MPAA 和 Studio 安全

概觀

MPAAIcon

美國電影協會 (MPAA) 建立了一套最佳實務,用來安全地存放、處理和交付受保護的媒體和內容。媒體公司使用這些最佳實務來評估其內容與基礎設施的風險和安全。

MPAA 不提供「認證」,但媒體產業客戶可以使用 AWS MPAA 指南 (其中闡述 AWS 符合 MPAA 最佳實務),以擴大 AWS 上 MPAA 類型內容的風險評估和評量。

AWS 還為 AWS 提供 AWS 平台和 Studio 安全範本的第三方評估。透過 AWS Artifact 請求存取這個文件。

  • 執行階層的安全認知/監管

    最佳實務

    確保執行管理層/擁有者要求定期檢閱資訊安全計劃和風險評估結果,以監管資訊安全功能。

    AWS 實作

    Amazon 的管制環境開始於公司的最高層級。執行長和高階領導層對於建立公司的基調和核心價值扮演重要的角色。AWS 建立了以系統和組織控制 (SOC) 架構為基礎的資訊安全架構和政策,並有效整合以 ISO 27002 控制為基礎的 ISO 27001 認證架構、PCI DSS v3.2 和美國國家標準與技術研究院 (NIST) 出版物 800-53 Rev 3 (聯邦資訊系統的推薦安全控制)。AWS 員工的完整週期性角色培訓包含 AWS 安全培訓。我們會進行合規稽核,確定員工了解並遵守已制訂的政策。

  • 風險管理

    最佳實務

    開發正式的安全風險評估程序,重點放在內容工作流程和敏感資產,以便識別並優先排列與機構相關的內容竊取和洩漏風險。

    AWS 實作

    AWS 實作正式且有文件記錄的風險評估政策,每年至少會更新和檢閱一次。這個政策提出用途、範圍、職務、責任和管理承諾。

    為了遵守此政策,AWS 合規團隊會進行涵蓋所有 AWS 區域和業務的年度風險評估,並由 AWS 高階管理層審閱。這是獨立稽核員進行的認證、鑑定和報告以外附加的項目。風險評估的目的是為了識別 AWS 的威脅和漏洞、為威脅和漏洞指派風險評分、建立評估的正式文件,以及建立解決問題的風險處理計劃。AWS 高階管理層會定期審閱風險評估結果,如果年度風險評估前出現重大變化而需要新的風險評估時,管理層也會審閱評估結果。

    客戶保留其資料 (內容) 的擁有權,且要負責評估和管理資料工作流程中的風險以符合其合規要求。

    獨立的外部稽核員稽核我們的 SOC、PCI DSS、ISO 27001 和 FedRAMP 合規時,也會審閱 AWS 風險管理架構。

  • 安全組織

    最佳實務

    識別安全關鍵聯絡人,正式定義內容和資產保護的職務和責任。

    AWS 實作

    AWS 有一個由資訊安全執行長 (CISO) 領導的成熟資訊安全組織,由 AWS 安全團隊負責管理。AWS 維護並提供安全認知培訓給支援 AWS 的所有資訊系統使用者。這個年度安全認知培訓包含下列主題:安全和認知培訓的用途、所有 AWS 政策的位置、AWS 事件反應程序 (包括如何呈報內部和外部安全事件的指示)。

    AWS 內部的系統已廣泛地設計成監控關鍵操作和安全指標。同時也已設定警示,當關鍵指標超過早期警告閾值時自動通知操作和管理人員。超過閾值時,會啟動 AWS 事件反應程序。Amazon 事件反應團隊在發生影響業務的事件上運用產業標準診斷程序並推動解決方法。工作人員全年無休的偵測事件並管理解決方案的影響。

    獨立的外部稽核員稽核我們的 SOC、PCI DSS、ISO 27001 和 FedRAMP 合規時,也會審閱 AWS 的職務和責任。

  • 政策和程序

    最佳實務

    制訂有關資產和內容安全的政策和程序;政策應該至少提出下列主題:
    • 人力資源政策
    • 可接受的用途 (例如,社交聯網、網際網路、手機等等)
    • 資產分類
    • 資產處理政策
    • 數位記錄裝置 (例如,智慧型手機、數位相機、攝影機)
    • 例外狀況政策 (例如,記錄政策偏差的程序)
    • 密碼控制 (例如,密碼最短長度、螢幕保護程式)
    • 禁止從機構移動客戶資產
    • 系統變更管理
    • 告密者政策
    • 獎懲政策 (例如,懲戒政策)

    AWS 實作

    AWS 建立了以系統和組織控制 (SOC) 架構為基礎的資訊安全架構和政策,並有效整合以 ISO 27002 控制為基礎的 ISO 27001 認證架構、PCI DSS v3.2 和美國國家標準與技術研究院 (NIST) 出版物 800-53 Rev 3 (聯邦資訊系統的推薦安全控制)。

    AWS 維護並提供安全認知培訓給支援 AWS 的所有資訊系統使用者。這個年度安全認知培訓包含下列主題:安全和認知培訓的用途、所有 AWS 政策的位置、AWS 事件反應程序 (包括如何呈報內部和外部安全事件的指示)。

    獨立的外部稽核員稽核我們的 SOC、PCI DSS、ISO 27001 和 FedRAMP 合規時,也會審閱 AWS 的政策、程序和相關的培訓計劃。

  • 事件反應

    最佳實務

    制訂正式的事件反應計劃,描述偵測並呈報安全事件後要採取的動作。

    AWS 實作

    AWS 實作正式、記錄在案的事件反應政策和計劃。這個政策提出用途、範圍、職務、責任和管理承諾。

    AWS 使用三階段方法來管理事件:

    1. 啟用和通知階段:AWS 的事件從偵測到事件開始。這可以來自多個來源,例如:

    a. 指標和警示 – AWS 維護一個例外狀況認知功能,可透過即時指標和服務儀表板全年無休的監控和警示功能快速偵測到大部分的問題。絕大多數的事件都是透過這種方式偵測到的。AWS 使用早期指示器警示,主動地識別最終會衝擊到客戶的問題。
    b. AWS 員工輸入的故障單。
    c. 撥打全年無休技術支援熱線。

    如果事件達到事件條件,則相關的值班支援工程師會啟動 AWS 事件管理工具,開始介入並呼叫相關的計劃解決人員。這些解決人員會分析事件以判斷是否需要其他解決人員介入,同時也會判斷可能的根本原因。

    2. 復原階段 – 相關的解決人員會執行故障修復來解決事件。進行故障診斷、故障修復和解決受影響的元件後,電話中心的主管會指派後續步驟,以記錄追蹤文件及後續動作,然後結束電話互動。

    3. 重建階段 – 相關的修正活動完成之後,電話中心主管會宣告完成復原階段。事件的事後檢討和深層的根源分析會指派給相關的團隊。相關的高階管理層會審閱事後檢討的結果,而相關的動作 (如設計變更等)會記錄在錯誤校正 (COE) 文件中並追蹤直到完成。

    除了上面詳述的內部溝通機制之外,AWS 也會實作各種外部溝通方法來支援其客戶群和社群。設定機制後,可讓客戶支援團隊收到會影響客戶體驗操作問題的通知。客戶支援團隊會提供並維護「服務運作狀態儀表板」,提醒客戶可能產生廣泛影響的任何問題。

    獨立的外部稽核員稽核我們的 SOC、PCI DSS、ISO 27001 和 FedRAMP 合規時,也會審閱 AWS 的事件管理方案。

    內容 (資料) 的工作流程文件是 AWS 客戶的責任,因為客戶保有其訪客作業系統、軟體、應用程式和資料的擁有權和控制權。

  • 人員管理

    最佳實務

    對公司所有人員和第三方工作人員進行背景篩選審查。

    AWS 實作

    AWS 會在適用法律允許範圍內進行犯罪背景審查,這是針對員工職位和 AWS 設施存取層級的員工聘用前篩選作業的一部分。

    獨立的外部稽核員稽核我們的 SOC、PCI DSS、ISO 27001 和 FedRAMP 合規時,也會審閱 AWS 的背景審查計劃。

  • 保密合約

    最佳實務

    要求公司所有人員和第三方工作人員在聘用當日簽署保密合約 (例如保密協議),之前每年重新簽署,該合約包括處理和保護內容的要求。

    AWS 實作

    Amazon 法律顧問管理並定期修訂 Amazon 保密協議 (NDA) 以反映 AWS 商業需求。

    獨立外部稽核員稽核我們的 ISO 27001 和 FedRAMP 合規時,會審閱 AWS 保密協議 (NDA) 的使用。

  • 記錄和監控

    最佳實務

    記錄和審閱限制區域的電子監控設備以找尋可疑事件。

    AWS 實作

    專業安全人員會利用視訊監控、入侵偵測系統和其他電子設備,控管週邊設施和建築物入口等處的人員進出。

    AWS 資料中心的所有進出口,包括大門、卸貨處和任何屋頂逃生門/出入口都裝設了入侵偵測裝置,如果強制開啟逃生門或保持開啟時,會立刻鳴響警鈴,也會在 AWS 中央監控中心建立一個警示。

    除了電子監控設備以外,AWS 資料中心還僱有訓練有素的警衛全天候看守和巡邏建物。警衛會調查所有警示,並記錄所有事件的根本原因。所有警示已設定為如果未在 SLA 時間內做出回應則會自動呈報。

    伺服器地點的進出口由閉路電視攝影機 (CCTV) 記錄,如 AWS 資料中心實體安全政策中的規範。影像記錄會保留 90 天,除非法律或合約上規定只限保留 30 天。

    獨立的外部稽核員稽核我們的 SOC、PCI DSS、ISO 27001 和 FedRAMP 合規時,也會審閱 AWS 實體安全機制。

  • 資產監控

    最佳實務

    實作內容資產管理系統,提供實體資產的 (也就是用戶端及新建立的) 詳細追蹤。

    AWS 實作

    內容資產管理由 AWS 客戶擁有、實作和操作。這是客戶的責任,用於客戶實體資產的清單追蹤。

    對於 AWS 資料中心環境,所有新資訊系統元件,包括但不限於伺服器、機架、網路裝置、硬碟、系統硬體元件以及建築材料,運送到資料中心並由資料中心簽收時都必須事先得到資料中心經理的授權,並在收到時通知他。貨物要送到每個 AWS 資料中心的卸貨處,檢查包裝是否有任何損壞或竄改跡象後,再由 AWS 的全職員工簽收。貨運抵達時,會掃描貨品,並記錄至 AWS 資產管理系統和裝置庫存追蹤系統。

    收到貨品後會放置在資料中心的設備儲藏室,需要掃描徽章和 PIN 密碼才能進出該儲藏室,直到將它安裝到資料中心現場。貨品離開資料中心之前,要進行掃描、追蹤和消毒,才能授權運出資料中心。

    獨立外部稽核員稽核我們的 PCI DSS、ISO 27001 和 FedRAMP 合規時,會審閱 AWS 資產管理流程和程序。

  • 網際網路

    最佳實務

    禁止網際網路存取用來處理或存放數位內容的系統 (桌上型電腦/伺服器)。

    AWS 實作

    採用規則集、存取控制清單 (ACL) 和組態的邊界保護裝置,強制網路架構之間的資訊流。這些裝置採用全部拒絕模式的組態,需要已核准的防火牆設定允許連線。請參閱 DS-2.0,了解 AWS 網路防火牆管理的其他資訊。

    AWS 資產本身沒有固有的電子郵件功能,也沒有使用連結埠 25。客戶 (例如,工作室、處理機構等等)可以利用一個系統來託管電子郵件功能,不過,如果是這種情況,則客戶有責任在電子郵件進出點使用適當層級的垃圾郵件和惡意軟體保護,並在新的發行版推出時更新圾郵件和惡意軟體定義。

    Amazon 資產 (例如筆記型電腦) 已配置防毒軟體,其中包括電子郵件過濾和惡意軟體偵測的功能。

    獨立第三方稽核員稽核 AWS 的 SOC、PCI DSS、ISO 27001 和 FedRAMP 合規時,也會審閱 AWS 網路防火牆管理和 Amazon 防毒軟體計劃。

  • AWS 平台和 Studio 安全範本的第三方評估。

    除了 MPAA 之外,大多數 Content Studios (例如 Disney/Marvel) 都有自己的一套安全規定而且要求服務供應商和增值服務的雲端或現場部署環境須由第三方稽核人員審核。預先發行標題的 VFX/動畫內容雲端式爆量呈現就是最佳的範例。

    AWS 與第三方稽核人員合作,評估 AWS 平台的 VFX/動畫呈現環境。第三方稽核人員還會根據 Studio 主要規定來編寫涉及 AWS 安全控制的安全最佳實務範本文件。這個文件可用於在 AWS 上建立 Studio 核准的 VFX/動畫呈現環境。

    透過 AWS Artifact 請求存取 AWS Security Controls for Studio Security Requirements 文件。

compliance-contactus-icon
有問題?與 AWS 合規代表聯繫
探索合規職缺?
立即申請 »
需要 AWS 合規更新?
在 Twitter 上關注我們 »