本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
ISO/IEC 27001:2013 附錄 A
AWS Audit Manager 提供預先建置的標準架構,可支援國際標準化組織 (ISO)/國際電工委員會 (IEC) 27001:2013 附錄 A。
什麼是 ISO/IEC 27001:2013 附錄 A?
國際電工委員會 (IEC) 和國際標準化組織 (ISO) 都是獨立、非政府的組織, not-for-profit其開發和發佈完全以共識為基礎的國際標準。
ISO/IEC 27001:2013 Annex A is a security management standard that specifies security management best practices and comprehensive security controls that follow the ISO/IEC 27002 最佳實務指南。此國際標準規定了如何在組織中建立、實施、維護和持續改善資訊安全管理系統的要求。這些標準包括針對您的組織需求量身打造的資訊安全風險評估和處理要求。此國際標準中的要求是通用的,旨在適用於所有組織,無論其類型、規模或性質。
使用此架構
您可以使用 ISO/IEC 27001:2013 Annex A to help you prepare for audits. This framework includes a prebuilt collection of controls with descriptions and testing procedures. These controls are grouped into control sets according to ISO/IEC 27001:2013 附錄 A 要求的 AWS Audit Manager 架構。您也可以根據特定需求自訂架構和控制項,以支援內部稽核。
使用 架構作為起點,您可以建立 Audit Manager 評估,並開始收集與 ISO/IEC 27001:2013 附錄 A 稽核相關的證據。在評估中,您可以指定 AWS 帳戶 要包含在稽核範圍內的 。建立評估之後,Audit Manager 會開始評估您的 AWS 資源。它會根據 ISO/IEC 27001:2013 附錄 A 架構中定義的控制項來執行此操作。需要進行稽核時,您或您選擇的委派代表可以檢閱 Audit Manager 所收集的證據。您也可以瀏覽這些評估中的證據資料夾,並選擇要包含在評估報告中的證據。或者,如果您啟用證據搜尋工具,您可以搜尋特定證據並以 CSV 格式匯出,或從搜尋結果建立評估報告。不論何種方式,您都可以使用此評估報告來顯示您的控制項正在按預期運作。
架構的詳細資訊如下:
| 中的架構名稱 AWS Audit Manager | 自動化控制項數量 | 手動控制項數量 | 控制集數 |
|---|---|---|---|
| 國際標準化組織 (ISO)/國際電工委員會 (IEC) 27001:2013 附錄 A | 9 | 105 | 35 |
重要
為確保此架構從 收集預期證據 AWS Security Hub,請務必在 Security Hub 中啟用所有標準。
為確保此架構從 收集預期證據 AWS Config,請務必啟用必要的 AWS Config 規則。若要檢閱在此標準架構中用作資料來源映射的 AWS Config 規則,請下載 AuditManager_ConfigDataSourceMappings_ISO-IEC-270012013-Annex-A .zip 檔案。
此 AWS Audit Manager 架構中的控制項無意驗證您的系統是否符合此國際標準。此外,他們無法保證您會通過 ISO/IEC audit。 AWS Audit Manager 不會自動檢查需要手動證據收集的程序控制。
您可以在 使用框架庫來管理框架 AWS Audit Manager Audit Manager 中的標準架構索引標籤下找到 ISO/IEC 27001:2013 附錄 A 架構。
後續步驟
如需使用此架構建立評估方式的說明,請參閱 在中建立評估 AWS Audit Manager。
如需如何自訂此架構以支援特定需求的指示,請參閱 在中製作現有框架的可編輯副本 AWS Audit Manager。
其他資源
-
如需此國際標準的詳細資訊,請參閱 ANSI Webstore 上的 ISO/IEC 27001:2013
。
