AWS Audit Manager 专业2020年〜
自动化合规审计的证据收集和评估的服务
它能做什么
AWS Audit Manager 是一项自动化收集 AWS 环境合规审计所需证据的服务。提供 GDPR、PCI DSS、SOC 2 等行业标准框架的预构建评估模板,从 AWS Config 和 CloudTrail 等自动收集和整理相关证据。大幅减少审计准备的手工工作。
使用场景
用于 SOC 2 和 PCI DSS 年度审计的证据收集自动化、持续监控内部安全策略的合规状况、高效制作提交给审计事务所的资料等。也用于多账户环境的集中合规管理。
日常类比
可以将其比作公司内部审计部门的助手。自动从各部门收集审计所需的文件(证据),按照检查清单进行整理。审计员无需四处奔波收集文件,可以专注于内容确认和判断。
什么是 AWS Audit Manager
AWS Audit Manager 是一项提高云环境合规审计效率的托管服务。以往审计应对需要截图和手动收集日志等大量手工操作。Audit Manager 自动化这些证据收集工作,按评估框架进行整理。由于持续从 AWS 各服务收集数据,无需在审计期临近时匆忙准备。
框架与评估
Audit Manager 提供 GDPR、PCI DSS、SOC 2、HIPAA 等主要合规框架的预构建模板。选择框架并开始评估后,各控制项(管控项目)对应的证据会从 AWS Config 规则、CloudTrail 日志、Security Hub 检测结果等自动收集。还可创建自定义框架以应对企业自有的审计标准。 关于框架和评估的实务技巧,也可以通过相关书籍(Amazon)进行学习。
证据管理与报告
收集的证据按控制项整理,可在仪表板上一目了然地确认合规状况。手动审查各控制项的评估状态,设置合规、不合规、不适用等状态。评估完成后,可将证据文件夹整体导出为报告,提交给审计事务所或内部审计团队。证据保存在 S3 中,支持长期保管。
注意事项
- Audit Manager 按资源评估数计费。证据存储目标 S3 的费用另计
- 自动收集的证据仅为技术性证据,审计的最终判断仍需人工进行
- 前提是 AWS Config 和 CloudTrail 已启用。未启用时无法收集证据
