MPAA 和工作室安全性

概览

MPAAIcon

美国电影协会 (MPAA) 已经建立了一套最佳实践,用以安全存储、处理和交付受保护的媒体和内容。媒体公司使用这些最佳实践作为对其自身内容和基础设施进行风险评估和安全性审计的方式。

尽管 MPAA 不提供“认证”,但媒体行业的客户可以使用阐明 AWS 符合 MPAA 最佳实践的 AWS MPAA 指导原则,以增强他们对 AWS 上 MPAA 类型的内容所作的风险评估和评价。

AWS 还针对 AWS 平台和适用于 AWS 的工作室安全性模板提供第三方评估。通过 AWS Artifact 请求访问此文档。

  • 管理人员安全意识/监管

    最佳实践

    确保行政管理人员/所有者通过要求定期审查信息安全计划和风险评估结果,来监管信息安全职能。

    AWS 实施

    Amazon 控制环境的起点是公司的最高层级。公司的管理层和高级领导层在建立公司的基调和核心价值方面起重要作用。AWS 已基于系统和组织控制 (SOC) 框架建立了信息安全框架和策略,并根据 ISO 27002 控制体系、PCI DSS v3.2 以及美国国家标准与技术研究院 (NIST) 刊物 800-53 Rev 3(即《联邦信息系统安全控制建议》)有效地集成了 ISO 27001 可认证框架。AWS 员工已完成基于角色的定期培训,其中包括 AWS 安全培训。执行合规性审计,以使员工理解并遵从既定策略。

  • 风险管理

    最佳实践

    制定一个关注内容工作流程和敏感资产的正式安全风险评估过程,以识别并优先考虑与设施相关的内容被盗和泄露风险。

    AWS 实施

    AWS 已实施一项正式的、有文档记录的风险评估策略,且至少每年会对此策略进行一次更新和审查。此策略可应对目的、范围、角色、责任和管理方面的承诺。

    根据此策略,AWS 合规性团队执行了一次涵盖所有 AWS 区域和企业的年度风险评估,并由 AWS 高级管理层进行审查。这是对由独立审计机构执行的认证、鉴证和报告的补充。风险评估的目的在于识别 AWS 的威胁和漏洞、为威胁和漏洞指定风险等级、正式记录评估并创建解决问题的风险处理计划。AWS 高级管理层会定期以及在年度风险评估之前发生重大变化而需进行新的风险评估时对风险评估结果进行审查。

    客户保留其数据 (内容) 的所有权,并负责评估和管理与其数据工作流程相关的风险,从而满足自身合规性需求。

    审计 SOC、PCI DSS、ISO 27001 和 FedRAMP 合规性期间,独立的外部审计机构会对 AWS 风险管理框架进行审查。

  • 安全组织

    最佳实践

    识别安全关键联系人,并针对内容和资产保护正式定义角色和责任。

    AWS 实施

    AWS 已成立一个信息安全组织,受 AWS 安全团队的管理并由 AWS 首席信息安全官 (CISO) 领导。AWS 为所有支持 AWS 的信息系统用户保留并提供安全意识培训。此年度安全意识培训包括以下主题:安全意识培训的目的、所有 AWS 策略的位置、AWS 事故响应程序(包括关于如何报告内部和外部安全事故的说明)。

    AWS 内的系统拥有齐全的检测功能,可监控关键的运行和安全指标。AWS 配置了警报,当关键指标的早期警告阈值被超过的时候,警报会自动通知运营和管理人员。阈值被超过时,将启动 AWS 事故响应流程。Amazon 事故响应团队在发生影响业务的事故期间会采用行业标准的诊断程序来处理事故。员工全年全天候检测事故和管理对解决方案的影响。

    审计 SOC、PCI DSS、ISO 27001 和 FedRAMP 合规性期间,独立的外部审计机构会对 AWS 角色和责任进行审查。

  • 策略和程序

    最佳实践

    建立与资产和内容安全相关的策略和程序;其中策略最少应能应对下述主题:
    • 人力资源策略
    • 可接受的使用(如社交网络、Internet、电话等)
    • 资产分类
    • 资产处理策略
    • 数字录制设备(如智能手机、数码相机、摄像机)
    • 例外策略 (如记录策略偏差的流程)
    • 密码控制(如密码最低长度、屏幕保护程序)
    • 禁止从设施中删除客户资产
    • 系统更改管理
    • 申诉策略
    • 制裁策略(例如惩罚策略)

    AWS 实施

    AWS 已基于系统和组织控制 (SOC) 框架建立了信息安全框架和策略,并根据 ISO 27002 控制体系、PCI DSS v3.2 以及美国国家标准与技术研究院 (NIST) 刊物 800-53 Rev 3(即《联邦信息系统安全控制建议》)有效地集成了 ISO 27001 可认证框架。

    AWS 为所有支持 AWS 的信息系统用户保留并提供安全意识培训。此年度安全意识培训包括以下主题:安全意识培训的目的、所有 AWS 策略的位置、AWS 事故响应程序(包括关于如何报告内部和外部安全事故的说明)。

    审计 SOC、PCI DSS、ISO 27001 和 FedRAMP 合规性期间,独立的外部审计机构会对 AWS 策略、程序和相关培训计划进行审查。

  • 事故响应

    最佳实践

    制定正式的事故响应计划,说明检测并报告安全事故后应采取的措施。

    AWS 实施

    AWS 已实施一项正式的、有文档记录的事故响应策略和计划。此策略可应对目的、范围、角色、责任和管理方面的承诺。

    AWS 利用一种三阶段方法来管理事故:

    1. 激活和通知阶段:AWS 事故从事件检测开始。事故可能有多种来源,如:

    a. 指标和警报 – AWS 保留着出色的态势感知功能,通过对实时指标和服务仪表板进行全年全天候的监控与报警,快速检测出大多数问题。大多数事故采用这种方式进行检测。AWS 利用早期指示器警报主动识别最终可能会影响到客户的问题。
    b. 由 AWS 员工输入的故障报告表。
    c. 全年全天候技术支持热线接到的来电。

    如果事件符合事故标准,随时待命的相关支持工程师将利用 AWS 事故管理工具开始参与,并呼叫相关计划解决人员。解决人员将执行事故分析以确定是否需要其他解决人员参与,并大致确定根本原因。

    2. 恢复阶段 – 相关解决人员将执行中断修复来解决此事故。进行故障排除、中断修复并处理受影响的组件后,呼叫领导者将根据后续文档和后续操作分配后续步骤,并结束此次呼叫。

    3. 重建阶段 – 完成相关的修复活动后,呼叫领导者将宣布修复阶段完成。事故的事后剖析和深层根本原因分析将分配给相关团队。事后剖析的结果将由相关高级管理层进行审查,而且设计更改等相关操作将会记录在错误更正 (COE) 文档中并被跟踪,直至完成。

    除了上面详细说明的内部通信机制,AWS 还实施了各种外部通信方法来为其客户群和社区提供支持。合理的机制能够使客户支持团队获悉影响客户体验的运行问题。“服务运行状况仪表板”可供客户支持团队使用并维护,以便让客户对任何可能具有广泛影响的问题保持警觉。

    审计 SOC、PCI DSS、ISO 27001 和 FedRAMP 合规性期间,独立的外部审计机构会对 AWS 事故管理计划进行审查。

    内容(数据)的工作流程文档属于 AWS 客户的责任范围,因为客户对其来宾操作系统、软件、应用程序和数据保有所有权和控制权。

  • 人员管理

    最佳实践

    对公司所有人员和第三方工作人员进行背景筛选调查。

    AWS 实施

    在雇佣员工前,AWS 会根据招聘职位以及该职位对 AWS 设施的访问级别对候选人进行筛选,而作为该筛选流程的一部分,AWS 会依据相应法律进行犯罪背景调查。

    审计 SOC、PCI DSS、ISO 27001 和 FedRAMP 合规性期间,独立的外部审计机构会对 AWS 背景调查计划进行审查。

  • 保密协议

    最佳实践

    公司所有人员和第三方工作人员在签订雇佣合同及此后每年续签合同时,都需要签订一份保密协议(如不披露协议),该份保密协议中包含内容处理和保护要求。

    AWS 实施

    Amazon 法律顾问管理并定期修订 Amazon 保密协议 (NDA),以反映 AWS 业务需求。

    审计 ISO 27001 和 FedRAMP 合规性期间,独立的外部审计机构会对 AWS 对保密协议 (NDA) 的使用进行审查。

  • 日志记录和监控

    最佳实践

    记录并审查对受限区域的电子访问,以查明可疑事件。

    AWS 实施

    专业的安保人员会利用视频监控、入侵检测系统和其他电子方式严格控制对周边和大楼入口的物理访问。

    包括主入口、装货码头和所有罐顶出口等在内的所有 AWS 数据中心入口都由入侵检测设备保证安全,如果门被强行打开或保持打开状态,这些设备还会发出警报并在 AWS 的集中式物理安全监控系统中创建警报。

    除了电子机制,AWS 数据中心还让训练有素的安保人员全天候驻守在建筑物里或周围。安保人员会对所有的警报进行调查,并记录所有事故的根本原因。所有的警报都设置为:如果在 SLA 时间内没有对事故作出响应,警报将自动升级。

    至服务器位置的物理访问点由 AWS 数据中心物理安全政策中规定的闭路电视摄像机 (CCTV) 记录。影像会保留 90 天,除非出于法律或合同义务限制到 30 天。

    审计 SOC、PCI DSS、ISO 27001 和 FedRAMP 合规性期间,独立的外部审计机构会对 AWS 物理安全机制进行审查。

  • 资产监控

    最佳实践

    实施内容资产管理系统以提供详细的有形资产(即客户和新创建内容)跟踪情况。

    AWS 实施

    内容资产管理由 AWS 客户所有、实施和运营。客户有责任对其有形资产进行库存跟踪。

    对于 AWS 数据中心环境来说,所有运送至数据中心并由其接收的新信息系统组件(包括但不限于服务器、机架、网络设备、硬盘、系统硬件组件和建筑材料)需要知会数据中心经理并由其事先核准。项目运送至每个 AWS 数据中心的装货码头,并由 AWS 全职员工检查包装是否有损坏或篡改迹象,然后签名确认。货件一旦送达,项目将在 AWS 资产管理系统和设备库存跟踪系统中进行扫描和记录。

    收到后,项目将放置在数据中心内的设备存储室中,在项目安装到数据中心地板之前,需要同时提供访问凭证和 PIN 才能进入存储室。项目在离开数据中心之前,需要进行扫描、跟踪和消毒,才能获准离开数据中心。

    审计 PCI DSS、ISO 27001 和 FedRAMP 合规性期间,独立的外部审计机构会对 AWS 资产管理流程和程序进行审查。

  • Internet

    最佳实践

    禁止在处理或存储数字内容的系统(台式计算机/服务器)上访问 Internet。

    AWS 实施

    边界保护设备使用规则集合、访问控制列表 (ACL) 和配置来管控网络架构间的信息流。这些设备配置为“拒绝全部”模式,要求批准的防火墙设为允许连接。请参阅 DS-2.0 获取关于 AWS 网络防火墙管理的更多信息。

    AWS 资产上没有固有的电子邮件功能,而且端口 25 未得到利用。客户(例如工作室、处理设施等)可利用系统托管电子邮件功能,但是如果这样做,客户将有责任对电子邮件出入点采取适当的垃圾邮件和恶意软件防护措施,并在有新版本可用时,更新垃圾邮件和恶意软件定义。

    Amazon 资产(例如笔记本电脑)装有包括电子邮件过滤和恶意软件检测功能的反病毒软件。

    在 AWS 持续的 SOC、PCI DSS、ISO 27001 和 FedRAMP 合规性审查的过程中,独立的第三方审计机构会对 AWS 网络防火墙管理和 Amazon 的反病毒计划进行审核。

  • 针对 AWS 平台和适用于 AWS 的工作室安全性模板的第三方评估

    除了 MPAA,大多数内容工作室 (如迪士尼/漫威) 都有自己的一套安全要求,并且要求服务提供商和增值服务接受第三方审计机构对其云端或本地环境进行审查。用于预发布标题的 VFX/动画内容云端突发渲染就是一个典型示例。

    AWS 已经与第三方审计机构一起针对 VFX/动画渲染环境对 AWS 平台进行评估。此外,第三方审计机构还根据工作室的主要要求编写了涉及 AWS 安全控制的安全最佳实践模板文档。本文档可用于在 AWS 上创建工作室批准的 VFX/动画渲染环境。

    通过 AWS Artifact 请求访问针对工作室安全性要求的 AWS 安全控制文档。

compliance-contactus-icon
有问题? 联系 AWS 业务代表
想要提供合规性服务?
立即申请 »
想要了解 AWS 合规性动态?
在 Twitter 上关注我们 »