亚马逊云科技客户合规性指南现已公开发布

AWS 全球安全性与合规性加速（GSCA）计划在 AWS 合规性资源页面上发布了 AWS 客户合规性指南（CCG），以便于客户、AWS 合作伙伴和评估人员快速了解行业领先的合规性框架如何与 AWS 服务文档和安全最佳实践相匹配。

CCG 为 130 多项 AWS 服务和集成提供与 16 种不同合规性框架相对应的安全指导。客户可以从可用的框架和服务中进行选择，从合规性的角度了解“云中”的安全性如何应用于 AWS 服务。

CCG 侧重于与 AWS 服务配置选项相关的安全主题和技术控制。这些指南并不涵盖在 AWS 服务中一致的安全主题或控制措施，也不涵盖客户企业特有的安全主题或控制措施，如政策或治理。因此，这些指南篇幅较短，重点关注每项 AWS 服务的独特安全性和合规性考虑因素。

我们非常重视您对这些指南的反馈意见。参加我们的 CCG 调查，告诉我们您的体验、要求提供新服务或框架，或提出改进建议。

CCG 提供 AWS 服务的用户指南摘要，并将配置指南与下列框架中的安全控制要求相对应：

• 国家标准与技术研究所（NIST）800-53
• NIST 网络安全框架（CSF）
• NIST 800-171
• 系统和组织控制（SOC）II
• 互联网安全中心（CIS）关键控制 v8.0
• ISO 27001
• NERC 关键基础设施保护（CIP）
• 支付卡行业数据安全标准（PCI-DSS）v4.0
• 国防部网络安全成熟度模型认证（CMMC）
• HIPAA
• 加拿大网络安全中心（CCCS）
• 纽约金融服务部（NYDFS）
• 联邦金融机构审查委员会（FFIEC）
• 云控制矩阵（CCM）v4
• 信息安全手册（ISM-IRAP）（澳大利亚）
• 信息系统安全管理评测制度（ISMAP）（日本）

CCG 可通过以下方式为客户提供帮助：

• 加快手动搜索 AWS 用户指南来了解“云中”安全细节的过程，并使配置指南与合规性要求保持一致
• 根据客户工作负载中运行的 AWS 服务，确定风险评估或审计中适用的控制范围
• 协助客户对考虑在其企业中使用的新 AWS 服务进行尽职调查评估
• 为评估人员或风险团队提供资源，以便确定哪些安全领域由 AWS 服务处理，哪些由客户负责实施，这可能会影响评估或内部安全检查所需的证据范围
• 为编制控制响应或程序等安全文档提供依据，这些文档可能需要满足各种合规性文档要求或满足评估证据要求

AWS 全球安全性与合规性加速（GSCA）计划将客户与 AWS 合作伙伴联系起来，这些合作伙伴可协助客户在 AWS 上导航、自动化和加速构建合规性工作负载，从而减少客户的时间和成本。GSCA 为全球需要满足医疗保健、隐私、国家安全和金融领域的安全性、隐私和合规性要求的企业提供支持。要与 GSCA 合规专家联系，请填写 GSCA 计划问卷。

如果您对这篇博客有疑问，请联系 AWS Support。

本篇作者