SEC01-BP03 識別和驗證控制目標
根據合規需求以及從威脅模型識別的風險,衍生並驗證您需要套用到工作負載的控制目標和控制。對控制目標與控制持續進行驗證,可協助您測量風險降低的有效性。
預期成果:企業的安全控制目標是明確定義的,並符合您的合規要求。控制項是透過自動化和政策來實作和強制執行的,並持續評估其在達成目標方面的有效性。在一個時間點和一段時間內的有效性證據可以很容易地向稽核人員報告。
常見的反模式:
-
您的企業對可保證安全的法規要求、市場預期和業界標準並未充分了解
-
網路安全架構和控制目標不符合業務需求
-
控制措施的實作並未以可衡量的方式與您的控制目標保持一致
-
您不使用自動化來報告控制措施的有效性
未建立此最佳實務時的曝險等級:高
實作指引
有許多常見的網路安全框架可以構成安全控制目標的基礎。考慮企業的法規要求、市場期望和業界標準,以決定哪些架構最能支援您的需求。範例包括 AICPA SOC 2
針對您確定的控制目標,了解您使用的 AWS 服務如何協助您達成這些目標。使用 AWS Artifact
當您定義實現目標的控制措施時,使用預防性控制措施對執行進行整理,並使用偵測性控制來自動化緩解措施。使用服務控制政策 (SCP),協助防止您的 AWS Organizations 中的不合規資源組態和動作。在 AWS Config
使用 AWS 全球安全與合規加速 (GSCA) 團隊建議的 APN 合作夥伴套件
實作步驟
-
評估常見的網路安全架構,並使您的控制目標與選擇的目標保持一致。
-
使用 AWS Artifact 取得有關架構指引和責任的相關文件。了解哪些法規遵循部分屬於共同責任模式的 AWS 方面,以及哪些部分是您的責任。
-
使用 SCP、資源政策、角色信任政策及其他防護機制來防止不合規的資源組態和動作。
-
評估部署符合您控制目標的 Security Hub 標準和 AWS Config 一致性套件。
資源
相關的最佳實務:
相關文件:
相關工具: