扩大安全性和合规性

作者: 查德·伍尔夫 | 2023

亚马逊网络服务 (亚马逊云科技) ,我们快速行动并不断迭代,以满足客户不断变化的需求。我们设计的服务可以帮助我们的客户满足最严格的安全性和合规性要求。此外,我们的服务团队与我们的 亚马逊云科技 Security G uardians 计划密切合作,协调安全工作并保持高质量标准。我们还设有内部合规团队,持续监控来自世界各地的安全控制要求,并与外部审计师合作,根据这些要求 对我们的服务进行 第三方验证

在这篇文章中,我将介绍一些关键策略和最佳实践,我们使用这些策略和最佳实践来扩大安全性和合规性,同时保持创新文化。

以安全为基础

在 亚马逊云科技,安全是我们的首要任务。尽管合规性可能具有挑战性,但将安全视为我们在亚马逊云科技所做的一切中不可或缺的一部分,使我们能够遵守各种合规计划,记录我们的合规性,并成功地向审计师和客户证明我们的合规状态。

随着时间的推移,随着审计师更深入地了解我们的所作所为,我们也可以帮助改进和完善他们的方法。这提高了我们直接向客户 提供的 报告的 深度和质量。

安全扩展所面临的挑战

许多客户都在努力平衡安全性、合规性和生产。这些客户想要快速向自己的客户群提供应用程序。他们可能需要审核这些应用程序。传统流程可能包括编写应用程序,将其投入生产,然后让审计团队进行检查以确保其符合合规标准。这种方法可能会导致问题,因为追溯添加合规性要求可能会导致开发团队的返工和流失。

以这种方式强制执行合规要求不会扩大规模,最终会增加团队之间的复杂性和摩擦。那么,如何快速安全地进行扩展呢?

说他们的语言

赢得开发团队信任的第一种方法是说他们的语言。使用开发人员使用的术语和参考资料,并了解他们使用哪些工具来开发、部署和保护代码,这一点至关重要。要求工程团队将多样(通常是模糊的)合规要求转换为工程规范既不有效也不现实。合规团队必须努力使用工程师熟悉的语言,将要求转化为具体必须完成的内容。

另一种扩展策略是将合规性要求嵌入到开发人员日常工作的方式中。合规团队必须使开发人员能够像往常一样工作,无需合规干预。如果你在该策略上取得了成功,合规路径成为最简单、最自然的途径,那么这种方法可以促成一个可扩展性极强的合规计划,增进团队之间的理解并加强协作。这种方法有助于打破开发人员与审计/合规组织之间的壁垒。

将审计师和监管机构视为合作伙伴

我认为,你应该将审计师和监管机构视为真正的商业伙伴。独立审计师或监管机构了解各种客户将如何使用您制作的安全保障工件,因此将对如何最好地使用您的报告有宝贵的见解。我认为人们可能会陷入将监管机构视为对手的陷阱。最好的方法是与监管机构进行公开沟通,帮助他们了解您的业务以及您为客户带来的价值,并让他们提升您的技术和流程。

在 亚马逊云科技,我们以各种方式帮助审计师和监管机构加大力度。例如,我们举办了数字审计研讨会,其中包含有关我们如何在安全性和合规性方面控制和运营特定服务的演示。我们还提供 Cloud Audit Academy ,该学习路径提供与云无关和 亚马逊云科技 特定的培训,以帮助现有和潜在的审计、风险和合规专业人员了解如何审计受监管的云工作负载。我们了解到,与审计师和监管机构合作是扩大合规性的关键。

结论

以安全为基础对于推动和扩大合规性工作至关重要。说开发人员的语言可以帮助他们继续不受干扰地工作,并使简单路径成为合规之路。尽管仍然存在一些障碍,尤其是对于金融服务和医疗保健等监管严格的行业的组织而言,但将审计师视为合作伙伴是一种积极的战略视角转变。你越积极地帮助他们完成他们需要的事情,你就会越快地意识到他们为你的业务带来的价值。

如果您对这篇文章有反馈,请在下面的 评论 部分提交评论。如果您对这篇文章有疑问, 请联系 亚马逊云科技 Support

想了解更多 亚马逊云科技 安全新闻?在 推特 上关注我们 。

Author

Chad Woolf

Chad 于 2010 年加入亚马逊,从头开始构建 亚马逊云科技 合规职能,包括审计和认证、隐私、合同合规、控制自动化工程和安全流程监控。查德的工作还包括推动公共部门和受监管行业采用 亚马逊云科技 云,并领导 亚马逊云科技 贸易和产品合规团队。


*前述特定亚马逊云科技生成式人工智能相关的服务仅在亚马逊云科技海外区域可用,亚马逊云科技中国仅为帮助您发展海外业务和/或了解行业前沿技术选择推荐该服务。