AWS 合规性解决方案指南


在 AWS 上履行合规性责任时所需的常用资源和流程的存储库。

欢迎阅读 AWS 合规性解决方案指南! 本指南旨在为您提供在 AWS 上履行合规性职责所需的常用资源和流程的存储库。

保障 AWS 的安全性是我们的首要任务。AWS 目前正在为全球数百万活跃客户提供保护,涵盖大型企业和政府机构、初创企业和非营利组织。通过这些关系,我们开发了一流的资源,帮助各行各业的客户了解如何在 AWS 云中实现合规性。AWS 客户继承了我们过往经验中的所有优势,包括安全政策、架构和操作流程方面的最佳实践,已通过外部保障框架的验证。

AWS 通过以下方式传达与客户相关的安全性和控制环境:

  • 行业认证和独立第三方鉴证如下
  • 白皮书和网络内容中有关 AWS 安全性与控制实践的信息
  • 按照 NDA 规定直接向 AWS 客户提供的认证、报告和其他文档

合规性解决方案


AWS 合规性报告最好通过 AWS Artifact 中的控制台访问。AWS Artifact 为客户提供自助服务,方便客户按需访问最新的 AWS 合规性报告。一旦 AWS 发布新报告,客户便可通过 AWS Artifact 下载。除了按需访问外,使用 AWS Artifact 还具有以下三大优势。

  1. 无需输入信用卡。创建账户或使用 AWS Artifact 门户不会产生任何相关费用。
  2. 支持通过 IAD 为其他用户创建帐户。
  3. 支持快捷的点击 NDA。

请注意,所有第三方鉴证、认证、服务组织控制 (SOC) 报告和其他相关合规性报告均需要 NDA。AWS ISO 27001 认证和公开发布的 AWS SOC 3 报告除外。

如果您已有 AWS 账户并准备使用 AWS Artifact,可利用以下资源在控制台中熟悉这一功能。如果您还没有 AWS 账户,可通过以下步骤创建一个

AWS Artifact 网站 - 本网站将为您提供有关 AWS Artifact 的基本信息,包括快速入门指南 AWS Artifact 常见问题页面,快速入门指南有如何登录控制台和下载报告的逐步说明,常见问题页面则包含所有常见问题的完整列表。

以下是容易出现问题的几个常见情况:

填写安全性调查问卷以记录 AWS 安全性和合规性状况时,如果需要协助,AWS 已拟定建议方法,可为您提供资源,帮助您解决在云和 AWS 业务模型中遇到的安全性与合规性问题。此程序可确保所有客户获得经第三方审计机构验证的一致答案。

AWS Artifact 存储了所有合规性报告,因此是首选方式。AWS 每年接受第三方审计机构的多次审计,其中大部分审计均按照国际安全标准进行,如 ISO 27001、PCI 和 SOC。您可以利用这些报告回答任何安全性调查问卷上的问题。

此外,还有几类在线资源可帮助您回答一些最常见的问题。填写调查问卷时最常用到以下两个文档:

共识评估倡议调查问卷 - 云安全联盟 (CSA) 是一个非营利组织,旨在促进最佳实践的使用,实现云计算安全保障。“CSA 共识评估倡议调查问卷”包含一系列问题,据 CSA 预计云客户和/或审计机构会可能向云提供商提出。该调查问卷提出了一系列安全、控制和流程问题,用途广泛,包括对云提供商的选择和安全评估。本文档包含由 AWS 针对 CSA 调查问卷提供的答案。

《Risk and Compliance》白皮书:本文档旨在为 AWS 客户提供信息,协助他们将 AWS 集成到支持其 IT 环境的现有控制框架中。其中包含评估 AWS 的控制能力的基本方法,并提供相关信息来协助客户集成控制环境。此外,本文档还围绕云计算合规性问题,提供了一些 AWS 特定信息。其中对 AWS 认证、计划、报告和第三方鉴证也给出了详细描述。CSA 问卷已附于本文档中。

如果在回答问题的过程中,您仍需帮助,请联系您的 AWS 销售客户经理,他们可以帮助您寻找相应资源。

安全性调查问卷示例

控制 问题 答案 AWS 参考文档
加密 所提供服务是否支持加密?

是。AWS 允许客户将自己的加密机制应用到几乎所有服务当中,包括 S3、EBS、SimpleDB 和 EC2。进入 VPC 的 IPSec 通道也已加密。Amazon S3 还可为客户提供“服务器端加密”选项。此外,客户还可使用第三方加密技术。

AWS 安全性白皮书
物理和环境控制体系

云提供商运行的物理和环境控制体系是否是指定的?

是。SOC 1 类型 II 报告对此给出了详细说明。此外,AWS 支持的其他认证(如 ISO 27001 和 FedRAMPsm)要求采取物理和环境控制体系最佳实践。

FedRAMP 资源包、ISO 27001 报告、SOC 1
人力资源培训/意识

对于所有有权访问租户数据的人员,云相关访问和数据管理问题(如多租户、国籍、云交付模式职责分离意义和利益冲突)有无正式、基于角色的安全意识培训计划?

有。按照 ISO 27001 标准,所有 AWS 员工均需定期接受信息安全培训,且需确认培训完成。合规性审计定期执行,以验证员工是否理解和遵从既定政策。

参阅 SOC、PCI DSS、ISO 27001 和 FedRAMP 合规性报告

以下是使用 HIPAA BAA 时最常遇到的一些挑战。如需访问更多 BAA 相关资源,包括含 HIPAA 常见问题、BAA 教学视频、白皮书等内容的完整列表,请访问 AWS HIPAA 合规性主页面

问:我可否获得现有 BAA 的硬拷贝?

答:Artifact 上的 BAA 版本与硬拷贝版本完全相同。使用 Artifact 时,可在接受条款前后随时下载 BAA 副本。如果您已有离线 BAA,可以联系您的销售代表获得副本。

问:我需要附表 A 来确定账户已添加至现有 BAA,或需要 BAA 已包含特定账户的证明。

答:AWS 不会在现有 BAA 包含额外账户后发布更新的附表 A。通过 Artifact,您可以在控制台中立即指定新帐户自助服务。在 Artifact 中接受 BAA 后,可以使用账户 ID 登录控制台,确认账户处于有效状态。如需增加新账户,可通过自助服务实现。  如需确认包含状态和向审计机构或监管机构分享 BAA,可下载 pdf 版本。此外,状态也可作为包含的证据。

问:我无法进入 BAA,或无法勾选 NDA 复选框。

答:此问题源于权限错误。处理 AWS 账户 IAM 请求的个人或团队可以通过调整权限来解决此问题。设置 IAM 账户的更多信息参见这里

更多 AWS 合规性资源


header-icon_apn-partner-programs-orange

范围内服务页面将详细介绍目前哪些服务为范围内服务,哪些服务正在跟进。此外,您还可联系 AWS 销售客户经理和 SA,了解特定服务的任何具体要求。

header-icon_apn-partner-programs-orange

AWS 安全性博客会报道 AWS 安全性计划的所有最新更新。

header-icon_apn-partner-programs-orange

如需了解 AWS 当前客户的体验,请访问我们的客户评价页面,其中有各行业客户的案例研究

header-icon_apn-partner-programs-orange

如需特定合规性方案的更多信息,请参阅以下页面,查看常见问题:

header-icon_apn-partner-programs-orange

AWS 审计师学习路径是针对审核师、合规和法律职务人员设计的资源,帮助他们了解如何使用 AWS 平台展示内部运营合规性。

compliance-contactus-icon
有问题? 联系 AWS 业务代表
想要提供合规性服务?
立即申请 »
想要了解 AWS 合规性动态?
在 Twitter 上关注我们 »