OPS01-BP04 评估合规性要求
监管、行业和内部合规性要求是定义组织优先事项的重要驱动因素。您的合规性框架可能会阻止您使用特定技术或地理位置。如果未确定外部合规性框架,则进行尽职调查。生成验证合规性的审计或报告。
如果您宣称自己的产品符合特定的合规性标准,则您必须有内部流程来确保持续合规。合规性标准的示例包括 PCI DSS、FedRAMP 和 HIPAA。适用的合规性标准由各种因素决定,例如解决方案存储或传输的数据类型,以及解决方案支持的地理区域。
期望结果:
-
将监管、行业和内部合规性要求纳入架构选择。
-
您可以验证合规性并生成审计报告。
常见反模式:
-
部分工作负载属于支付卡行业数据安全标准(PCI-DSS)框架,但工作负载以未加密方式存储信用卡数据。
-
软件开发人员和架构师不了解组织必须遵循的合规性框架。
-
年度系统与组织控制(SOC2)类型 II 审核即将开始,您无法验证控制措施是否已到位。
建立此最佳实践的好处:
-
评估和了解适用于工作负载的合规性要求将为您提供相关信息,告知您如何通过安排工作的优先级来实现业务价值。
-
选择与合规性框架保持一致的适当位置和技术。
-
设计工作负载以实现可审核性,以便证明您遵守合规性框架。
在未建立这种最佳实践的情况下暴露的风险等级:高
实施指导
实施此最佳实践意味着将合规性要求纳入架构设计过程。团队成员了解所需的合规性框架。您依照框架验证合规性。
客户示例
AnyCompany Retail 存储客户的信用卡信息。卡存储团队的开发人员明白他们需要遵守 PCI-DSS 框架。他们已采取措施来确认按照 PCI-DSS 框架安全地存储和访问信用卡信息。他们每年都会与安全团队一起验证合规性。
实施步骤
-
与安全和治理团队合作,确定工作负载必须遵守哪些行业、监管或内部合规性框架。将合规性框架纳入工作负载。
-
使用 AWS Compute Optimizer 和 AWS Security Hub 之类的服务,验证 AWS 资源的持续合规性。
-
-
向团队成员介绍合规性要求,以便他们可以根据要求运行和改进工作负载。架构和技术选择中应包括合规性要求。
-
根据合规性框架,您可能需要生成审核或合规性报告。与组织合作,尽可能使此过程实现自动化。
-
使用诸如 AWS Audit Manager 之类的服务验证合规性并生成审核报告。
-
您可以通过 AWS Artifact 下载 AWS 安全与合规性文档。
-
实施计划的工作量级别:中。实施合规性框架并非易事。生成审核报告或合规性文档带来了额外的复杂性。
资源
相关最佳实践:
-
SEC01-BP03 识别和验证控制目标 – 安全控制目标是整体合规性的重要组成部分。
-
SEC01-BP06 自动测试和验证管道中的安全控制 – 作为管道的一部分,验证安全控制。还可以生成新变更的合规性文档。
-
SEC07-BP02 定义数据保护控制 – 许多合规性框架都基于数据处理和存储策略。
-
SEC10-BP03 准备取证能力 – 取证能力有时可用于审核合规性。
相关文档:
相关视频:
相关示例:
相关服务:
