คู่มือรวบรวมโซลูชันสำหรับการปฏิบัติตามข้อกำหนดของ AWS


คลังสำหรับเก็บทรัพยากรและกระบวนการที่ใช้บ่อยซึ่งจำเป็นต่อความรับผิดชอบในการปฏิบัติตามข้อกำหนดของคุณบน AWS

ยินดีต้อนรับสู่คู่มือรวบรวมโซลูชันการปฏิบัติตามข้อกำหนดของ AWS! คู่มือฉบับนี้ออกแบบมาเพื่อให้คุณมีคลังสำหรับเก็บทรัพยากรและกระบวนการที่ใช้บ่อยซึ่งจำเป็นต่อความรับผิดชอบในการปฏิบัติตามข้อกำหนดของคุณบน AWS

AWS ให้ความสำคัญกับความปลอดภัยเป็นอันดับแรก ปัจจุบัน AWS คอยปกป้องลูกค้าที่ใช้งานอยู่นับหลายล้านคนทั่วโลก ตั้งแต่องค์กรขนาดใหญ่และองค์กรภาครัฐไปจนถึงธุรกิจสตาร์ทอัพและองค์กรที่ไม่แสวงหาผลกำไร ด้วยความสัมพันธ์เหล่านี้ เราจึงได้พัฒนาทรัพยากรที่ดีที่สุดเพื่อให้ลูกค้าจากทุกอุตสาหกรรมสามารถเข้าใจวิธีที่จะปฏิบัติตามข้อกำหนดใน AWS Cloud ได้อย่างรวดเร็ว ลูกค้า AWS จะได้รับประโยชน์ทั้งหมดจากประสบการณ์ของเรา รวมถึงแนวทางปฏิบัติที่ดีที่สุดสำหรับนโยบายด้านความปลอดภัย สถาปัตยกรรม และกระบวนการปฏิบัติงานที่ผ่านการตรวจสอบกับกรอบการรับประกันภายนอก

AWS ได้แสดงให้เห็นถึงความปลอดภัยและสภาพแวดล้อมของการควบคุมที่เกี่ยวข้องกับลูกค้าโดยจัดทำสิ่งต่อไปนี้

  • การรับรองมาตรฐานอุตสาหกรรมและการให้การรับรองโดยบุคคลภายนอกที่ระบุไว้ด้านล่าง
  • ข้อมูลเกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยและการควบคุมของ AWS ในเอกสารรายงานและเนื้อหาเว็บ
  • ใบรับรอง รายงาน และเอกสารอื่นๆ ที่จัดเตรียมให้แก่ลูกค้า AWS โดยตรงภายใต้ข้อตกลง NDA

โซลูชันสำหรับการปฏิบัติตามข้อกำหนด


แนวทางปฏิบัติที่ดีที่สุดสำหรับการเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS คือ การใช้คอนโซลผ่าน AWS Artifact AWS Artifact จัดให้มีบริการด้วยตนเองตามความต้องการในการเข้าถึงรายงานการปฏิบัติตามข้อกำหนดของ AWS ล่าสุดแก่ลูกค้า เมื่อ AWS เผยแพร่รายงานฉบับใหม่ รายงานดังกล่าวก็พร้อมให้ดาวน์โหลดใน AWS Artifact ได้ทันที นอกเหนือจากการเข้าถึงตามต้องการแล้ว ยังได้รับประโยชน์อีกสามประการในการใช้ AWS Artifact ดังต่อไปนี้

  1. ไม่ต้องกรอกข้อมูลบัตรเครดิต ไม่มีค่าใช้จ่ายเกี่ยวกับการสร้างบัญชีหรือการใช้พอร์ทัล AWS Artifact
  2. ซึ่งสามารถตั้งค่าบัญชีสำหรับผู้ใช้รายอื่นผ่าน IAD ได้
  3. ปฏิบัติตามข้อตกลง NDA ได้ง่ายๆ ด้วยการคลิก

โปรดทราบว่าการให้การรับรองจากบุคคลภายนอก การรับรอง รายงานการตรวจสอบการควบคุมการทำงานองค์กร (SOC) และรายงานการปฏิบัติตามข้อกำหนดที่เกี่ยวข้องอื่นๆ ทั้งหมดนั้นจำเป็นต้องมี NDA แต่มีข้อยกเว้นคือ การรับรองมาตรฐาน ISO 27001 ของ AWS และรายงาน SOC 3 ของ AWS ซึ่งเผยแพร่สู่สาธารณะ

หากคุณมีบัญชี AWS และพร้อมที่จะเริ่มใช้งาน AWS Artifact คุณสามารถใช้ทรัพยากรที่ด้านล่างนี้เพื่อทำความคุ้นเคยกับคุณสมบัตินี้ในคอนโซล หากคุณยังไม่มีบัญชี AWS คุณสามารถสร้างบัญชีได้โดยใช้ขั้นตอนเหล่านี้

เว็บไซต์ AWS Artifact – เว็บไซต์นี้จะให้ข้อมูลเบื้องต้นเกี่ยวกับ Artifact และ คู่มือ Getting Started Quick พร้อมคำแนะนำทีละขั้นตอนเกี่ยวกับวิธีการเข้าสู่คอนโซลและดาวน์โหลดรายงาน รวมถึงหน้า คำถามที่พบบ่อยเกี่ยวกับ AWS Artifact พร้อมรายการทั้งหมดเกี่ยวกับคำถามที่พบบ่อย

คำถามด้านล่างนี้เป็นสถานการณ์ที่พบบ่อยที่สุด ตัวอย่างเช่น

ในกรณีที่คุณต้องการความช่วยเหลือในการตอบแบบสอบถามด้านความปลอดภัยเพื่อจัดทำเอกสารความปลอดภัยและจุดยืนด้านการปฏิบัติตามข้อกำหนดของ AWS AWS มีวิธีการแนะนำที่ออกแบบมาเพื่อมอบทรัพยากรที่ตอบคำถามด้านความปลอดภัยและการปฏิบัติตามข้อกำหนดของคุณอย่างเหมาะสมในบริบทของระบบคลาวด์และโมเดลธุรกิจของ AWS ขั้นตอนนี้ช่วยทำให้มั่นใจได้ว่าลูกค้าของเราทุกคนจะได้รับคำตอบที่สอดคล้องกันซึ่งผ่านการตรวจสอบโดยผู้ตรวจสอบภายนอกของเราแล้ว

AWS Artifact เป็นสถานที่ในการเข้าเยี่ยมชมที่แรกเนื่องจากเป็นที่ตั้งของรายงานการปฏิบัติตามข้อกำหนดทั้งหมด AWS ได้รับการตรวจสอบหลายครั้งตลอดทั้งปีโดยผู้ตรวจสอบภายนอก ซึ่งส่วนใหญ่จะดำเนินการตามมาตรฐานความปลอดภัยระหว่างประเทศ เช่น ISO 27001, PCI และ SOC คุณสามารถใช้รายงานเหล่านี้เพื่อตอบคำถามในแบบสอบถามด้านความปลอดภัยใดๆ ที่คุณอาจได้รับ

นอกจากนี้ยังมีทรัพยากรหลายประเภททางออนไลน์เพื่อตอบคำตอบสำหรับคำถามที่พบบ่อย เอกสารสองรายการที่ใช้บ่อยที่สุดสำหรับแบบสอบถามคือ

แบบสอบถามเบื้องต้นเกี่ยวกับการประเมินฉันทามติ – The Cloud Security Alliance (CSA) เป็นองค์กรไม่แสวงหาผลกำไรที่มีภารกิจในการส่งเสริมการใช้แนวทางปฏิบัติที่ดีที่สุดสำหรับการประกันความปลอดภัยภายในการประมวลผลระบบคลาวด์ แบบสอบถามเบื้องต้นเกี่ยวกับการประเมินฉันทามติของ CSA จะมีชุดคำถามที่ CSA คาดการณ์ว่าผู้บริโภคระบบคลาวด์และ/หรือผู้ตรวจสอบจะสอบถามจากผู้ให้บริการระบบคลาวด์ ซึ่งมีชุดคำถามเกี่ยวกับการรักษาความปลอดภัย การควบคุม และกระบวนการที่นำใช้ได้กับการใช้งานที่หลากหลาย รวมถึงการเลือกผู้ให้บริการระบบคลาวด์และการประเมินการรักษาความปลอดภัย เอกสารนี้มีคำตอบจาก AWS สำหรับแบบสอบถามของ CSA

เอกสารรายงานความเสี่ยงและการปฏิบัติตามข้อกำหนด – เอกสารฉบับนี้มีวัตถุประสงค์เพื่อให้ข้อมูลสำหรับช่วยเหลือลูกค้าของ AWS ในการรวม AWS เข้ากับกรอบการควบคุมที่มีอยู่ซึ่งสนับสนุนสภาพแวดล้อมด้าน IT ของตน ซึ่งมีวิธีการพื้นฐานในการประเมินการควบคุมของ AWS และให้ข้อมูลเพื่อช่วยเหลือลูกค้าในการผสานรวมสภาพแวดล้อมในการควบคุม เอกสารฉบับนี้ยังระบุถึงข้อมูลเฉพาะของ AWS ในรูปแบบคำถามเกี่ยวกับการปฏิบัติตามข้อกำหนดด้านการประมวลผลระบบคลาวด์ทั่วไป มาพร้อมคำอธิบายโดยละเอียดเกี่ยวกับ AWS Certification โปรแกรม รายงาน และการให้การรับรองจากบุคคลภายนอกทั้งหมด แบบสอบถาม CSA จะรวมอยู่ในภาคผนวกของเอกสารฉบับนี้

หากคุณยังต้องการความช่วยเหลือในการตอบคำถาม โปรดติดต่อผู้จัดการบัญชีฝ่ายขายของ AWS และคุณจะได้รับคำแนะนำไปยังทรัพยากรที่เหมาะสม

ตัวอย่างแบบสอบถามด้านความปลอดภัย

การควบคุม คำถาม คำตอบ เอกสารอ้างอิงของ AWS
การเข้ารหัส บริการที่มีให้รองรับการเข้ารหัสหรือไม่

รองรับ AWS อนุญาตให้ลูกค้าใช้กลไกการเข้ารหัสของตนเองสำหรับบริการเกือบทั้งหมด ได้แก่ S3, EBS, SimpleDB และ EC2 ช่องสัญญาณ IPSec ไปยัง VPC นั้นได้รับการเข้ารหัสด้วยเช่นกัน Amazon S3 ยังมี Server Side Encryption เป็นตัวเลือกสำหรับลูกค้า ลูกค้ายังสามารถใช้เทคโนโลยีการเข้ารหัสของบุคคลภายนอกได้ด้วยเช่นกัน

เอกสารรายงานด้านความปลอดภัยของ AWS
การควบคุมทางกายภาพและสิ่งแวดล้อม

มีการควบคุมทางกายภาพและสิ่งแวดล้อมโดยผู้ให้บริการระบบคลาวด์ที่ระบุหรือไม่

มี มีการระบุไว้โดยเฉพาะในรายงาน SOC 1 Type II นอกจากนี้ การรับรอง AWS ด้วยใบรับรองอื่นๆ เช่น ISO 27001 และ FedRAMPsm จะต้องการการควบคุมทางกายภาพและสิ่งแวดล้อมที่ดีที่สุด

แพ็กเกจ FedRAMP, รายงานมาตรฐาน ISO 27001, SOC 1
การฝึกอบรมทรัพยากรมนุษย์ / การตระหนักรู้

เป็นโปรแกรมการฝึกอบรมเพื่อสร้างความตระหนักรู้เรื่องความปลอดภัยบนพื้นฐานของบทบาทอย่างเป็นทางการสำหรับการเข้าถึงและการจัดการข้อมูลที่เกี่ยวข้องกับระบบคลาวด์ (เช่น ระบบแบบหลายผู้เช่า สัญชาติ การแบ่งแยกหน้าที่ตามรูปแบบการส่งผ่านระบบคลาวด์ และผลประโยชน์ทับซ้อน) สำหรับทุกคนที่สามารถเข้าถึงข้อมูลผู้เช่าได้ใช่หรือไม่

ใช่ เพื่อให้สอดคล้องกับมาตรฐาน ISO 27001 พนักงานของ AWS ทุกคนจะได้รับการฝึกอบรมด้านความปลอดภัยของข้อมูลอยู่เป็นระยะซึ่งจะต้องมีการตอบรับ มีการตรวจสอบอยู่เป็นระยะเกี่ยวกับการปฏิบัติตามกฎระเบียบเพื่อให้พนักงานเข้าใจและปฏิบัติตามนโยบายที่กำหนดไว้

ดูรายงานการปฏิบัติตามข้อกำหนด SOC, PCI DSS, ISO 27001 และ FedRAMP

สิ่งเหล่านี้เป็นความท้าทายที่พบบ่อยที่สุดที่พบกับ HIPAA BAA หากต้องการเข้าถึงแหล่งข้อมูลที่เกี่ยวข้องกับ BAA เพิ่มเติม รวมถึงรายการทั้งหมดของคำถามที่พบบ่อยเกี่ยวกับ HIPAA, วิดีโอแนะนำ BAA, เอกสารรายงาน ฯลฯ โปรดไปที่ หน้าการปฏิบัติตามข้อกำหนด AWS HIPAA ของ AWS หลัก

ถาม: ฉันสามารถขอรับสำเนา BAA ที่มีอยู่ของฉันได้หรือไม่

ตอบ: เวอร์ชัน BAA ใน Artifact และสำเนาไม่แตกต่างกัน และเมื่อใช้งาน Artifact คุณจะสามารถดาวน์โหลดสำเนา BAA ได้ทั้งก่อนและหลังยอมรับข้อกำหนด หากมี BAA ออฟไลน์อยู่ คุณสามารถติดต่อตัวแทนฝ่ายขายเพื่อรับสำเนาได้

ถาม: ฉันต้องการเอกสารที่นำมาแสดง A เพื่อยืนยันบัญชีได้เพิ่มไปแล้วยัง BAA ที่มีอยู่ หรือต้องการหลักฐานที่แสดงว่าบัญชีที่ระบุนั้นได้รับการคุ้มครองภายใต้ BAA

ตอบ: AWS ไม่ได้ออกเอกสารที่นำมาแสดงที่อัปเดตบัญชีเพิ่มเติมต่อไปนี้จะอยู่ภายใต้ BAA ที่มีอยู่ คุณจะสามารถกำหนดบัญชีใหม่ด้วยตนเองในคอนโซลได้ทันทีโดยใช้ Artifact หลังจาก BAA ได้รับการยอมรับใน Artifact คุณสามารถลงชื่อเข้าใช้คอนโซลได้ด้วย ID บัญชีและยืนยันว่ามีสถานะเป็นใช้งานได้ หากต้องการเพิ่มบัญชีใหม่ คุณสามารถทำได้ด้วยตนเอง  หากต้องการยืนยันสถานะการให้การคุ้มครองและแบ่งปัน BAA กับผู้ตรวจสอบหรือหน่วยงานกำกับดูแล มี PDF ให้ดาวน์โหลดได้ นอกจากนี้ สถานะยังทำหน้าที่เป็นหลักฐานในการให้ความคุ้มครอง

ถาม: ฉันไม่มีความสามารถในการเข้าสู่ BAA หรือฉันไม่สามารถทำเครื่องหมายในช่องสำหรับ NDA ได้

ตอบ: ปัญหานี้เกิดจากข้อผิดพลาดเกี่ยวกับสิทธิ์ บุคคลหรือทีมที่จัดการคำขอ IAM สำหรับบัญชี AWS ของคุณสามารถแก้ไขปัญหานี้ได้โดยการปรับสิทธิ์ ดูข้อมูลเพิ่มเติมเกี่ยวกับการตั้งค่าบัญชี IAM ได้ ที่นี่

ทรัพยากรสำหรับการปฏิบัติตามข้อกำหนดของ AWS เพิ่มเติม


header-icon_apn-partner-programs-orange

หน้าบริการในขอบเขต จะให้รายละเอียดว่าบริการใดที่อยู่ในขอบเขต และบริการใดกำลังดำเนินการอยู่ คุณยังสามารถติดต่อผู้จัดการบัญชีฝ่ายขายของ AWS และ SA เกี่ยวกับความต้องการเฉพาะสำหรับบางบริการได้

header-icon_apn-partner-programs-orange

บล็อกความปลอดภัยของ AWS เป็นวิธีการที่ยอดเยี่ยมในการติดตามการอัปเดตล่าสุดทั้งหมดของโปรแกรมความปลอดภัยของ AWS

header-icon_apn-partner-programs-orange

สำหรับข้อมูลเกี่ยวกับประสบการณ์ของลูกค้าในปัจจุบันของ AWS โปรดไปที่หน้าคำนิยมของลูกค้าซึ่งแสดงกรณีศึกษาจากลูกค้าของเราในทุกอุตสาหกรรม

header-icon_apn-partner-programs-orange

หากคุณต้องการข้อมูลเพิ่มเติมเกี่ยวกับกฎเกณฑ์ในการปฏิบัติตามข้อกำหนดเฉพาะ โปรดดูที่หน้าต่อไปนี้สำหรับคำถามที่พบบ่อย

header-icon_apn-partner-programs-orange

เส้นทางการเรียนรู้ของผู้ตรวจสอบของ AWS เป็นทรัพยากรที่ได้รับการออกแบบมาโดยเฉพาะสำหรับผู้ตรวจสอบ ผู้ตรวจสอบการปฏิบัติตามกฎ และเจ้าหน้าที่ทางกฎหมายที่ต้องการเรียนรู้ว่าการปฏิบัติงานภายในของพวกเขาสามารถแสดงให้เห็นถึงการปฏิบัติตามกฎอย่างสอดคล้องได้อย่างไร ด้วยการใช้งานแพลตฟอร์มของ AWS

compliance-contactus-icon
มีคำถามหรือไม่ เชื่อมต่อกับตัวแทนธุรกิจของ AWS
ต้องการสำรวจบทบาทด้านการปฏิบัติตามข้อกำหนดใช่ไหม
สมัครวันนี้ »
ต้องการข่าวสารการอัปเดตเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS ใช่ไหม
ติดตามเราบน Twitter »