亚马逊AWS官方博客

亚马逊云科技客户合规性指南现已公开发布

AWS 全球安全性与合规性加速(GSCA)计划AWS 合规性资源页面上发布了 AWS 客户合规性指南(CCG),以便于客户、AWS 合作伙伴和评估人员快速了解行业领先的合规性框架如何与 AWS 服务文档和安全最佳实践相匹配。

CCG 为 130 多项 AWS 服务和集成提供与 16 种不同合规性框架相对应的安全指导。客户可以从可用的框架和服务中进行选择,从合规性的角度了解“云中”的安全性如何应用于 AWS 服务。

CCG 侧重于与 AWS 服务配置选项相关的安全主题和技术控制。这些指南并不涵盖在 AWS 服务中一致的安全主题或控制措施,也不涵盖客户企业特有的安全主题或控制措施,如政策或治理。因此,这些指南篇幅较短,重点关注每项 AWS 服务的独特安全性和合规性考虑因素。

我们非常重视您对这些指南的反馈意见。参加我们的 CCG 调查,告诉我们您的体验、要求提供新服务或框架,或提出改进建议。

CCG 提供 AWS 服务的用户指南摘要,并将配置指南与下列框架中的安全控制要求相对应:

  • 国家标准与技术研究所(NIST)800-53
  • NIST 网络安全框架(CSF)
  • NIST 800-171
  • 系统和组织控制(SOC)II
  • 互联网安全中心(CIS)关键控制 v8.0
  • ISO 27001
  • NERC 关键基础设施保护(CIP)
  • 支付卡行业数据安全标准(PCI-DSS)v4.0
  • 国防部网络安全成熟度模型认证(CMMC)
  • HIPAA
  • 加拿大网络安全中心(CCCS)
  • 纽约金融服务部(NYDFS)
  • 联邦金融机构审查委员会(FFIEC)
  • 云控制矩阵(CCM)v4
  • 信息安全手册(ISM-IRAP)(澳大利亚)
  • 信息系统安全管理评测制度(ISMAP)(日本)

CCG 可通过以下方式为客户提供帮助:

  • 加快手动搜索 AWS 用户指南来了解“云中”安全细节的过程,并使配置指南与合规性要求保持一致
  • 根据客户工作负载中运行的 AWS 服务,确定风险评估或审计中适用的控制范围
  • 协助客户对考虑在其企业中使用的新 AWS 服务进行尽职调查评估
  • 为评估人员或风险团队提供资源,以便确定哪些安全领域由 AWS 服务处理,哪些由客户负责实施,这可能会影响评估或内部安全检查所需的证据范围
  • 为编制控制响应或程序等安全文档提供依据,这些文档可能需要满足各种合规性文档要求或满足评估证据要求

AWS 全球安全性与合规性加速(GSCA)计划将客户与 AWS 合作伙伴联系起来,这些合作伙伴可协助客户在 AWS 上导航、自动化和加速构建合规性工作负载,从而减少客户的时间和成本。GSCA 为全球需要满足医疗保健、隐私、国家安全和金融领域的安全性、隐私和合规性要求的企业提供支持。要与 GSCA 合规专家联系,请填写 GSCA 计划问卷

如果您对这篇博客有疑问,请联系 AWS Support

本篇作者

Kevin Donohue

Kevin Donohue

Kevin 是 AWS 全球公共部门的高级安全合作伙伴战略师,专门协助客户实现合规目标。Kevin 于 2019 年开始在 AWS 任职,在 AWS 安全保障方面为美国政府客户提供支持。他居住在弗吉尼亚州北部,工作之余喜欢与妻子和女儿一起在户外度过时光。