Per garantire che questi framework raccolgano le prove previste AWS Config, assicurati di abilitare le regole necessarie. AWS Config Per esaminare un elenco delle AWS Config regole utilizzate come mappature delle sorgenti dati per questi framework standard, scarica i seguenti file:  
[AuditManager\$1 ConfigDataSourceMappings \$1CIS-AWS-Benchmark-v1.2.0, -Level-1.zip](samples/AuditManager_ConfigDataSourceMappings_CIS-AWS-Benchmark-v1.2.0,-Level-1.zip)
[AuditManager\$1 ConfigDataSourceMappings \$1CIS-AWS-Benchmark-v1.2.0, -Level-1-and-2.zip](samples/AuditManager_ConfigDataSourceMappings_CIS-AWS-Benchmark-v1.2.0,-Level-1-and-2.zip)

I controlli in questi framework non hanno lo scopo di verificare se i sistemi sono conformi alle migliori pratiche di CIS Benchmark. AWS Inoltre, non possono garantire che supererai un audit CIS. AWS Audit Manager non verifica automaticamente i controlli procedurali che richiedono la raccolta manuale delle prove.

### Prerequisiti per l'utilizzo di questi framework
<a name="framework-CIS-1-2-prerequisites"></a>

Molti controlli nei framework CIS AWS Benchmark v1.2 vengono utilizzati AWS Config come tipo di origine dati. Per supportare questi controlli, è necessario [abilitarli AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html) su tutti gli account in ciascuno dei Regione AWS quali è stato abilitato Audit Manager. È inoltre necessario assicurarsi che siano abilitate AWS Config regole specifiche e che tali regole siano configurate correttamente.

Le seguenti AWS Config regole e parametri sono necessari per raccogliere le prove corrette e acquisire uno stato di conformità accurato per il CIS AWS Foundations Benchmark v1.2. Per istruzioni su come abilitare o configurare una regola, consulta [Lavorare con regole gestite AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managing-aws-managed-rules.html).


|  AWS Config Regola obbligatoria | Parametri obbligatori | 
| --- | --- | 
| [ACCESS\$1KEYS\$1ROTATED](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [CLOUD\$1TRAIL\$1CLOUD\$1WATCH\$1LOGS\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html) | Non applicabile | 
| [CLOUD\$1TRAIL\$1ENCRYPTION\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html) | Non applicabile | 
| [CLOUD\$1TRAIL\$1LOG\$1FILE\$1VALIDATION\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html) | Non applicabile | 
| [CMK\$1BACKING\$1KEY\$1ROTATION\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html) | Non applicabile | 
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [IAM\$1PASSWORD\$1POLICY](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/CIS-1-2.html)  | 
|  [IAM\$1POLICY\$1IN\$1USE](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html)  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [IAM\$1POLICY\$1NO\$1STATEMENTS\$1WITH\$1ADMIN\$1ACCESS](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html) | Non applicabile | 
| [IAM\$1ROOT\$1ACCESS\$1KEY\$1CHECK](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html) | Non applicabile | 
| [IAM\$1USER\$1NO\$1POLICIES\$1CHECK](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html) | Non applicabile | 
| [IAM\$1USER\$1UNUSED\$1CREDENTIALS\$1CHECK](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [INCOMING\$1SSH\$1DISABLED](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html) | Non applicabile | 
| [MFA\$1ENABLED\$1FOR\$1IAM\$1CONSOLE\$1ACCESS](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html) | Non applicabile | 
| [MULTI\$1REGION\$1CLOUD\$1TRAIL\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html) | Non applicabile | 
| [RESTRICTED\$1INCOMING\$1TRAFFIC](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [ROOT\$1ACCOUNT\$1HARDWARE\$1MFA\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html) | Non applicabile | 
| [ROOT\$1ACCOUNT\$1MFA\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html) | Non applicabile | 
| [S3\$1BUCKET\$1LOGGING\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/CIS-1-2.html)  | 
| [S3\$1BUCKET\$1PUBLIC\$1READ\$1PROHIBITED](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited.html) | Non applicabile | 
| [VPC\$1DEFAULT\$1SECURITY\$1GROUP\$1CLOSED](https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html) | Non applicabile | 
| [VPC\$1FLOW\$1LOGS\$1ENABLED](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html) |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/CIS-1-2.html)  | 

## Fasi successive
<a name="next-steps-CIS-1-2"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questi framework, incluso l'elenco dei controlli standard che contengono, consulta. [Revisione di un framework in AWS Audit Manager](review-frameworks.md) 

Per istruzioni su come creare una valutazione utilizzando questi framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questi framework per supportare requisiti specifici, consulta. [Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md) 

## Risorse aggiuntive
<a name="resources-CIS-1-2"></a>
+ [Il benchmark CIS Foundations v1.2.0 AWS](https://d0.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf)
+ [Post del blog di CIS AWS Foundations Benchmark](https://aws.amazon.com/blogs/security/tag/cis-aws-foundations-benchmark/) sul *Blog sulla sicurezza AWS *

# Benchmark AWS CIS v1.3.0
<a name="CIS-1-3"></a>





AWS Audit Manager fornisce due framework standard predefiniti che supportano CIS Benchmark v1.3. AWS 

**Nota**  
Per informazioni sui framework Gestione audit che supportano la versione 1.2.0, consulta [CIS AWS Benchmark v1.2.0](CIS-1-2.md).
Per informazioni sui framework Gestione audit che supportano la versione 1.4.0, consulta [AWS CIS Benchmark v1.4.0](CIS-1-4.md).

**Topics**
+ [Cos'è il CIS Benchmark? AWS](#what-is-CIS-1-3)
+ [Utilizzo di questi framework](#framework-CIS-1-3)
+ [Fasi successive](#next-steps-CIS-1-3)
+ [Risorse aggiuntive](#resources-CIS-1-3)

## Cos'è il CIS Benchmark? AWS
<a name="what-is-CIS-1-3"></a>

Il CIS ha sviluppato il [CIS AWS Foundations Benchmark](https://www.cisecurity.org/benchmark/amazon_web_services/) v1.3.0, un insieme di best practice per la configurazione della sicurezza. AWS Queste best practice accettate dal settore vanno oltre le linee guida di alto livello in materia di sicurezza già disponibili, in quanto forniscono AWS agli utenti procedure chiare di implementazione e valutazione. step-by-step 

*Per ulteriori informazioni, consultate i post del blog [CIS AWS Foundations Benchmark sul Security Blog](https://aws.amazon.com/blogs/security/tag/cis-aws-foundations-benchmark/).AWS *

CIS AWS Benchmark v1.3.0 fornisce indicazioni per la configurazione delle opzioni di sicurezza per un sottoinsieme di, Servizi AWS con particolare attenzione alle impostazioni di base, testabili e indipendenti dall'architettura. Ecco alcuni degli Amazon Web Services specifici nell’ambito di applicazione del presente documento: 
+ AWS Identity and Access Management (IAM)
+ AWS Config
+ AWS CloudTrail
+ Amazon CloudWatch
+ Amazon Simple Notification Service (Amazon SNS)
+ Amazon Simple Storage Service (Amazon S3)
+ Amazon Virtual Private Cloud (predefinito)

**Differenza tra i benchmark CIS e i controlli CIS**  
I *benchmark CIS* sono linee guida sulle best practice di sicurezza specifiche per i prodotti dei fornitori. Dai sistemi operativi ai servizi cloud e ai dispositivi di rete, le impostazioni applicate da un benchmark proteggono i sistemi utilizzati dall'organizzazione. I *controlli CIS* sono linee guida fondamentali sulle best practice che l'organizzazione deve seguire per la protezione dai vettori di attacco informatico noti. 

**Esempi**
+ I benchmark CIS sono prescrittivi. In genere fanno riferimento a un'impostazione specifica che può essere rivista e impostata nel prodotto del fornitore. 

  **Esempio:** CIS AWS Benchmark v1.3.0 - Assicurarsi che l'MFA sia abilitata per l'account «utente root»

  Questa raccomandazione fornisce indicazioni prescrittive su come verificarlo e su come impostarlo sull'account root dell'ambiente. AWS 
+ I controlli CIS sono rivolti all'intera organizzazione e non sono specifici per un solo prodotto del fornitore. 

  **Esempio:** CIS v7.1: utilizzo dell'autenticazione a più fattori per tutti gli accessi amministrativi 

  Questo controllo descrive cosa dovrebbe essere applicato all'interno dell'organizzazione, ma non come applicarlo ai sistemi e ai carichi di lavoro in esecuzione (indipendentemente da dove si trovino). 

## Utilizzo di questi framework
<a name="framework-CIS-1-3"></a>

È possibile utilizzare i framework CIS AWS Benchmark v1.3 per prepararsi agli audit CIS. AWS Audit Manager Puoi inoltre personalizzare questi framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici.

Utilizzando i framework come punto di partenza, puoi creare una valutazione Gestione audit e iniziare a raccogliere prove rilevanti per l'audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. La valutazione avviene sulla base dei controlli definiti nel framework CIS. Quando è il momento di fare un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte da Gestione audit. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto. 

I dettagli del framework sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| Centro per la sicurezza Internet (CIS) Amazon Web Services (AWS) Benchmark v1.3.0, livello 1 | 32 | 5 | 5 | 
| Centro per la sicurezza Internet (CIS) Amazon Web Services (AWS) Benchmark v1.3.0, livello 1 e 2 | 49 | 6 | 5 | 

**Importante**  
Per garantire che questi framework raccolgano le prove previste AWS Security Hub CSPM, assicurati di aver abilitato tutti gli standard in Security Hub CSPM.  
Per garantire che questi framework raccolgano le prove previste AWS Config, assicurati di abilitare le regole necessarie. AWS Config Per esaminare un elenco delle AWS Config regole utilizzate come mappature delle sorgenti dati per questi framework standard, scarica i seguenti file:  
[ AuditManager\$1 ConfigDataSourceMappings \$1CIS-AWS-Benchmark-v1.3.0, -Level-1.zip](samples/AuditManager_ConfigDataSourceMappings_CIS-AWS-Benchmark-v1.3.0,-Level-1.zip)
[ AuditManager\$1 ConfigDataSourceMappings \$1CIS-AWS-Benchmark-v1.3.0, -Level-1-and-2.zip](samples/AuditManager_ConfigDataSourceMappings_CIS-AWS-Benchmark-v1.3.0,-Level-1-and-2.zip)

I controlli in questi framework non hanno lo scopo di verificare se i sistemi sono conformi alle migliori pratiche di CIS Benchmark. AWS Inoltre, non possono garantire che supererai un audit CIS. AWS Audit Manager non verifica automaticamente i controlli procedurali che richiedono la raccolta manuale delle prove.

## Fasi successive
<a name="next-steps-CIS-1-3"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questi framework, incluso l'elenco dei controlli standard in essi contenuti, consulta. [Revisione di un framework in AWS Audit Manager](review-frameworks.md) 

Per istruzioni su come creare una valutazione utilizzando questi framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questi framework per supportare requisiti specifici, consulta. [Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md) 

## Risorse aggiuntive
<a name="resources-CIS-1-3"></a>
+ [Post del blog di CIS AWS Foundations Benchmark](https://aws.amazon.com/blogs/security/tag/cis-aws-foundations-benchmark/) sul *Blog sulla sicurezza AWS *

# AWS CIS Benchmark v1.4.0
<a name="CIS-1-4"></a>





AWS Audit Manager fornisce due framework standard predefiniti che supportano il Center for Internet Security (CIS) Foundations Benchmark v1.4.0. AWS 

**Nota**  
Per informazioni sui framework Gestione audit che supportano la versione 1.2.0, consulta [CIS AWS Benchmark v1.2.0](CIS-1-2.md).
Per informazioni sui framework Gestione audit che supportano la versione 1.3.0, consulta [Benchmark AWS CIS v1.3.0](CIS-1-3.md).

**Topics**
+ [Cos' AWS è il benchmark CIS?](#what-is-CIS-1-4)
+ [Utilizzo di questi framework](#framework-CIS-1-4)
+ [Fasi successive](#next-steps-CIS-1-4)
+ [Risorse aggiuntive](#resources-CIS-1-4)

## Cos' AWS è il benchmark CIS?
<a name="what-is-CIS-1-4"></a>

Il CIS AWS Benchmark v1.4.0 fornisce linee guida prescrittive per la configurazione delle opzioni di sicurezza per un sottoinsieme di Amazon Web Services. Pone l'accento sulle impostazioni fondamentali, testabili e indipendenti dall'architettura. Ecco alcuni degli Amazon Web Services specifici nell’ambito di applicazione del presente documento: 
+ AWS Identity and Access Management (IAM)
+ Sistema di analisi degli accessi IAM
+ AWS Config
+ AWS CloudTrail
+ Amazon CloudWatch
+ Amazon Simple Notification Service (Amazon SNS)
+ Amazon Simple Storage Service (Amazon S3)
+ Amazon Elastic Compute Cloud (Amazon EC2)
+ Amazon Relational Database Service (Amazon RDS)
+ Amazon Virtual Private Cloud

**Differenza tra i benchmark CIS e i controlli CIS**  
I *benchmark CIS* sono linee guida sulle best practice di sicurezza specifiche per i prodotti dei fornitori. Dai sistemi operativi ai servizi cloud e ai dispositivi di rete, le impostazioni applicate da un benchmark proteggono i sistemi utilizzati. I *controlli CIS* sono linee guida fondamentali sulle best practice che l'organizzazione deve seguire per la protezione dai vettori di attacco informatico noti. 

**Esempi**
+ I benchmark CIS sono prescrittivi. In genere fanno riferimento a un'impostazione specifica che può essere rivista e impostata nel prodotto del fornitore. 

  **Esempio:** CIS AWS Benchmark v1.3.0 - Assicurarsi che l'MFA sia abilitata per l'account «utente root»

  Questa raccomandazione fornisce indicazioni prescrittive su come verificarlo e su come impostarlo sull'account root dell'ambiente. AWS 
+ I controlli CIS sono rivolti all'intera organizzazione e non sono specifici per un solo prodotto del fornitore. 

  **Esempio:** CIS v7.1: utilizzo dell'autenticazione a più fattori per tutti gli accessi amministrativi

  Questo controllo descrive cosa dovrebbe essere applicato all'interno dell'organizzazione. Tuttavia, non descrive come applicarlo ai sistemi e ai carichi di lavoro in esecuzione, indipendentemente da dove si trovino. 

## Utilizzo di questi framework a supporto della preparazione dell'audit
<a name="framework-CIS-1-4"></a>

È possibile utilizzare i framework CIS AWS Benchmark v1.4.0 per prepararsi agli audit CIS. AWS Audit Manager Puoi inoltre personalizzare questi framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici.

Utilizzando i framework come punto di partenza, puoi creare una valutazione Gestione audit e iniziare a raccogliere prove rilevanti per l'audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. La valutazione avviene sulla base dei controlli definiti nel framework CIS. Quando è il momento di fare un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte da Gestione audit. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto. 

I dettagli del framework sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| Centro per la sicurezza Internet (CIS) Amazon Web Services (AWS) Benchmark v1.4.0, livello 1 | 32 | 6 | 5 | 
|  Centro per la sicurezza Internet (CIS) Amazon Web Services (AWS) Benchmark v1.4.0, livello 1 e 2  | 50 | 8 | 5 | 

**Importante**  
Per garantire che questi framework raccolgano le prove previste AWS Security Hub CSPM, assicurati di aver abilitato tutti gli standard in Security Hub CSPM.  
Per garantire che questi framework raccolgano le prove previste AWS Config, assicurati di abilitare le regole necessarie. AWS Config Per esaminare un elenco delle AWS Config regole utilizzate come mappature delle sorgenti dati per questi framework standard, scarica i seguenti file:  
[ AuditManager\$1 ConfigDataSourceMappings \$1CIS-AWS-Benchmark-v1.4.0, -Level-1.zip](samples/AuditManager_ConfigDataSourceMappings_CIS-AWS-Benchmark-v1.4.0,-Level-1.zip)
[ AuditManager\$1 ConfigDataSourceMappings \$1CIS-AWS-Benchmark-v1.4.0, -Level-1-and-2.zip](samples/AuditManager_ConfigDataSourceMappings_CIS-AWS-Benchmark-v1.4.0,-Level-1-and-2.zip)

I controlli in questi framework non hanno lo scopo di verificare se i sistemi sono conformi al CIS Benchmark v1.4.0. AWS Inoltre, non possono garantire che supererai un audit CIS. AWS Audit Manager non verifica automaticamente i controlli procedurali che richiedono la raccolta manuale delle prove.

## Fasi successive
<a name="next-steps-CIS-1-4"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questi framework, incluso l'elenco dei controlli standard in essi contenuti, vedi[Revisione di un framework in AWS Audit Manager](review-frameworks.md). 

Per istruzioni su come creare una valutazione utilizzando questi framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questi framework per supportare requisiti specifici, consulta. [Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md) 

## Risorse aggiuntive
<a name="resources-CIS-1-4"></a>
+ [Benchmark CIS](https://benchmarks.cisecurity.org) del *Center for Internet Security*
+ [Post del blog di CIS AWS Foundations Benchmark](https://aws.amazon.com/blogs/security/tag/cis-aws-foundations-benchmark/) sul *Blog sulla sicurezza AWS *

# Controlli CIS v7.1, IG1
<a name="CIS-controls"></a>





AWS Audit Manager fornisce un framework standard predefinito che supporta Center for Internet Security (CIS) v7.1 Implementation Group 1.

**Nota**  
Per informazioni su CIS v8, IG1and il AWS Audit Manager framework che supporta questo standard, vedere. [CIS Critical Security Controls versione 8.0, IG1](CIS-controls-v8.md)

**Topics**
+ [Cosa sono i controlli CIS?](#what-is-CIS-controls)
+ [Utilizzo di questo framework](#framework-CIS-controls)
+ [Fasi successive](#next-steps-CIS-controls)
+ [Risorse aggiuntive](#resources-CIS-controls)

## Cosa sono i controlli CIS?
<a name="what-is-CIS-controls"></a>

I controlli CIS sono un insieme di azioni prioritarie che, collettivamente, costituiscono un insieme di best practice. defense-in-depth Queste best practice mitigano gli attacchi più comuni contro sistemi e reti. Generalmente, per un'organizzazione con risorse limitate e competenze di sicurezza informatica disponibili per implementare i controlli secondari, viene definito il *gruppo di implementazione 1*.

**Differenza tra i controlli CIS e i benchmark CIS**  
I controlli CIS sono linee guida fondamentali sulle best practice che un'organizzazione può seguire per proteggersi dai vettori di attacchi informatici noti. I benchmark CIS sono linee guida sulle best practice di sicurezza specifiche per i prodotti dei fornitori. Dai sistemi operativi ai servizi cloud e ai dispositivi di rete, le impostazioni applicate da un benchmark proteggono i sistemi utilizzati.

**Esempi**
+ I *benchmark CIS* sono prescrittivi. In genere fanno riferimento a un'impostazione specifica che può essere rivista e impostata nel prodotto del fornitore. 
  + **Esempio**: CIS AWS Benchmark v1.2.0 - Assicurarsi che l'MFA sia abilitata per l'account «utente root»
  + Questa raccomandazione fornisce indicazioni prescrittive su come verificarlo e su come impostarlo sull'account root dell'ambiente. AWS 
+ I *controlli CIS* sono rivolti all'intera organizzazione e non sono specifici per un solo prodotto del fornitore. 
  + **Esempio**: CIS v7.1: utilizzo dell'autenticazione a più fattori per tutti gli accessi amministrativi
  + Questo controllo descrive cosa dovrebbe essere applicato all'interno dell'organizzazione. Tuttavia, non descrive come applicarlo ai sistemi e ai carichi di lavoro in esecuzione (indipendentemente da dove si trovino). 

## Utilizzo di questo framework
<a name="framework-CIS-controls"></a>

È possibile utilizzare il IG1 framework *CIS Controls v7.1* per prepararsi agli audit. Questo framework include una raccolta predefinita di controlli con descrizioni e procedure di test. Questi controlli sono raggruppati in set di controlli in base ai requisiti CIS. Puoi inoltre personalizzare questo framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici. 

Utilizzando il framework come punto di partenza, puoi creare una valutazione Gestione audit e iniziare a raccogliere prove rilevanti per l’audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. Lo fa sulla base dei controlli definiti nel framework CIS Controls v7.1 IG1 . Quando è il momento di fare un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte da Gestione audit. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto. 

I dettagli del framework CIS Controls v7.1 IG1 sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| Center for Internet Security (CIS) v7.1, IG1  | 8 | 35 | 18 | 

**Importante**  
Per garantire che questo framework raccolga le prove previste AWS Security Hub CSPM, assicurati di aver abilitato tutti gli standard in Security Hub CSPM.  
Per garantire che questo framework raccolga le prove previste AWS Config, assicurati di abilitare le regole necessarie. AWS Config Per esaminare le AWS Config regole utilizzate come mappature delle sorgenti dati in questo framework standard, scaricate il file [AuditManager\$1 ConfigDataSourceMappings \$1Center-for-Internet-Security- (CIS) -v7.1](samples/AuditManager_ConfigDataSourceMappings_Center-for-Internet-Security-(CIS)-v7.1,-IG1.zip), - .zip. IG1

I controlli di questo framework non hanno lo scopo di verificare la conformità dei sistemi ai controlli CIS. Inoltre, non possono garantire il superamento di un audit CIS. AWS Audit Manager non verifica automaticamente i controlli procedurali che richiedono la raccolta manuale delle prove.

## Fasi successive
<a name="next-steps-CIS-controls"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questo framework, incluso l'elenco dei controlli standard in esso contenuti, vedere. [Revisione di un framework in AWS Audit Manager](review-frameworks.md) 

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, vedere[Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md). 

## Risorse aggiuntive
<a name="resources-CIS-controls"></a>
+ [Controlli CIS v7.1 IG1](https://www.cisecurity.org/controls/v7-1)

# CIS Critical Security Controls versione 8.0, IG1
<a name="CIS-controls-v8"></a>





AWS Audit Manager fornisce un framework standard predefinito che supporta la versione 8.0 di CIS Critical Security Controls, Implementation Group 1.

**Nota**  
Per informazioni su CIS v7.1 IG1 e sul AWS Audit Manager framework che supporta questo standard, vedere. [Controlli CIS v7.1, IG1](CIS-controls.md)

**Topics**
+ [Cosa sono i controlli CIS?](#what-is-CIS-controls-v8)
+ [Utilizzo di questo framework](#framework-CIS-controls-v8)
+ [Fasi successive](#next-steps-CIS-controls-v8)
+ [Risorse aggiuntive](#resources-CIS-controls-v8)

## Cosa sono i controlli CIS?
<a name="what-is-CIS-controls-v8"></a>

I controlli CIS Critical Security Controls (controlli CIS) sono un insieme di misure di sicurezza prioritarie per la mitigazione degli attacchi informatici più diffusi contro sistemi e reti. Sono mappati e referenziati da diversi framework legali, normativi e politici. CIS Controls v8 è stato migliorato per stare al passo con i sistemi e i software moderni. Il passaggio all'elaborazione basata sul cloud, alla virtualizzazione, alla mobilità, all'outsourcing e al cambiamento delle tattiche degli aggressori ha portato all'aggiornamento work-from-home. Questo aggiornamento supporta la sicurezza delle aziende che passano ad ambienti completamente cloud e ibridi. 

**Differenza tra i controlli CIS e i benchmark CIS**  
I controlli CIS sono linee guida fondamentali sulle best practice che un'organizzazione può seguire per proteggersi dai vettori di attacchi informatici noti. I benchmark CIS sono linee guida sulle best practice di sicurezza specifiche per i prodotti dei fornitori. Dai sistemi operativi ai servizi cloud e ai dispositivi di rete, le impostazioni applicate da un benchmark proteggono i sistemi utilizzati.

**Esempi**
+ I *benchmark CIS* sono prescrittivi. In genere fanno riferimento a un'impostazione specifica che può essere rivista e impostata nel prodotto del fornitore. 
  + **Esempio**: CIS AWS Benchmark v1.2.0 - Assicurarsi che l'MFA sia abilitata per l'account «utente root»
  + Questa raccomandazione fornisce indicazioni prescrittive su come verificarlo e su come impostarlo sull'account root dell'ambiente. AWS 
+ I *controlli CIS* sono rivolti all'intera organizzazione e non sono specifici per un solo prodotto del fornitore. 
  + **Esempio**: CIS v7.1: utilizzo dell'autenticazione a più fattori per tutti gli accessi amministrativi
  + Questo controllo descrive cosa dovrebbe essere applicato all'interno dell'organizzazione. Tuttavia, non descrive come applicarlo ai sistemi e ai carichi di lavoro in esecuzione (indipendentemente da dove si trovino). 

## Utilizzo di questo framework
<a name="framework-CIS-controls-v8"></a>

È possibile utilizzare il IG1 framework CIS v8 per prepararsi agli audit. Questo framework include una raccolta predefinita di controlli con descrizioni e procedure di test. Questi controlli sono raggruppati in set di controlli in base ai requisiti CIS. Puoi inoltre personalizzare questo framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici. 

Utilizzando il framework come punto di partenza, puoi creare una valutazione Gestione audit e iniziare a raccogliere prove rilevanti per l’audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. Lo fa sulla base dei controlli definiti nel framework CIS v8. Quando è il momento di fare un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte da Gestione audit. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto. 

I dettagli del framework sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| CIS Critical Security Controls versione 8.0 (CIS v8.0), IG1 | 11 | 45 | 15 | 

**Importante**  
Per garantire che questo framework raccolga le prove previste AWS Security Hub CSPM, assicurati di aver abilitato tutti gli standard in Security Hub CSPM.  
Per garantire che questo framework raccolga le prove previste AWS Config, assicurati di abilitare le regole necessarie. AWS Config Per esaminare le AWS Config regole utilizzate come mappature delle sorgenti dati in questo framework standard, scaricate il file [AuditManager\$1 ConfigDataSourceMappings \$1CIS-Critical-Security-Controls-Version-8.0- (CIS-v8.0](samples/AuditManager_ConfigDataSourceMappings_CIS-Critical-Security-Controls-version-8.0-(CIS-v8.0),-IG1.zip)), - .zip. IG1

I controlli di questo framework non hanno lo scopo di verificare la conformità dei sistemi ai controlli CIS. Inoltre, non possono garantire il superamento di un audit CIS. AWS Audit Manager non verifica automaticamente i controlli procedurali che richiedono la raccolta manuale delle prove.

## Fasi successive
<a name="next-steps-CIS-controls-v8"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questo framework, incluso l'elenco dei controlli standard in esso contenuti, vedere. [Revisione di un framework in AWS Audit Manager](review-frameworks.md) 

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, vedere[Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md). 

## Risorse aggiuntive
<a name="resources-CIS-controls-v8"></a>
+ [CIS Controls v8](https://www.cisecurity.org/controls/v8/)

# FedRAMP Security Baseline Controls r4
<a name="fedramp-moderate"></a>





AWS Audit Manager fornisce un framework standard predefinito che supporta il Federal Risk And Authorization Management Program (FedRAMP) Security Baseline Controls r4.

**Topics**
+ [Cos'è FedRAMP?](#what-is-fedramp-moderate)
+ [Utilizzo di questo framework](#framework-fedramp-moderate)
+ [Fasi successive](#next-steps-fedramp-moderate)
+ [Risorse aggiuntive](#resources-fedramp-moderate)

## Cos'è FedRAMP?
<a name="what-is-fedramp-moderate"></a>

FedRAMP è stata fondata nel 2011. Fornisce un approccio economico e basato sul rischio per l'adozione e l'uso dei servizi cloud da parte del governo federale degli Stati Uniti. FedRAMP consente alle agenzie federali di utilizzare moderne tecnologie cloud, con particolare attenzione alla sicurezza e alla protezione delle informazioni federali.

Per ulteriori informazioni sui controlli di base moderati di FedRAMP, consulta il [modello delle procedure per i test di sicurezza moderati di FedRAMP](https://www.fedramp.gov/assets/resources/templates/SAP-Appendix-A-FedRAMP-Moderate-Security-Test-Case-Procedures-Template.xlsx). 

## Utilizzo di questo framework
<a name="framework-fedramp-moderate"></a>

È possibile utilizzare il framework FedRAMP r4 per prepararsi agli audit. Questo framework include una raccolta predefinita di controlli con descrizioni e procedure di test. Questi controlli sono raggruppati in set di controllo in base ai requisiti FedRAMP r4. Puoi inoltre personalizzare questo framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici. 

Utilizzando il framework come punto di partenza, puoi creare una valutazione Gestione audit e iniziare a raccogliere prove rilevanti per l’audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. La valutazione avviene sulla base dei controlli definiti nel framework. Quando è il momento di fare un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte da Gestione audit. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto. 

I dettagli del framework FedRAMP Moderate Baseline sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| Controlli di base sulla sicurezza del Federal Risk and Authorization Management Program (FedRAMP) r4, Moderate | 36 | 289 | 17 | 

**Importante**  
Per garantire che questo framework raccolga le prove previste AWS Security Hub CSPM, assicurati di aver abilitato tutti gli standard in Security Hub CSPM.  
Per garantire che questo framework raccolga le prove previste AWS Config, assicurati di abilitare le regole necessarie. AWS Config Per esaminare le AWS Config regole utilizzate come mappature delle origini dati in questo framework standard, scaricate il file [AuditManager\$1 ConfigDataSourceMappings](samples/AuditManager_ConfigDataSourceMappings_FedRAMP-Security-Baseline-Controls-r4-Moderate.zip) \$1FedRAMP-Security-Baseline-Controls-r4-Moderate.zip.

I controlli in questo framework non hanno lo scopo di verificare se i sistemi sono conformi a FedRAMP r4. Inoltre, non possono garantire il superamento di un audit FedRAMP. AWS Audit Manager non verifica automaticamente i controlli procedurali che richiedono la raccolta manuale delle prove.

## Fasi successive
<a name="next-steps-fedramp-moderate"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questo framework, incluso l'elenco dei controlli standard in esso contenuti, vedere. [Revisione di un framework in AWS Audit Manager](review-frameworks.md) 

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, vedere[Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md). 

## Risorse aggiuntive
<a name="resources-fedramp-moderate"></a>
+ [AWS Pagina di conformità per FedRAMP](https://aws.amazon.com/compliance/fedramp)
+ [AWS Post del blog FedRAMP](https://aws.amazon.com/blogs/security/tag/fedramp)

# GDPR 2016
<a name="GDPR"></a>





AWS Audit Manager fornisce un framework standard predefinito che supporta il Regolamento generale sulla protezione dei dati (GDPR) 2016. 

Questo framework contiene solo controlli manuali. Questi controlli manuali non raccolgono prove in modo automatico. Tuttavia, se desideri automatizzare la raccolta delle prove per alcuni controlli previsti dal GDPR, puoi utilizzare la funzionalità di controllo personalizzata in Audit Manager. Per ulteriori informazioni, consulta [Utilizzo di questo framework](#framework-GDPR). 

**Topics**
+ [Cos'è il GDPR?](#what-is-GDPR)
+ [Utilizzo di questo framework](#framework-GDPR)
+ [Fasi successive](#next-steps-GDPR)
+ [Risorse aggiuntive](#resources-GDPR)

## Cos'è il GDPR?
<a name="what-is-GDPR"></a>

Il GDPR è una legge europea sulla privacy che è entrata in vigore il 25 maggio 2018. [Il GDPR sostituisce la Direttiva sulla protezione dei dati dell'UE, nota anche come Direttiva 95/46/CE.](http://en.wikipedia.org/wiki/Data_Protection_Directive) Ha lo scopo di armonizzare le leggi sulla protezione dei dati in tutta l'Unione europea (UE). Lo fa applicando un'unica legge sulla protezione dei dati vincolante in ogni stato membro dell'UE.

Il GDPR si applica a tutte le organizzazioni con sede nell'UE e alle organizzazioni (indipendentemente dal fatto che siano state costituite nell'UE) che trattano i dati personali degli interessati dell'UE in relazione all'offerta di beni o servizi ai soggetti interessati nell'UE o al monitoraggio del comportamento che ha luogo all'interno dell'UE. Per dati personali si intendono tutte le informazioni relative a una persona fisica identificata o identificabile.

 Puoi trovare il framework GDPR nella pagina della libreria del framework di Audit Manager. Per ulteriori informazioni, consulta il [Centro generale sulla protezione dei dati (GDPR)](https://aws.amazon.com/compliance/gdpr-center/).

## Utilizzo di questo framework
<a name="framework-GDPR"></a>

Puoi utilizzare il framework GDPR 2016 in Audit Manager per prepararti agli audit. 

I dettagli del framework sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| Regolamento generale sulla protezione dei dati (GDPR) 2016 | 0 | 378 | 10 | 

Questo framework standard contiene solo controlli manuali. 

**Nota**  
Se desideri automatizzare la raccolta di prove per il GDPR, puoi utilizzare Gestione audit per [creare controlli personalizzati](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html) per il GDPR. La tabella seguente fornisce consigli sulle fonti di AWS dati che puoi mappare ai requisiti del GDPR nei tuoi controlli personalizzati. Sebbene alcune delle seguenti origini dati siano mappate su più controlli, tieni presente che ti viene addebitato un solo importo per ogni valutazione delle risorse.  
I seguenti consigli utilizzano AWS Config e AWS Security Hub CSPM come fonti di dati. Per raccogliere con successo prove da queste fonti di dati, assicurati di aver seguito le istruzioni per l'[attivazione e la configurazione di AWS Config e incluse AWS Security Hub CSPM](https://docs.aws.amazon.com/audit-manager/latest/userguide/setup-recommendations.html) nel tuo Account AWS. Dopo aver configurato entrambi i servizi in questo modo, Audit Manager raccoglie le prove ogni volta che viene effettuata una valutazione per la AWS Config regola specificata o il controllo CSPM di Security Hub.


| Nome del controllo:  | Set di controllo | Mappatura dell’origine dati di controllo consigliata | 
| --- | --- | --- | 
|  Articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita.1  |  Capitolo 4 - Titolare e responsabile del trattamento  | Puoi [creare un controllo personalizzato AWS Audit Manager che supporti questo controllo](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html) GDPR. Quando [specifichi i dettagli del controllo](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-1), inserisci quanto segue nella sezione **Informazioni sul test**:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html)Quando [configuri le origini dati di controllo](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-2), ti consigliamo di includere tutte le seguenti origini dati: Scegli AWS Config come tipo di origine dati e seleziona le seguenti regole AWS Config gestite come mappature delle origini dati:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html)Scegli AWS Security Hub CSPM come tipo di origine dati e seleziona i seguenti controlli del Security Hub come mappature dell'origine dati:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html) | 
|  Articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita.2  |  Capitolo 4 - Titolare e responsabile del trattamento  | Puoi [creare un controllo personalizzato](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html) AWS Audit Manager che supporti questo controllo GDPR. Quando [specifichi i dettagli del controllo](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-1), inserisci quanto segue nella sezione **Informazioni sul test**:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html)Quando [configuri le origini dati di controllo](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-2), ti consigliamo di includere tutte le seguenti origini dati:Scegli AWS Config come tipo di origine dati e seleziona le seguenti regole AWS Config gestite come mappature delle origini dati:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html)Scegli AWS Security Hub CSPM come tipo di origine dati e seleziona i seguenti controlli del Security Hub come mappature dell'origine dati:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html) | 
|  Articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita.3  |  Capitolo 4 - Titolare e responsabile del trattamento  | Puoi [creare un controllo personalizzato](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html) AWS Audit Manager che supporti questo controllo GDPR. Quando [specifichi i dettagli del controllo](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-1), inserisci quanto segue nella sezione **Informazioni sul test**:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html)Quando [configuri le origini dati di controllo](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-2), ti consigliamo di includere tutte le seguenti origini dati:Scegli AWS Config come tipo di origine dati e seleziona le seguenti regole AWS Config gestite come mappature delle origini dati:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html)Scegli AWS Security Hub CSPM come tipo di origine dati e seleziona i seguenti controlli del Security Hub come mappature dell'origine dati:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html) | 
|  Articolo 30 Registrazione delle attività di trattamento.1  |  Capitolo 4 - Titolare e responsabile del trattamento  | Puoi [creare un controllo personalizzato](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html) AWS Audit Manager che supporti questo controllo GDPR. Quando [specifichi i dettagli del controllo](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-1), inserisci quanto segue nella sezione **Informazioni sul test**:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html)Quando [configuri le origini dati di controllo](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-2), ti consigliamo di includere tutte le seguenti origini dati:Scegli AWS Config come tipo di origine dati e seleziona le seguenti regole AWS Config gestite come mappature delle origini dati:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html)Scegli AWS Security Hub CSPM come tipo di origine dati e seleziona il seguente controllo Security Hub come mappatura dell'origine dati:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html) | 
|  Articolo 30 Registrazione delle attività di trattamento.2  |  Capitolo 4 - Titolare e responsabile del trattamento  | Puoi [creare un controllo personalizzato](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html) AWS Audit Manager che supporti questo controllo GDPR. Quando [specifichi i dettagli del controllo](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-1), inserisci quanto segue nella sezione **Informazioni sul test**:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html)Quando [configuri le origini dati di controllo](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-2), ti consigliamo di includere tutte le seguenti origini dati:Scegli AWS Config come tipo di origine dati e seleziona le seguenti regole AWS Config gestite come mappature delle origini dati:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html)Scegli AWS Security Hub CSPM come tipo di origine dati e seleziona il seguente controllo Security Hub come mappatura dell'origine dati:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html) | 
|  Articolo 30 Registrazione delle attività di trattamento.3  |  Capitolo 4 - Titolare e responsabile del trattamento  | Puoi [creare un controllo personalizzato](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html) AWS Audit Manager che supporti questo controllo GDPR. Quando [specifichi i dettagli del controllo](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-1), inserisci quanto segue nella sezione **Informazioni sul test**:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html)Quando [configuri le origini dati di controllo](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-2), ti consigliamo di includere tutte le seguenti origini dati:Scegli AWS Config come tipo di origine dati e seleziona le seguenti regole AWS Config gestite come mappature delle origini dati:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html)Scegli AWS Security Hub CSPM come tipo di origine dati e seleziona il seguente controllo Security Hub come mappatura dell'origine dati:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html) | 
|  Articolo 30 Registrazione delle attività di trattamento.4  |  Capitolo 4 - Titolare e responsabile del trattamento  | Puoi [creare un controllo personalizzato](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html) AWS Audit Manager che supporti questo controllo GDPR. Quando [specifichi i dettagli del controllo](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-1), inserisci quanto segue nella sezione **Informazioni sul test**:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html)Quando [configuri le origini dati di controllo](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-2), ti consigliamo di includere tutte le seguenti origini dati:Scegli AWS Config come tipo di origine dati e seleziona le seguenti regole AWS Config gestite come mappature delle origini dati:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html)Scegli AWS Security Hub CSPM come tipo di origine dati e seleziona il seguente controllo Security Hub come mappatura dell'origine dati:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html) | 
|  Articolo 30 Registrazione delle attività di trattamento.5  |  Capitolo 4 - Titolare e responsabile del trattamento  | Puoi [creare un controllo personalizzato](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html) AWS Audit Manager che supporti questo controllo GDPR. Quando [specifichi i dettagli del controllo](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-1), inserisci quanto segue nella sezione **Informazioni sul test**:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html)Quando [configuri le origini dati di controllo](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-2), ti consigliamo di includere tutte le seguenti origini dati:Scegli AWS Config come tipo di origine dati e seleziona le seguenti regole AWS Config gestite come mappature delle origini dati:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html)Scegli AWS Security Hub CSPM come tipo di origine dati e seleziona il seguente controllo Security Hub come mappatura dell'origine dati:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html) | 
|  Articolo 32 Sicurezza del trattamento.1  |  Capitolo 4 - Titolare e responsabile del trattamento  | Puoi [creare un controllo personalizzato](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html) AWS Audit Manager che supporti questo controllo GDPR. Quando [specifichi i dettagli del controllo](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-1), inserisci quanto segue nella sezione **Informazioni sul test**:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html)Quando [configuri le origini dati di controllo](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-2), ti consigliamo di includere tutte le seguenti origini dati:Scegli AWS Config come tipo di origine dati e seleziona le seguenti regole AWS Config gestite come mappature delle origini dati:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html) | 
|  Articolo 32 Sicurezza del trattamento.2  |  Capitolo 4 - Titolare e responsabile del trattamento  | Puoi [creare](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html) un controllo personalizzato che supporti questo controllo GDPR. AWS Audit Manager Quando [specifichi i dettagli del controllo](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-1), inserisci quanto segue nella sezione **Informazioni sul test**:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html)Quando [configuri le origini dati di controllo](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-2), ti consigliamo di includere tutte le seguenti origini dati:Scegli AWS Config come tipo di origine dati e seleziona le seguenti regole AWS Config gestite come mappature delle origini dati:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html) | 
|  Articolo 32 Sicurezza del trattamento.3  |  Capitolo 4 - Titolare e responsabile del trattamento  | Puoi [creare](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html) un controllo personalizzato che supporti questo controllo GDPR. AWS Audit Manager Quando [specifichi i dettagli del controllo](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-1), inserisci quanto segue nella sezione **Informazioni sul test**:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html)Quando [configuri le origini dati di controllo](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-2), ti consigliamo di includere tutte le seguenti origini dati:Scegli AWS Config come tipo di origine dati e seleziona le seguenti regole AWS Config gestite come mappature delle origini dati:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html) | 
|  Articolo 32 Sicurezza del trattamento.4  |  Capitolo 4 - Titolare e responsabile del trattamento  | Puoi [creare](https://docs.aws.amazon.com/audit-manager/latest/userguide/create-controls.html) un controllo personalizzato che supporti questo controllo GDPR. AWS Audit Manager Quando [specifichi i dettagli del controllo](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-1), inserisci quanto segue nella sezione **Informazioni sul test**:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html)Quando [configuri le origini dati di controllo](https://docs.aws.amazon.com/audit-manager/latest/userguide/customize-control-from-scratch.html#from-scratch-step-2), ti consigliamo di includere tutte le seguenti origini dati:Scegli AWS Config come tipo di origine dati e seleziona le seguenti regole AWS Config gestite come mappature delle origini dati:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/audit-manager/latest/userguide/GDPR.html) | 

Dopo aver creato i nuovi controlli personalizzati per il GDPR, puoi aggiungerli a un framework GDPR personalizzato. È possibile creare una valutazione dal framework GDPR personalizzato. In questo modo, Audit Manager può raccogliere automaticamente le prove per i controlli personalizzati che hai aggiunto. 

## Fasi successive
<a name="next-steps-GDPR"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questo framework, incluso l'elenco dei controlli standard in esso contenuti, vedere[Revisione di un framework in AWS Audit Manager](review-frameworks.md). 

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, vedere[Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md). 

## Risorse aggiuntive
<a name="resources-GDPR"></a>
+ [Centro per il Regolamento generale sulla protezione dei dati (GDPR)](https://aws.amazon.com/compliance/gdpr-center/)
+ [AWS Post del blog sul GDPR](https://aws.amazon.com/blogs/security/tag/gdpr/)

# Gramm-Leach-Bliley Agire
<a name="gramm-leach-bliley-act"></a>





AWS Audit Manager fornisce un framework predefinito che supporta la Gramm-Leach-Bliley legge (GLBA).

**Topics**
+ [Cos'è il GLBA?](#what-is-the-gramm-leach-bliley-act)
+ [Utilizzo di questo framework](#framework-gramm-leach-bliley-act)
+ [Fasi successive](#next-steps-glba)

## Cos'è il GLBA?
<a name="what-is-the-gramm-leach-bliley-act"></a>

Il GLBA (o GLB Act), noto anche come Financial Service Modernization Act del 1999, è una legge federale emanata negli Stati Uniti d'America per controllare il modo in cui gli istituti finanziari trattano le informazioni private delle persone. La legge è costituita da tre sezioni. La prima è la Financial Privacy Rule, che regola la raccolta e la divulgazione di informazioni finanziarie private. La seconda è la Safeguards Rule, che stabilisce che gli istituti finanziari devono implementare programmi di sicurezza per la protezione di tali informazioni. La terza riguarda le disposizioni relative al pretexting, che vietano la pratica del pretexting (accesso a informazioni private utilizzando falsi pretesti). La legge impone inoltre agli istituti finanziari di fornire ai clienti avvisi scritti sulla privacy che spieghino le loro pratiche di condivisione delle informazioni.

## Utilizzo di questo framework
<a name="framework-gramm-leach-bliley-act"></a>

È possibile utilizzare il framework GLBA 2016 per prepararsi agli audit. Questo framework include una raccolta predefinita di controlli con descrizioni e procedure di test. Questi controlli sono raggruppati in set di controlli in base ai requisiti GLBA. Puoi inoltre personalizzare questo framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici. 

Utilizzando il framework GLBA come punto di partenza, puoi creare una valutazione Gestione audit e iniziare a raccogliere prove rilevanti per un audit GLBA. Nella valutazione, è possibile specificare Account AWS ciò che si desidera includere nell'ambito dell'audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. Lo fa sulla base dei controlli definiti nel framework GLBA. Quando è il momento di fare un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte da Gestione audit. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto. 

I dettagli del framework sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| Gramm-Leach-Bliley Legge (GLBA) | 0 | 120 | 16 | 

I controlli di questo AWS Audit Manager framework non hanno lo scopo di verificare se i sistemi sono conformi allo standard GLBA. Inoltre, non possono garantire che supererai un audit GLBA. AWS Audit Manager non verifica automaticamente i controlli procedurali che richiedono la raccolta manuale delle prove.

## Fasi successive
<a name="next-steps-glba"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questo framework, incluso l'elenco dei controlli standard in esso contenuti, vedere[Revisione di un framework in AWS Audit Manager](review-frameworks.md). 

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, vedere[Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md). 

# Titolo 21 CFR, parte 11
<a name="GxP"></a>





AWS Audit Manager fornisce un framework standard predefinito che supporta il Titolo 21 del Codice dei regolamenti federali (CFR), parte 11, Record elettronici; firme elettroniche - Ambito di applicazione e applicazione il 24 maggio 2023.

**Topics**
+ [Cos'è il Titolo 21 della Parte 11 del CFR?](#what-is-GxP)
+ [Utilizzo di questo framework](#framework-GxP)
+ [Fasi successive](#next-steps-GxP)
+ [Risorse aggiuntive](#resources-gxp-21-cfr-part-11)

## Cos'è il Titolo 21 della Parte 11 del CFR?
<a name="what-is-GxP"></a>

GxP fa riferimento ai regolamenti e alle linee guida applicabili alle organizzazioni delle scienze della vita che producono prodotti alimentari e medici. I prodotti medici che rientrano in questa categoria includono medicinali, dispositivi medici e applicazioni software mediche. L'intento generale dei requisiti GxP è garantire che i prodotti alimentari e medici siano sicuri per i consumatori. Serve anche a garantire l'integrità dei dati utilizzati per prendere decisioni sulla sicurezza relative ai prodotti.

Negli Stati Uniti, le normative GxP sono applicate dalla Food and Drug Administration (FDA) statunitense e sono contenute nel Titolo 21 del Codice dei regolamenti federali (21 CFR). All'interno del 21 CFR, la Parte 11 contiene i requisiti per i sistemi informatici che creano, modificano, mantengono, archiviano, recuperano o distribuiscono record elettronici e firme elettroniche a supporto delle attività regolate dalla GxP. La Parte 11 è stata creata per consentire l'adozione di nuove tecnologie informatiche da parte delle organizzazioni di scienze della vita regolamentate dalla FDA, fornendo allo stesso tempo un quadro per garantire che i dati elettronici GxP siano affidabili e affidabili.

Per un approccio completo all'utilizzo del AWS Cloud per i sistemi GxP, consulta il white paper [Considerazioni sull'utilizzo AWS](https://d1.awsstatic.com/whitepapers/compliance/Using_AWS_in_GxP_Systems.pdf) dei prodotti nei sistemi GxP.

## Utilizzo di questo framework
<a name="framework-GxP"></a>

Puoi utilizzare il framework Title 21 CFR Part 11 per prepararti agli audit. Questo framework include una raccolta predefinita di controlli con descrizioni e procedure di test. Questi controlli sono raggruppati in set di controllo in base ai requisiti CFR. Puoi inoltre personalizzare questo framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici. 

Utilizzando il framework come punto di partenza, puoi creare una valutazione Gestione audit e iniziare a raccogliere prove rilevanti per l’audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. Lo fa sulla base dei controlli definiti nel quadro del Titolo 21 CFR Part 11. Quando è il momento di fare un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte da Gestione audit. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto. 

I dettagli del framework sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| Titolo 21 Codice dei regolamenti federali (CFR), parte 11, Registri elettronici; firme elettroniche - Ambito di applicazione e applicazione 24 maggio 2023 | 6 | 19 | 2 | 

**Importante**  
Per garantire che questo framework raccolga le prove previste AWS Security Hub CSPM, assicurati di aver abilitato tutti gli standard in Security Hub CSPM.  
Per garantire che questo framework raccolga le prove previste AWS Config, assicurati di abilitare le regole necessarie. AWS Config Per esaminare le AWS Config regole utilizzate come mappature delle origini dati in questo framework standard, scaricate il file [AuditManager\$1 ConfigDataSourceMappings](samples/AuditManager_ConfigDataSourceMappings_Title-21-CFR-Part-11.zip) \$1Title-21-CFR-Part-11.zip.

I controlli di questo AWS Audit Manager framework non hanno lo scopo di verificare se i sistemi sono conformi alle normative GxP. Inoltre, non possono garantire il superamento di un audit. AWS Audit Manager non verifica automaticamente i controlli procedurali che richiedono la raccolta manuale delle prove.

## Fasi successive
<a name="next-steps-GxP"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questo framework, incluso l'elenco dei controlli standard in esso contenuti, vedere. [Revisione di un framework in AWS Audit Manager](review-frameworks.md) 

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, vedere[Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md). 

## Risorse aggiuntive
<a name="resources-gxp-21-cfr-part-11"></a>
+ [AWS Pagina di conformità per GxP](https://aws.amazon.com/compliance/gxp-part-11-annex-11/)
+ [Considerazioni sull'utilizzo dei AWS prodotti nei sistemi GxP](https://d1.awsstatic.com/whitepapers/compliance/Using_AWS_in_GxP_Systems.pdf)

# Allegato 11, v1, GMP dell'UE
<a name="GxP-EU-Annex-11"></a>





AWS Audit Manager fornisce un quadro predefinito che supporta le EudraLex - Le norme che disciplinano i medicinali nell'Unione europea (UE) - Volume 4: Good Manufacturing Practice (GMP) dei medicinali per uso umano e veterinario - Allegato 11.

**Topics**
+ [Cos'è l'allegato 11 delle GMP dell'UE?](#what-is-GxP-EU-Annex-11)
+ [Utilizzo di questo framework](#framework-GxP-EU-Annex-11)
+ [Fasi successive](#next-steps-GxP-EU-Annex-11)

## Cos'è l'allegato 11 delle GMP dell'UE?
<a name="what-is-GxP-EU-Annex-11"></a>

Il quadro UE GMP Annex 11 è l'equivalente europeo del quadro quadro del Titolo 21 CFR parte 11 negli Stati Uniti d'America. Questo allegato si applica a tutte le forme di sistemi computerizzati utilizzati nell'ambito delle attività regolamentate dalle buone prassi di fabbricazione (GMP). Un sistema computerizzato è un insieme di componenti software e hardware che insieme soddisfano determinate funzionalità. L'applicazione deve essere convalidata e l'infrastruttura IT deve essere qualificata. Laddove un sistema computerizzato sostituisce un funzionamento manuale, non dovrebbe verificarsi alcuna riduzione della qualità del prodotto, del controllo del processo o della garanzia della qualità. Non dovrebbe esserci alcun aumento del rischio complessivo del processo.

L'allegato 11 fa parte delle linee guida europee GMP e definisce i termini di riferimento per i sistemi computerizzati utilizzati dalle organizzazioni dell'industria farmaceutica. L'allegato 11 funge da lista di controllo che consente alle agenzie di regolamentazione europee di stabilire i requisiti per i sistemi computerizzati relativi a prodotti farmaceutici e dispositivi medici. Le linee guida stabilite dalla Commissione dei comitati europei non sono molto lontane dalla FDA (Titolo 21 CFR Parte 11). L'allegato 11 definisce i criteri per la gestione dei record elettronici e delle firme elettroniche. 

## Utilizzo di questo framework
<a name="framework-GxP-EU-Annex-11"></a>

Puoi utilizzare il framework UE GMP Annex 11 per prepararti agli audit. Questo framework include una raccolta predefinita di controlli con descrizioni e procedure di test. Questi controlli sono raggruppati in set di controlli in base ai requisiti GMP dell'UE. Puoi inoltre personalizzare questo framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici. 

Utilizzando il framework come punto di partenza, puoi creare una valutazione Gestione audit e iniziare a raccogliere prove rilevanti per l’audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. Lo fa sulla base dei controlli definiti nel quadro dell'allegato 11 delle GMP dell'UE. Quando è il momento di fare un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte da Gestione audit. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto. 

I dettagli del framework sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| EudraLex - Le norme che disciplinano i medicinali nell'Unione europea (UE) - Volume 4: Medicinali di buona fabbricazione (GMP) per uso umano e veterinario - Allegato 11 | 0 | 32 | 3 | 

**Importante**  
Per garantire che questo framework raccolga le prove previste AWS Config, assicurati di abilitare le regole necessarie. AWS Config Per esaminare le AWS Config regole utilizzate come mappature delle origini dati in questo framework standard, scaricate il file [AuditManager\$1 ConfigDataSourceMappings \$1 EudraLex -GMP-Volume-4-Annex-11.zip](samples/AuditManager_ConfigDataSourceMappings_EudraLex-GMP-Volume-4-Annex-11.zip).

I controlli di questo framework non hanno lo scopo di verificare se i sistemi sono conformi ai requisiti dell'allegato 11 delle GMP dell'UE. Inoltre, non possono garantire che supererai un audit GMP dell'UE. AWS Audit Manager non verifica automaticamente i controlli procedurali che richiedono la raccolta manuale delle prove. 

## Fasi successive
<a name="next-steps-GxP-EU-Annex-11"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questo framework, incluso l'elenco dei controlli standard in esso contenuti, vedere[Revisione di un framework in AWS Audit Manager](review-frameworks.md). 

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, vedere[Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md). 

# Regola di sicurezza HIPAA: febbraio 2003
<a name="HIPAA"></a>





AWS Audit Manager fornisce un framework standard predefinito che supporta la regola di sicurezza dell'Health Insurance Portability and Accountability Act (HIPAA): febbraio 2003.

**Nota**  
Per informazioni sulla norma di sicurezza Omnibus finale HIPAA 2013 e sul framework Gestione audit che supporta questo standard, consulta [Regola finale HIPAA Omnibus](HIPAA-omnibus-rule.md).

**Topics**
+ [Cosa sono l'HIPAA e la norma di sicurezza HIPAA 2003?](#what-is-HIPAA)
+ [Utilizzo di questo framework](#framework-HIPAA)
+ [Fasi successive](#next-steps-HIPAA)
+ [Risorse aggiuntive](#resources-HIPAA)

## Cosa sono l'HIPAA e la norma di sicurezza HIPAA 2003?
<a name="what-is-HIPAA"></a>

L'HIPAA è una legislazione che aiuta i lavoratori statunitensi a mantenere la copertura assicurativa sanitaria in caso di cambio o perdita di lavoro. La legislazione mira inoltre a incoraggiare l’uso delle cartelle cliniche elettroniche per migliorare l'efficienza e la qualità del sistema sanitario statunitense attraverso una migliore condivisione delle informazioni.

Oltre ad aumentare l'uso delle cartelle cliniche elettroniche, l'HIPAA include disposizioni per la protezione della sicurezza e della privacy delle informazioni sanitarie protette (PHI). PHI include una serie molto ampia di dati sanitari e relativi alla salute identificabili personalmente. Tra questi dati figurano informazioni sull'assicurazione e sulla fatturazione, dati di diagnosi, dati sull'assistenza clinica e risultati di laboratorio come immagini e risultati dei test. 

Il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti ha pubblicato una [norma di sicurezza](https://www.hhs.gov/hipaa/for-professionals/security/index.html) finale nel febbraio 2003. Questa regola stabilisce gli standard nazionali per la protezione della riservatezza, dell'integrità e della disponibilità di informazioni sanitarie protette in formato elettronico.

Le regole HIPAA si applicano alle entità coinvolte. Tra esse figurano ospedali, fornitori di servizi medici, piani sanitari sponsorizzati dai datori di lavoro, strutture di ricerca e compagnie assicurative che si occupano direttamente dei pazienti e dei dati dei pazienti. Il requisito HIPAA per la protezione dei PHI si estende anche ai partner coinvolti.

Per ulteriori informazioni su come HIPAA e HITECH proteggono le informazioni sanitarie, consulta la pagina web [Health Information Privacy](https://www.hhs.gov/hipaa/for-professionals/index.html) del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti.

Un numero crescente di fornitori di servizi sanitari, pagatori e professionisti IT utilizza servizi cloud AWS basati sulle utilità per elaborare, archiviare e trasmettere informazioni sanitarie protette (PHI). AWS consente alle entità coperte e ai loro partner commerciali soggetti all'HIPAA di utilizzare l' AWS ambiente sicuro per elaborare, mantenere e archiviare informazioni sanitarie protette.

Per istruzioni su come utilizzarle AWS per l'elaborazione e l'archiviazione di informazioni sanitarie, consulta il white paper [Architecting for HIPAA Security and Compliance on Amazon Web Services](https://d1.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf).

## Utilizzo di questo framework
<a name="framework-HIPAA"></a>

Puoi utilizzare il framework della *Norma di sicurezza HIPAA 2003* per prepararti agli audit. Questo framework include una raccolta predefinita di controlli con descrizioni e procedure di test. Questi controlli sono raggruppati in set di controlli in base ai requisiti HIPAA. Puoi inoltre personalizzare questo framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici. 

Utilizzando il framework come punto di partenza, puoi creare una valutazione Gestione audit e iniziare a raccogliere prove rilevanti per l’audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. Lo fa sulla base dei controlli definiti nel framework HIPAA. Quando è il momento di fare un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte da Gestione audit. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto. 

I dettagli del framework sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| Norma di sicurezza dell'Health Insurance Portability and Accountability Act (HIPAA): febbraio 2003 | 24 | 61 | 5 | 

**Importante**  
Per garantire che questo framework raccolga le prove previste AWS Security Hub CSPM, assicurati di aver abilitato tutti gli standard in Security Hub CSPM.  
Per garantire che questo framework raccolga le prove previste AWS Config, assicurati di abilitare le regole necessarie. AWS Config Per esaminare le AWS Config regole utilizzate come mappature delle origini dati in questo framework standard, scaricate il file [AuditManager\$1 ConfigDataSourceMappings](samples/AuditManager_ConfigDataSourceMappings_HIPAA-Security-Rule-Feb-2003.zip) \$1HIPAA-Security-Rule-Feb-2003.zip.

I controlli di questo AWS Audit Manager framework non hanno lo scopo di verificare se i sistemi sono conformi allo standard HIPAA. Inoltre, non possono garantire che supererai un audit HIPAA. AWS Audit Manager non verifica automaticamente i controlli procedurali che richiedono la raccolta manuale delle prove.

## Fasi successive
<a name="next-steps-HIPAA"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questo framework, incluso l'elenco dei controlli standard in esso contenuti, vedere[Revisione di un framework in AWS Audit Manager](review-frameworks.md). 

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, vedere[Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md). 

## Risorse aggiuntive
<a name="resources-HIPAA"></a>
+ [Privacy delle informazioni sanitarie](https://www.hhs.gov/hipaa/for-professionals/index.html) del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti
+ [La norma di sicurezza](https://www.hhs.gov/hipaa/for-professionals/security/index.html) del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti
+ [Architecting for HIPAA Security and Compliance on Amazon Web Services](https://d1.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf)
+ [AWS Pagina di conformità per l'HIPAA](https://aws.amazon.com/compliance/hipaa-compliance/)

# Regola finale HIPAA Omnibus
<a name="HIPAA-omnibus-rule"></a>





AWS Audit Manager fornisce un framework standard predefinito che supporta l'Omnibus Final Rule dell'Health Insurance Portability and Accountability Act (HIPAA).

**Nota**  
Per informazioni sulla norma di sicurezza HIPAA 2003 e sul AWS Audit Manager framework che supporta questo standard, vedere. [Regola di sicurezza HIPAA: febbraio 2003](HIPAA.md)

**Topics**
+ [Cosa sono l'HIPAA e la norma di sicurezza Omnibus finale HIPAA?](#what-is-HIPAA-omnibus-rule)
+ [Utilizzo di questo framework](#framework-HIPAA)
+ [Fasi successive](#next-steps-HIPAA-omnibus-rule)
+ [Risorse aggiuntive](#resources-HIPAA-omnibus-rule)

## Cosa sono l'HIPAA e la norma di sicurezza Omnibus finale HIPAA?
<a name="what-is-HIPAA-omnibus-rule"></a>

L'HIPAA è una legislazione che aiuta i lavoratori statunitensi a mantenere la copertura assicurativa sanitaria quando cambiano o perdono il lavoro. La legislazione mira inoltre a incoraggiare l’uso delle cartelle cliniche elettroniche per migliorare l'efficienza e la qualità del sistema sanitario statunitense attraverso una migliore condivisione delle informazioni.

Oltre ad aumentare l'uso delle cartelle cliniche elettroniche, l'HIPAA include disposizioni per la protezione della sicurezza e della privacy delle informazioni sanitarie protette (PHI). PHI include una serie molto ampia di dati sanitari e relativi alla salute identificabili personalmente. Tra questi dati figurano informazioni sull'assicurazione e sulla fatturazione, dati di diagnosi, dati sull'assistenza clinica e risultati di laboratorio come immagini e risultati dei test. 

La norma di sicurezza Omnibus finale HIPAA, entrata in vigore nel 2013, implementa una serie di aggiornamenti a tutte le regole precedentemente approvate. Le modifiche alle norme di sicurezza, privacy, notifica delle violazioni e applicazione avevano lo scopo di migliorare la riservatezza e la sicurezza nella condivisione dei dati. 

Le regole HIPAA si applicano alle entità coinvolte. Tra esse figurano ospedali, fornitori di servizi medici, piani sanitari sponsorizzati dai datori di lavoro, strutture di ricerca e compagnie assicurative che si occupano direttamente dei pazienti e dei dati dei pazienti. Come parte degli aggiornamenti Omnibus, molte delle norme HIPAA che si applicano alle entità coinvolte ora si applicano anche ai partner coinvolti.

Per ulteriori informazioni su come HIPAA e HITECH proteggono le informazioni sanitarie, consulta la pagina web [Health Information Privacy](https://www.hhs.gov/hipaa/for-professionals/index.html) del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti.

Un numero crescente di fornitori di servizi sanitari, pagatori e professionisti IT utilizza servizi cloud AWS basati sulle utilità per elaborare, archiviare e trasmettere informazioni sanitarie protette (PHI). AWS consente alle entità coperte e ai loro partner commerciali soggetti all'HIPAA di utilizzare l' AWS ambiente sicuro per elaborare, mantenere e archiviare informazioni sanitarie protette. Per istruzioni su come utilizzarle AWS per l'elaborazione e l'archiviazione di informazioni sanitarie, consulta il white paper [Architecting for HIPAA Security and Compliance on Amazon Web Services](https://d1.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf).

## Utilizzo di questo framework
<a name="framework-HIPAA"></a>

Puoi utilizzare il framework HIPAA Omnibus Final Rule per prepararti agli audit. Questo framework include una raccolta predefinita di controlli con descrizioni e procedure di test. Questi controlli sono raggruppati in set di controlli in base ai requisiti HIPAA. Puoi inoltre personalizzare questo framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici. 

Utilizzando il framework come punto di partenza, puoi creare una valutazione Gestione audit e iniziare a raccogliere prove rilevanti per l’audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. Lo fa sulla base dei controlli definiti nel framework HIPAA. Quando è il momento di fare un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte da Gestione audit. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto. 

I dettagli del framework sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| Regola finale omnibus dell'Health Insurance Portability and Accountability Act (HIPAA) | 21 | 53 | 5 | 

**Importante**  
Per garantire che questo framework raccolga le prove previste AWS Security Hub CSPM, assicurati di aver abilitato tutti gli standard in Security Hub CSPM.  
Per garantire che questo framework raccolga le prove previste AWS Config, assicurati di abilitare le regole necessarie. AWS Config Per esaminare le AWS Config regole utilizzate come mappature delle origini dati in questo framework standard, scaricate il file [AuditManager\$1 ConfigDataSourceMappings](samples/AuditManager_ConfigDataSourceMappings_HIPAA-Omnibus-Final-Rule.zip) \$1HIPAA-Omnibus-Final-Rule.zip.

I controlli di questo AWS Audit Manager framework non hanno lo scopo di verificare se i sistemi sono conformi allo standard HIPAA. Inoltre, non possono garantire che supererai un audit HIPAA. AWS Audit Manager non verifica automaticamente i controlli procedurali che richiedono la raccolta manuale delle prove.

## Fasi successive
<a name="next-steps-HIPAA-omnibus-rule"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questo framework, incluso l'elenco dei controlli standard in esso contenuti, vedere[Revisione di un framework in AWS Audit Manager](review-frameworks.md). 

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, vedere[Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md). 

## Risorse aggiuntive
<a name="resources-HIPAA-omnibus-rule"></a>
+ [Privacy delle informazioni sanitarie](https://www.hhs.gov/hipaa/for-professionals/index.html) del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti
+ [Regolamentazione Omnibus HIPAA](https://www.hhs.gov/hipaa/for-professionals/privacy/laws-regulations/combined-regulation-text/omnibus-hipaa-rulemaking/index.html) del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti
+ [Architecting for HIPAA Security and Compliance on Amazon Web Services](https://d1.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf)
+ [AWS Pagina di conformità per l'HIPAA](https://aws.amazon.com/compliance/hipaa-compliance/)

# ISO/IEC 27001:2013 Allegato A
<a name="iso-27001-2013"></a>





AWS Audit Manager fornisce un framework standard predefinito che supporta l'Organizzazione internazionale per la standardizzazione (ISO) /Commissione elettrotecnica internazionale (IEC) 27001:2013 Annex A.

**Topics**
+ [Che cos'è l'allegato A 27001:2013? ISO/IEC](#what-is-iso-27001-2013)
+ [Utilizzo di questo framework](#framework-iso-27001-2013)
+ [Fasi successive](#next-steps-iso-27001-2013)
+ [Risorse aggiuntive](#resources-iso-27001-2013-moderate)

## Che cos'è l'allegato A 27001:2013? ISO/IEC
<a name="what-is-iso-27001-2013"></a>

La Commissione elettrotecnica internazionale (IEC) e l'Organizzazione internazionale per la standardizzazione (ISO) sono entrambe not-for-profit organizzazioni indipendenti e non governative che sviluppano e pubblicano standard internazionali basati sul pieno consenso. 

ISO/IEC 27001:2013 Annex A is a security management standard that specifies security management best practices and comprehensive security controls that follow the ISO/IEC27002 linee guida sulle migliori pratiche. Questo standard internazionale specifica i requisiti su come stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione della sicurezza delle informazioni all'interno dell'organizzazione. Tra questi standard vi sono requisiti per la valutazione e il trattamento dei rischi per la sicurezza delle informazioni che sono personalizzati in base alle esigenze dell'organizzazione. I requisiti di questo standard internazionale sono generici e sono destinati ad essere applicabili a tutte le organizzazioni, indipendentemente dalla tipologia, dalle dimensioni o dalla natura.

## Utilizzo di questo framework
<a name="framework-iso-27001-2013"></a>

È possibile utilizzare il AWS Audit Manager quadro per l'allegato A ISO/IEC 27001:2013 per prepararsi agli audit. Questo framework include una raccolta predefinita di controlli con descrizioni e procedure di test. Questi controlli sono raggruppati in set di controllo secondo i requisiti dello standard ISO/IEC 27001:2013 Allegato A. Puoi inoltre personalizzare questo framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici. 

Utilizzando il framework come punto di partenza, è possibile creare una valutazione Audit Manager e iniziare a raccogliere prove rilevanti per un audit allegato A ISO/IEC 27001:2013. Nella valutazione, è possibile specificare Account AWS ciò che si desidera includere nell'ambito dell'audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. Lo fa sulla base dei controlli definiti nel framework ISO/IEC 27001:2013, allegato A. Quando è il momento di fare un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte da Gestione audit. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto. 

I dettagli del framework sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| Organizzazione internazionale per la standardizzazione (ISO) /Commissione elettrotecnica internazionale (IEC) 27001:2013 Allegato A | 21 | 93 | 35 | 

**Importante**  
Per garantire che questo framework raccolga le prove previste AWS Security Hub CSPM, assicurati di aver abilitato tutti gli standard in Security Hub CSPM.  
Per garantire che questo framework raccolga le prove previste AWS Config, assicurati di abilitare le regole necessarie. AWS Config Per esaminare le AWS Config regole utilizzate come mappature delle origini dati in questo framework standard, scaricate il file [AuditManager\$1 ConfigDataSourceMappings](samples/AuditManager_ConfigDataSourceMappings_ISO-IEC-270012013-Annex-A.zip) \$1ISO-IEC-270012013-Annex-A.zip.

I controlli di questo AWS Audit Manager framework non hanno lo scopo di verificare se i sistemi sono conformi a questo standard internazionale. Inoltre, non possono garantire che supererai un ISO/IEC audit. AWS Audit Manager non verifica automaticamente i controlli procedurali che richiedono la raccolta manuale delle prove.

## Fasi successive
<a name="next-steps-iso-27001-2013"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questo framework, incluso l'elenco dei controlli standard in esso contenuti, vedere[Revisione di un framework in AWS Audit Manager](review-frameworks.md). 

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, vedere[Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md). 

## Risorse aggiuntive
<a name="resources-iso-27001-2013-moderate"></a>
+ Per ulteriori informazioni su questo standard internazionale, consulta [ISO/IEC 27001:2013](https://webstore.ansi.org/Standards/ISO/ISOIEC270012013) sull'ANSI Webstore.

# NIST SP 800-53 Rev. 5
<a name="NIST800-53r5"></a>





AWS Audit Manager fornisce un framework predefinito che supporta il NIST 800-53 Rev 5: Security and Privacy Controls for Information Systems and Organizations.

**Nota**  
Per informazioni sul framework Audit Manager che supporta NIST SP 800-171, vedere. [NIST SP 800-171 Rev. 2](NIST-800-171-r2-1.1.md)
Per informazioni sul framework Audit Manager che supporta NIST CSF, vedere. [NIST Cybersecurity Framework v1.1](NIST-Cybersecurity-Framework-v1-1.md)

**Topics**
+ [Che cos'è NIST SP 800-53?](#what-is-NIST800-53r5)
+ [Utilizzo di questo framework](#framework-NIST800-53r5)
+ [Fasi successive](#next-steps-NIST800-53r5)
+ [Risorse aggiuntive](#resources-NIST800-53r5)

## Che cos'è NIST SP 800-53?
<a name="what-is-NIST800-53r5"></a>

Il [National Institute of Standards and Technology (NIST)](https://www.nist.gov/) è stato fondato nel 1901 e ora fa parte del Dipartimento del Commercio degli Stati Uniti. Il NIST è uno dei più antichi laboratori di scienze fisiche degli Stati Uniti. Il Congresso degli Stati Uniti istituì l'agenzia per migliorare quella che all'epoca era un'infrastruttura di misurazione di seconda categoria. L'infrastruttura rappresentava una sfida importante per la competitività industriale degli Stati Uniti, essendo rimasta indietro rispetto ad altre potenze economiche come il Regno Unito e la Germania.

I controlli di sicurezza NIST SP 800-53 sono generalmente applicabili ai sistemi informativi federali degli Stati Uniti. Si tratta in genere di sistemi che devono essere sottoposti a un processo di valutazione e autorizzazione formale. Questo processo garantisce una protezione sufficiente della riservatezza, dell'integrità e della disponibilità delle informazioni e dei sistemi informativi. Tale protezione si basa sulla categoria di sicurezza e sul livello di impatto del sistema (basso, moderato o elevato), nonché sulla determinazione del rischio. I controlli di sicurezza sono selezionati dal catalogo di controlli di sicurezza NIST SP 800-53 e il sistema viene valutato rispetto a tali requisiti di controllo della sicurezza. 

Il framework NIST SP 800-53 rappresenta i controlli di sicurezza e le procedure di valutazione associate definiti in NIST SP 800-53 Revision 5 Recommended Security Controls for Federal Information Systems and Organizations. Per eventuali discrepanze rilevate nel contenuto tra questo framework NIST SP 800-53 e l'ultima pubblicazione speciale NIST SP 800-53 Revisione 5, fai riferimento ai documenti ufficiali pubblicati disponibili presso il [Centro risorse per la sicurezza informatica NIST](http://csrc.nist.gov). 

## Utilizzo di questo framework
<a name="framework-NIST800-53r5"></a>

È possibile utilizzare il framework NIST SP 800-53 per prepararsi agli audit. Questo framework include una raccolta predefinita di controlli con descrizioni e procedure di test. Questi controlli sono raggruppati in set di controlli in base ai requisiti NIST. Puoi inoltre personalizzare questo framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici. 

Utilizzando il framework come punto di partenza, puoi creare una valutazione Gestione audit e iniziare a raccogliere prove rilevanti per l’audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. Lo fa sulla base dei controlli definiti nel framework NIST SP 800-53. Quando è il momento di fare un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte da Gestione audit. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto. 

I dettagli del framework sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| NIST 800-53 Rev 5: Controlli di sicurezza e privacy per sistemi informativi e organizzazioni | 132 | 875 | 20 | 

**Importante**  
Per garantire che questo framework raccolga le prove previste AWS Security Hub CSPM, assicurati di aver abilitato tutti gli standard in Security Hub CSPM.  
Per garantire che questo framework raccolga le prove previste AWS Config, assicurati di abilitare le regole necessarie. AWS Config Per esaminare le AWS Config regole utilizzate come mappature delle origini dati in questo framework standard, scaricate il file [AuditManager\$1 ConfigDataSourceMappings](samples/AuditManager_ConfigDataSourceMappings_NIST-800-53-Rev-5.zip) \$1NIST-800-53-Rev-5.zip.

I controlli di questo AWS Audit Manager framework non hanno lo scopo di verificare se i sistemi sono conformi allo standard NIST. Inoltre, non possono garantire che supererai un audit del NIST. AWS Audit Manager non verifica automaticamente i controlli procedurali che richiedono la raccolta manuale delle prove. 

## Fasi successive
<a name="next-steps-NIST800-53r5"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questo framework, incluso l'elenco dei controlli standard in esso contenuti, vedere[Revisione di un framework in AWS Audit Manager](review-frameworks.md). 

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, vedere[Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md). 

## Risorse aggiuntive
<a name="resources-NIST800-53r5"></a>
+ [National Institute of Standards and Technology (NIST)](https://www.nist.gov/)
+ [Centro risorse per la sicurezza informatica NIST](http://csrc.nist.gov)
+ [AWS Pagina sulla conformità per il NIST](https://aws.amazon.com/compliance/nist/)

# NIST Cybersecurity Framework v1.1
<a name="NIST-Cybersecurity-Framework-v1-1"></a>





AWS Audit Manager fornisce un framework predefinito che supporta il NIST Cybersecurity Framework (CSF) v1.1.

**Nota**  
Per informazioni sul framework Audit Manager che supporta NIST SP 800-53, vedere. [NIST SP 800-53 Rev. 5](NIST800-53r5.md)
Per informazioni sul framework Audit Manager che supporta NIST SP 800-171, vedere. [NIST SP 800-171 Rev. 2](NIST-800-171-r2-1.1.md)

**Topics**
+ [Cos'è il framework NIST per la sicurezza informatica?](#what-is-NIST-Cybersecurity-Framework-v1-1)
+ [Utilizzo di questo framework](#framework-NIST-Cybersecurity-Framework-v1-1)
+ [Fasi successive](#next-steps-NIST-Cybersecurity-Framework-v1-1)
+ [Risorse aggiuntive](#resources-NIST-Cybersecurity-Framework-v1-1)

## Cos'è il framework NIST per la sicurezza informatica?
<a name="what-is-NIST-Cybersecurity-Framework-v1-1"></a>

Il [National Institute of Standards and Technology (NIST)](https://www.nist.gov/) è stato fondato nel 1901 e ora fa parte del Dipartimento del Commercio degli Stati Uniti. Il NIST è uno dei più antichi laboratori di scienze fisiche degli Stati Uniti. Il Congresso degli Stati Uniti istituì l'agenzia per migliorare quella che all'epoca era un'infrastruttura di misurazione di seconda categoria. L'infrastruttura rappresentava una sfida importante per la competitività industriale degli Stati Uniti, essendo rimasta indietro rispetto ad altre potenze economiche come il Regno Unito e la Germania.

Gli Stati Uniti dipendono dal funzionamento affidabile delle infrastrutture critiche. Le minacce alla sicurezza informatica sfruttano la maggiore complessità e interconnessione dei sistemi di infrastrutture critiche. Mettono a rischio la sicurezza, l'economia, la sicurezza e la salute pubblica degli Stati Uniti. Analogamente ai rischi finanziari e reputazionali, il rischio di sicurezza informatica influisce sui profitti di un'azienda. È in grado di far aumentare i costi e influire sui ricavi. Può danneggiare la capacità di un'organizzazione di innovare, conquistare e fidelizzare i clienti. In definitiva, la sicurezza informatica può amplificare la gestione complessiva del rischio di un'organizzazione.

Il framework NIST per la sicurezza informatica (CSF) è supportato da governi e industrie di tutto il mondo come base di riferimento consigliata per l'uso da parte di qualsiasi organizzazione, indipendentemente dal settore o dalle dimensioni. Il framework NIST per la sicurezza informatica è costituito da tre componenti principali: i principi fondamentali del framework, i profili e i livelli di implementazione. I principi fondamentali del framework contengono le attività e i risultati di sicurezza informatica desiderati organizzati in 23 categorie che coprono l'ampia gamma di obiettivi di sicurezza informatica per un'organizzazione. I profili contengono l'allineamento unico di un'organizzazione tra requisiti e obiettivi organizzativi, propensione al rischio e risorse, utilizzando i risultati desiderati del framework core. I livelli di implementazione descrivono il grado in cui le pratiche di gestione del rischio di sicurezza informatica di un'organizzazione presentano le caratteristiche definite nei principi fondamentali del framework. 

## Utilizzo di questo framework
<a name="framework-NIST-Cybersecurity-Framework-v1-1"></a>

È possibile utilizzare il NIST CSF v1.1 per prepararsi agli audit. Questo framework include una raccolta predefinita di controlli con descrizioni e procedure di test. Questi controlli sono raggruppati in set di controlli in base ai requisiti NIST CSF. Audit Manager attualmente supporta il componente principale del framework. Gestione audit non supporta il profilo e i componenti di implementazione in questo framework. 

Utilizzando il framework come punto di partenza, puoi creare una valutazione Gestione audit e iniziare a raccogliere prove rilevanti per l’audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. Lo fa in base ai controlli definiti nel NIST CSF. Quando è il momento di un audit, tu, o un delegato di tua scelta, potete esaminare le prove raccolte da Audit Manager. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto. 

I dettagli del framework sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| NIST Cybersecurity Framework (CSF) v1.1 | 14 | 94 | 22 | 

**Importante**  
Per garantire che questo framework raccolga le prove previste AWS Security Hub CSPM, assicurati di aver abilitato tutti gli standard in Security Hub CSPM.  
Per garantire che questo framework raccolga le prove previste AWS Config, assicurati di abilitare le regole necessarie. AWS Config Per esaminare le AWS Config regole utilizzate come mappature delle sorgenti dati in questo framework standard, scaricate il file [AuditManager\$1 ConfigDataSourceMappings \$1NIST-CSF-v1.1.zip](samples/AuditManager_ConfigDataSourceMappings_NIST-CSF-v1.1.zip).

I controlli offerti da Audit Manager non hanno lo scopo di verificare se i sistemi sono conformi al NIST CSF. Inoltre, non possono garantire il superamento di un audit NIST. AWS Audit Manager non verifica automaticamente i controlli procedurali che richiedono la raccolta manuale delle prove. 

## Fasi successive
<a name="next-steps-NIST-Cybersecurity-Framework-v1-1"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questo framework, incluso l'elenco dei controlli standard in esso contenuti, vedere. [Revisione di un framework in AWS Audit Manager](review-frameworks.md) 

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, vedere[Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md). 

## Risorse aggiuntive
<a name="resources-NIST-Cybersecurity-Framework-v1-1"></a>
+ [National Institute of Standards and Technology (NIST)](https://www.nist.gov/)
+ [Centro risorse per la sicurezza informatica NIST](http://csrc.nist.gov)
+ [AWS Pagina sulla conformità per il NIST](https://aws.amazon.com/compliance/nist/)
+ [NIST Cybersecurity Framework: allineamento al NIST CSF nel cloud AWS](https://d1.awsstatic.com/whitepapers/compliance/NIST_Cybersecurity_Framework_CSF.pdf)

# NIST SP 800-171 Rev. 2
<a name="NIST-800-171-r2-1.1"></a>





AWS Audit Manager fornisce un framework standard predefinito che supporta NIST 800-171 Revision 2: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations.

**Nota**  
Per informazioni sul framework Audit Manager che supporta NIST SP 800-53, vedere. [NIST SP 800-53 Rev. 5](NIST800-53r5.md)
Per informazioni sul framework Audit Manager che supporta NIST CSF, vedere. [NIST Cybersecurity Framework v1.1](NIST-Cybersecurity-Framework-v1-1.md)

**Topics**
+ [Che cos'è lo standard NIST SP 800-171?](#what-is-NIST800-171)
+ [Utilizzo di questo framework](#framework-NIST-800-171-r2-1.1)
+ [Fasi successive](#next-steps-NIST-800-171-r2-1.1)
+ [Risorse aggiuntive](#resources-NIST-800-171-r2-1.1)

## Che cos'è lo standard NIST SP 800-171?
<a name="what-is-NIST800-171"></a>

NIST SP 800-171 si concentra sulla protezione della riservatezza delle informazioni controllate non classificate (CUI) in sistemi e organizzazioni non federali. Raccomanda requisiti di sicurezza specifici per raggiungere tale obiettivo. NIST 800-171 è una pubblicazione che delinea gli standard e le pratiche di sicurezza richiesti per le organizzazioni non federali che gestiscono il CUI sulle proprie reti. È stato pubblicato per la prima volta nel giugno 2015 dal [National Institute of Standards and Technology (NIST)](https://www.nist.gov/). Il NIST è un'agenzia governativa degli Stati Uniti che ha pubblicato diversi standard e pubblicazioni per rafforzare la resilienza della sicurezza informatica nei settori pubblico e privato. NIST SP 800-171 ha ricevuto aggiornamenti regolari in linea con le minacce informatiche emergenti e le tecnologie in evoluzione. L'ultima versione (revisione 2) è stata rilasciata a febbraio 2020. 

I controlli di sicurezza informatica all'interno del NIST SP 800-171 salvaguardano il CUI nelle reti IT degli appaltatori e dei subappaltatori governativi. Definisce le pratiche e le procedure a cui gli appaltatori governativi devono attenersi quando le loro reti elaborano o archiviano le CUI. Il NIST SP 800-171 si applica solo alle parti della rete di un appaltatore in cui è presente il CUI. 

## Utilizzo di questo framework
<a name="framework-NIST-800-171-r2-1.1"></a>

È possibile utilizzare il framework NIST SP 800-171 per prepararsi agli audit. Questo framework include una raccolta predefinita di controlli con descrizioni e procedure di test. Questi controlli sono raggruppati in set di controlli in base ai requisiti NIST. Puoi inoltre personalizzare questo framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici. 

Utilizzando il framework come punto di partenza, puoi creare una valutazione Gestione audit e iniziare a raccogliere prove rilevanti per l’audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. Lo fa sulla base dei controlli definiti nel framework NIST SP 800-171. Quando è il momento di fare un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte da Gestione audit. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto. 

I dettagli del framework sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| NIST 800-171 Revisione 2: Protezione delle informazioni non classificate controllate in sistemi e organizzazioni non federali | 35 | 75 | 14 | 

**Importante**  
Per garantire che questo framework raccolga le prove previste AWS Security Hub CSPM, assicurati di aver abilitato tutti gli standard in Security Hub CSPM.  
Per garantire che questo framework raccolga le prove previste AWS Config, assicurati di abilitare le regole necessarie. AWS Config Per esaminare le AWS Config regole utilizzate come mappature delle origini dati in questo framework standard, scaricate il file [AuditManager\$1 ConfigDataSourceMappings](samples/AuditManager_ConfigDataSourceMappings_NIST-800-171-Rev-2.zip) \$1NIST-800-171-Rev-2.zip.

I controlli di questo AWS Audit Manager framework non hanno lo scopo di verificare se i sistemi sono conformi al NIST 800-171. Inoltre, non possono garantire il superamento di un audit NIST. AWS Audit Manager non verifica automaticamente i controlli procedurali che richiedono la raccolta manuale delle prove. 

## Fasi successive
<a name="next-steps-NIST-800-171-r2-1.1"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questo framework, incluso l'elenco dei controlli standard in esso contenuti, vedere. [Revisione di un framework in AWS Audit Manager](review-frameworks.md) 

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, vedere[Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md). 

## Risorse aggiuntive
<a name="resources-NIST-800-171-r2-1.1"></a>
+ [National Institute of Standards and Technology (NIST)](https://www.nist.gov/)
+ [Centro risorse per la sicurezza informatica NIST](http://csrc.nist.gov)
+ [AWS Pagina sulla conformità per il NIST](https://aws.amazon.com/compliance/nist/)

# PCI DSS V3.2.1
<a name="PCI"></a>





AWS Audit Manager fornisce un framework standard predefinito che supporta il Payment Card Industry Data Security Standard (PCI DSS) v3.2.1.

**Nota**  
Per informazioni su PCI DSS v4 e sul framework di Gestione audit che lo supporta, consulta [PCI DSS V4.0](pci-v4.md).

**Topics**
+ [Che cos'è PCI DSS?](#what-is-PCI)
+ [Utilizzo di questo framework](#framework-PCI)
+ [Fasi successive](#next-steps-PCI)
+ [Risorse aggiuntive](#resources-PCI-DSS)

## Che cos'è PCI DSS?
<a name="what-is-PCI"></a>

 PCI DSS è uno standard proprietario per la sicurezza delle informazioni. È amministrato dal [PCI Security Standards Council](https://www.pcisecuritystandards.org/), fondato da American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc. Il PCI DSS si applica alle entità che archiviano, elaborano o trasmettono dati dei titolari di carte (CHD) o dati di autenticazione sensibili (SAD). Tra le entità figurano, a titolo esemplificativo, commercianti, processori, acquirenti, emittenti e fornitori di servizi. Lo standard PCI DSS è imposto dai brand delle carte di credito ed è gestito dal Payment Card Industry Security Standards Council.

AWS è certificato come fornitore di servizi PCI DSS di livello 1, che rappresenta il livello di valutazione più elevato disponibile. La valutazione della conformità è stata condotta da Coalfire Systems Inc., un Qualified Security Assessor (QSA) indipendente. L'attestato di conformità PCI DSS (AOC) e il riepilogo delle responsabilità sono disponibili tramite. AWS Artifact Si tratta di un portale self-service per l'accesso su richiesta ai report di conformità. AWS Accedi alla [console di AWS gestione o scopri di piùAWS Artifact nella](https://console.aws.amazon.com/artifact) sezione [Guida introduttiva](https://aws.amazon.com/artifact/getting-started/) a. AWS Artifact

 Puoi scaricare lo standard PCI DSS dalla [libreria dei documenti PCI Security Standards Council](https://www.pcisecuritystandards.org/document_library?category=pcidss&document=pci_dss).

## Utilizzo di questo framework a supporto della preparazione dell'audit
<a name="framework-PCI"></a>

Puoi utilizzare il framework *PCI DSS V3.2.1* per prepararti agli audit. Questo framework include una raccolta predefinita di controlli con descrizioni e procedure di test. Questi controlli sono raggruppati in set di controlli in base ai requisiti PCI DSS. Puoi inoltre personalizzare questo framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici. 

Utilizzando il framework come punto di partenza, puoi creare una valutazione Gestione audit e iniziare a raccogliere prove rilevanti per l’audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. Lo fa sulla base dei controlli definiti nel framework PCI DSS V3.2.1. Quando è il momento di fare un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte da Gestione audit. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto. 

I dettagli del framework sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| Payment Card Industry Data Security Standard (PCI DSS) v3.2.1 | 38 | 246 | 15 | 

**Importante**  
Per garantire che questo framework raccolga le prove previste AWS Security Hub CSPM, assicurati di aver abilitato tutti gli standard in Security Hub CSPM.  
Per garantire che questo framework raccolga le prove previste AWS Config, assicurati di abilitare le regole necessarie. AWS Config Per esaminare le AWS Config regole utilizzate come mappature delle sorgenti dati in questo framework standard, scarica il file [AuditManager\$1 ConfigDataSourceMappings \$1PCI-DSS-v3.2.1.zip](samples/AuditManager_ConfigDataSourceMappings_PCI-DSS-v3.2.1.zip).

I controlli di questo AWS Audit Manager framework non hanno lo scopo di verificare se i sistemi sono conformi allo standard PCI DSS. Inoltre, non possono garantire che supererai un audit PCI DSS. AWS Audit Manager non verifica automaticamente i controlli procedurali che richiedono la raccolta manuale delle prove.

## Fasi successive
<a name="next-steps-PCI"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questo framework, incluso l'elenco dei controlli standard in esso contenuti, vedere[Revisione di un framework in AWS Audit Manager](review-frameworks.md). 

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, vedere[Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md). 

## Risorse aggiuntive
<a name="resources-PCI-DSS"></a>
+ [PCI Security Standards Council](https://www.pcisecuritystandards.org/)
+ [Libreria dei documenti del PCI Security Standards Council](https://www.pcisecuritystandards.org/document_library?category=pcidss&document=pci_dss).
+ [AWS Pagina di conformità per PCI DSS](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)

# PCI DSS V4.0
<a name="pci-v4"></a>





AWS Audit Manager fornisce un framework predefinito che supporta il Payment Card Industry Data Security Standard (PCI DSS) v4.0.

**Nota**  
Per informazioni su PCI DSS v3.2.1 e sul framework di Gestione audit che lo supporta, consulta [PCI DSS V3.2.1](PCI.md).

**Topics**
+ [Che cos'è PCI DSS?](#what-is-PCI-v4)
+ [Utilizzo di questo framework](#framework-PCI-v4)
+ [Fasi successive](#next-steps-PCI-v4)
+ [Risorse aggiuntive](#resources-PCI-v4)

## Che cos'è PCI DSS?
<a name="what-is-PCI-v4"></a>

Il PCI DSS (Payment Card Industry Data Security Standard) è uno standard globale che fornisce una base di requisiti tecnici e operativi per la protezione dei dati di pagamento. PCI DSS v4.0 è la prossima evoluzione dello standard. 

PCI DSS è stato sviluppato per incoraggiare e migliorare la sicurezza dei dati delle carte di pagamento. Inoltre, facilita l'ampia adozione di misure di sicurezza dei dati coerenti a livello globale. Fornisce una base di requisiti tecnici e operativi progettati per proteggere i dati delle carte di pagamento. Sebbene sia stato progettato specificamente per gli ambienti in cui sono presenti i dati delle carte di pagamento, è possibile utilizzare gli standard PCI DSS per proteggersi dalle minacce e proteggere altri elementi dell'ecosistema dei pagamenti. 

Il PCI Security Standards Council (PCI SSC) ha introdotto molte modifiche tra PCI DSS v3.2.1 e v4.0. Questi aggiornamenti sono suddivisi in tre categorie: 

1. **Requisiti in evoluzione**: modifiche per garantire che lo standard sia aggiornato alle minacce e alle tecnologie emergenti e ai cambiamenti nel settore dei pagamenti. Alcuni esempi sono i requisiti o le procedure di test nuovi o modificati oppure l'eliminazione di un requisito.

1. **Chiarimenti o indicazioni**: aggiornamenti a formulazioni, spiegazioni, definizioni, indicazioni aggiuntive o istruzioni per aumentare la comprensione o fornire ulteriori informazioni o indicazioni su un particolare argomento. 

1. **Struttura o formato**: riorganizzazione dei contenuti, compresa la combinazione, la separazione e la rinumerazione dei requisiti per allineare i contenuti.

## Utilizzo di questo framework a supporto della preparazione dell'audit
<a name="framework-PCI-v4"></a>

**Nota**  
Questo framework standard utilizza i controlli consolidati di Security Hub CSPM come fonte di dati. Per raccogliere correttamente le prove dai controlli consolidati, assicurati di aver [attivato l'impostazione dei risultati del controllo consolidato in Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#turn-on-consolidated-control-findings) CSPM. Per ulteriori informazioni sull'utilizzo della Centrale di sicurezza come tipo di origine dati, consulta [Controlli AWS Security Hub CSPM supportati da AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources-ash.html).

Puoi utilizzare il framework PCI DSS V4.0 per prepararti agli audit. Questo framework include una raccolta predefinita di controlli con descrizioni e procedure di test. Questi controlli sono raggruppati in set di controlli in base ai requisiti PCI DSS V4.0. Puoi inoltre personalizzare questo framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici. 

Utilizzando il framework come punto di partenza, puoi creare una valutazione Gestione audit e iniziare a raccogliere prove rilevanti per l’audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. Lo fa in base ai controlli definiti nel framework PCI DSS V4.0. Quando è il momento di fare un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte da Gestione audit. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto. 

I dettagli del framework sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| Standard di sicurezza dei dati del settore delle carte di pagamento (PCI DSS) v4.0 | 40 | 240 | 15 | 

**Importante**  
Per garantire che questo framework raccolga le prove previste AWS Security Hub CSPM, assicurati di aver abilitato tutti gli standard in Security Hub CSPM.  
Per garantire che questo framework raccolga le prove previste AWS Config, assicurati di abilitare le regole necessarie. AWS Config Per esaminare le AWS Config regole utilizzate come mappature delle sorgenti dati in questo framework standard, scaricate il file [AuditManager\$1 ConfigDataSourceMappings \$1PCI-DSS-v4.0.zip](samples/AuditManager_ConfigDataSourceMappings_PCI-DSS-v4.0.zip).

I controlli di questo AWS Audit Manager framework non hanno lo scopo di verificare se i sistemi sono conformi allo standard PCI DSS. Inoltre, non possono garantire che supererai un audit PCI DSS. AWS Audit Manager non verifica automaticamente i controlli procedurali che richiedono la raccolta manuale delle prove.

## Fasi successive
<a name="next-steps-PCI-v4"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questo framework, incluso l'elenco dei controlli standard in esso contenuti, vedere[Revisione di un framework in AWS Audit Manager](review-frameworks.md). 

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, vedere[Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md). 

## Risorse aggiuntive
<a name="resources-PCI-v4"></a>
+ [Hub di risorse PCI DSS v4.0](https://blog.pcisecuritystandards.org/pci-dss-v4-0-resource-hub)
+ [PCI Security Standards Council](https://www.pcisecuritystandards.org/)
+ [Libreria dei documenti del PCI Security Standards Council](https://www.pcisecuritystandards.org/document_library?category=pcidss&document=pci_dss).
+ [AWS Pagina di conformità per PCI DSS](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)
+ [Guida alla conformità relativa allo standard PCI DSS (Payment Card Industry Data Security Standard) v4.0 AWS](https://d1.awsstatic.com/whitepapers/compliance/pci-dss-compliance-on-aws-v4-102023.pdf)

# SSAE-18 SOC 2
<a name="SOC2"></a>





AWS Audit Manager fornisce un framework standard predefinito che supporta lo Statement on Standards for Attestations Engagement (SSAE) n. 18, Service Organizations Controls (SOC) Report 2. 

**Topics**
+ [Che cos'è SOC 2?](#what-is-SOC2)
+ [Utilizzo di questo framework](#framework-SOC2)
+ [Fasi successive](#next-steps-SOC2)
+ [Risorse aggiuntive](#resources-SOC2)

## Che cos'è SOC 2?
<a name="what-is-SOC2"></a>

**SOC 2, definito dall'[American Institute of Certified Public Accountants](https://en.wikipedia.org/wiki/American_Institute_of_Certified_Public_Accountants) (AICPA), è il nome di una serie di report prodotti durante un audit. È destinato alle organizzazioni di servizi (organizzazioni che forniscono sistemi informativi come servizio ad altre organizzazioni) per emettere report convalidati sui [controlli interni](https://en.wikipedia.org/wiki/Internal_controls) su tali sistemi informativi agli utenti di tali servizi. I report si concentrano sui controlli raggruppati in cinque categorie note come *Trust Service Principles*. 

AWS I report SOC sono rapporti di esame indipendenti di terze parti che dimostrano come AWS raggiungere i controlli e gli obiettivi chiave di conformità. Lo scopo di questi report è aiutare voi e i vostri revisori a comprendere i AWS controlli stabiliti per supportare le operazioni e la conformità. Esistono cinque rapporti AWS SOC:
+ AWS Rapporto SOC 1, disponibile per AWS i clienti da. [AWS Artifact](https://aws.amazon.com/artifact/getting-started/)
+ AWS Rapporto SOC 2 su sicurezza, disponibilità e riservatezza, disponibile per AWS i clienti da. [AWS Artifact](https://aws.amazon.com/artifact/getting-started/)
+ AWS Report SOC 2 su sicurezza, disponibilità e riservatezza disponibile per AWS i clienti da [AWS Artifact](https://aws.amazon.com/artifact/getting-started/)(l'ambito include solo Amazon DocumentDB).
+  AWS Report SOC 2 sulla privacy di tipo I, disponibile per i clienti da AWS . [AWS Artifact](https://aws.amazon.com/artifact/getting-started/)
+  AWS Report SOC 3 su sicurezza, disponibilità e riservatezza, [disponibile al pubblico come white paper](https://d1.awsstatic.com/whitepapers/compliance/AWS_SOC3.pdf).

## Utilizzo di questo framework a supporto della preparazione dell'audit
<a name="framework-SOC2"></a>

Puoi utilizzare questo framework per prepararti agli audit. Questo framework include una raccolta predefinita di controlli con descrizioni e procedure di test. Questi controlli sono raggruppati in set di controllo in base ai requisiti SOC 2. Puoi inoltre personalizzare questo framework e i relativi controlli per supportare gli audit interni in base ai requisiti specifici. 

Utilizzando il framework come punto di partenza, puoi creare una valutazione Gestione audit e iniziare a raccogliere prove rilevanti per l’audit. Dopo aver creato una valutazione, Audit Manager inizia a valutare le tue AWS risorse. La valutazione avviene sulla base dei controlli definiti nel framework. Quando è il momento di fare un audit, tu o un delegato di tua scelta potete esaminare le prove raccolte da Gestione audit. A seconda dei casi, puoi sfogliare le cartelle delle prove della valutazione e scegliere quali prove includere nel report di valutazione. Oppure, se hai abilitato la ricerca delle prove, puoi cercare prove specifiche ed esportarle in formato CSV oppure creare un report di valutazione dai risultati della ricerca. In ogni caso, puoi utilizzare questo report di valutazione per dimostrare che i controlli funzionano come previsto. 

I dettagli del framework sono i seguenti:


| Nome del framework in AWS Audit Manager | Numero di controlli automatici | Numero di controlli manuali | Numero di set di controllo | 
| --- | --- | --- | --- | 
| Dichiarazione sugli Standard for Attestations Engagement (SSAE) n. 18, Service Organizations Controls (SOC) Report 2 | 15 | 46 | 20 | 

**Importante**  
Per garantire che questo framework raccolga le prove previste AWS Security Hub CSPM, assicurati di aver abilitato tutti gli standard in Security Hub CSPM.  
Per garantire che questo framework raccolga le prove previste AWS Config, assicurati di abilitare le regole necessarie. AWS Config Per esaminare le AWS Config regole utilizzate come mappature delle sorgenti dati in questo framework standard, scaricate il file [AuditManager\$1 ConfigDataSourceMappings \$1SSAE-no.-18-soc-report-2.zip](samples/AuditManager_ConfigDataSourceMappings_SSAE-No.-18-SOC-Report-2.zip).

I controlli di questo framework non hanno lo scopo di verificare se i sistemi sono conformi. AWS Audit Manager Inoltre, non possono garantire che supererai un audit. AWS Audit Manager non verifica automaticamente i controlli procedurali che richiedono la raccolta manuale delle prove.

## Fasi successive
<a name="next-steps-SOC2"></a>

Per istruzioni su come visualizzare informazioni dettagliate su questo framework, incluso l'elenco dei controlli standard in esso contenuti, vedere[Revisione di un framework in AWS Audit Manager](review-frameworks.md). 

Per istruzioni su come creare una valutazione utilizzando questo framework, consulta [Creazione di una valutazione in AWS Audit Manager](create-assessments.md). 

Per istruzioni su come personalizzare questo framework per supportare requisiti specifici, vedere[Creazione di una copia modificabile di un framework esistente in AWS Audit Manager](create-custom-frameworks-from-existing.md). 

## Risorse aggiuntive
<a name="resources-SOC2"></a>
+ [AWS Pagina di conformità per SOC](https://aws.amazon.com/compliance/soc-faqs/)