AWS 合規解決方案指南


在 AWS 執行合規責任所需的常用資源和處理程序儲存庫。

歡迎使用 AWS 合規解決方案指南! 本指南旨在提供在 AWS 執行合規責任所需的常用資源和處理程序儲存庫。

AWS 安全性是我們的首要考量。如今,AWS 保護全球數百萬作用中客戶,從大型企業和政府機構,到新創公司和非營利組織,都是我們保護的對象。透過這些關係,我們開發絕佳的資源,使任何產業的客戶都能夠迅速瞭解如何在 AWS 雲端中實現合規性。AWS 客戶承襲我們經驗的所有優勢,包括針對外部保證框架驗證的安全策略、架構和操作流程所訂定的最佳實務。

AWS 透過執行下列操作來傳達與客戶相關的安全和控制環境:

  • 產業認證和獨立第三方證明,如下所列
  • 與白皮書和 Web 內容中的 AWS 安全性和控制做法有關的資訊
  • 根據 NDA 直接向 AWS 客戶提供的憑證、報告和其他文件

合規解決方案


存取 AWS 合規性報告的最佳實務是藉由 AWS Artifact 透過主控台進行。AWS Artifact 為客戶提供對最新 AWS 合規性報告的隨需自助服務存取。AWS 發佈新報告時,即可在 AWS Artifact 中下載這些報告。除了按需存取之外,使用 AWS Artifact 還有三個優點:

  1. 不需要輸入信用卡。建立帳戶或使用 AWS Artifact 入口網站不會產生任何費用。
  2. 提供透過 IAD 為其他使用者設定帳戶的功能。
  3. 點擊 NDA 更加方便。

請注意,所有第三方證明、認證、服務組織控制 (SOC) 報告和其他相關合規報告都需要 NDA。AWS ISO 27001 認證和公開提供的 AWS SOC 3 報告例外。

如果您擁有 AWS 帳戶並準備開始使用 AWS Artifact,則可以使用下列資源在主控台中熟悉此功能。如果您還沒有 AWS 帳戶,可以使用這些步驟建立帳戶

AWS Artifact 網站 - 本網站為您提供有關 Artifact 的基本資訊,包括入門快速指南,逐步說明如何登入主控台和下載報告,以及 AWS Artifact 常見問題集頁面,其中包含所有常見問題的完整清單。

下列是一些產生問題的最常見情況:

如果您需要協助來填寫安全問卷以記錄 AWS 安全性和合規性,AWS 會提供一種建議的方法,為您提供在雲端和 AWS 業務模型環境中適當解決您安全性和合規性問題的資源。此程序可確保為所有客戶提供經過第三方稽核員驗證的一致答案。

AWS Artifact 包含所有合規性報告,是您查詢相關資料的首選資源。AWS 由第三方稽核員全年進行多次稽核,其中大部份按照國際安全標準進行,例如 ISO 27001、PCI 和 SOC。您可以使用這些報告回答安全問卷上的任何相關問題。

此外,還有幾種類型的線上資源可以為一些最常見的問題提供答案。 調查問卷的兩個最常用文件是:

共識評估倡議調查問卷 - 雲端安全聯盟 (CSA) 是非營利組織,宗旨是在雲端計算中促進使用最佳實務達到安全保障。CSA 共識評估倡議調查問卷提供 CSA 預期雲端消費者和/或稽核員會向雲端供應商詢問的一系列問題。這提供一系列安全、控制和流程問題,可用於廣泛的用途,包括雲端供應商選擇和安全評估。本文件包含 AWS 對 CSA 調查問卷的答案。

風險及合規白皮書 – 本文件旨在為 AWS 客戶提供資訊,協助他們將 AWS 整合到支援其 IT 環境的現有控制架構中。包含評估 AWS 控制項的基本方法,並提供資訊以協助客戶整合控制環境。本文件還提供有關一般雲端運算合規性問題中關於 AWS 的特定資訊。有關於全部 AWS 認證、計劃、報告與第三方認證的詳細說明。CSA 調查問卷包含在本文件的附錄中。

如果您仍然需要協助回答問題,請聯絡 AWS 銷售客戶經理協助您找到適當的資源。

安全調查問卷範例

控制 問題 解答 AWS 參考文件
加密 提供的服務是否支援加密?

是。AWS 允許客戶使用自己的加密機制處理幾乎所有的服務,包括 S3,EBS,SimpleDB 和 EC2。通往 VPC 的 IPSec 通道也經過加密。Amazon S3 也為客戶提供伺服器端加密選項。客戶也可以使用第三方加密技術。

AWS 安全白皮書
實體和環境控制

指定的雲端供應商是否操作實體和環境控制?

是。這些在 SOC 1 Type II 報告中有詳細說明。此外,AWS 支援的其他認證 (例如 ISO 27001 和 FedRAMPsm) 需要最佳實務實體和環境控制。

FedRAMP 套件、ISO 27001 報告、SOC 1
人力資源培訓 / 認知

對於與雲端有關的存取和資料管理問題 (例如,多租用、國籍、雲端交付模型、職責劃分和利益衝突),是否為有權存取租用戶資料的所有人員提供以角色為基礎的安全認知培訓計劃?

是。根據 ISO 27001 標準,所有 AWS 員工都需要完成定期資訊安全培訓,這類培訓需要完成確認。定期執行合規稽核,確定員工了解並遵守已制定的政策。

請參閱 SOC、PCI DSS、ISO 27001 和 FedRAMP 合規報告

這些是 HIPAA BAA 遇到的一些最常見挑戰。若要取得更多 BAA 相關資源,包括 HIPAA 常見問答集、BAA 教學視訊、白皮書等等的完整清單,請造訪主要 AWS HIPAA 合規頁面

問:我是否可以取得現有 BAA 的原始紙本?

答:Artifact 中的 BAA 版本和原始紙本毫無不同。使用 Artifact 時,您始終都能夠在接受條款之前和之後下載 BAA 的副本。如果您有現有的離線 BAA,您可以聯絡銷售代表取得副本。

問:我需要一個附錄 A 確認已經在現有 BAA 中新增帳戶,或者我需要證據證明 BAA 涵蓋某個帳戶。

答:AWS 不會在現有 BAA 涵蓋其他帳戶之後發佈更新的附錄 A。使用 Artifact 後,您就能夠在主控台中立即指定新帳戶自助服務。在 Artifact 中接受 BAA 後,您可以使用帳戶 ID 登入主控台並確認狀態為作用中。如果您想要新增帳戶,可以使用自助服務。  若要確認涵蓋狀態並與稽核員或管理者共用 BAA,可以下載 pdf。此外,該狀態也可做為涵蓋範圍的證據。

問:我無法進入 BAA,或者我無法勾選 NDA 的方塊。

答:此問題源自於權限錯誤。處理 AWS 帳戶 IAM 請求的個人或團隊可以透過調整權限來解決此問題。設定 IAM 帳戶的詳細資訊可以在此處找到。

其他 AWS 合規資源


header-icon_apn-partner-programs-orange

「服務範圍」頁面將詳細說明哪些服務目前在哪些範圍內,以及哪些服務正在進行中。您也可以聯絡 AWS 銷售客戶經理和 SA,了解特定服務的任何特定需求。

header-icon_apn-partner-programs-orange

AWS Security 部落格是掌握 AWS Security 計劃所有最新更新的好方法。

header-icon_apn-partner-programs-orange

如需 AWS 目前客戶體驗的一些資訊,請造訪我們的客戶見證頁面,其中列出對於來自各行各業的客戶進行的案例研究

header-icon_apn-partner-programs-orange

如果您需要特定合規方案的詳細資訊,請參閱下列頁面取得常見問答集:

header-icon_apn-partner-programs-orange

對於擔任稽核員、合規及法務角色且想了解如何使用 AWS 平台展現內部操作合規性的人員而言,AWS 稽核員學習路徑是專為這些人設計的資源。

compliance-contactus-icon
有問題? 聯絡 AWS 業務代表
探索合規職缺?
立即申請 »
需要 AWS 合規更新?
在 Twitter 上關注我們 »