隨著企業數位化觀念普及的時代,企業將越來越多的資訊系統遷移至雲端,資訊安全的重要性已越趨重要,然而,資訊安全風險也隨之增加。ISO/IEC 27001:2022 作為國際知名的資訊安全管理系統標準,提供了一個全面的框架,協助組織建立、實施、維護並持續改善資訊安全管理,當企業通過了 ISO 27001 的認證,就代表企業的資訊安全管理已經建立了一套有效的管理體系作為保障。而 AWS 作為全球領先的雲端服務供應商,如何透過完整的資安服務,讓企業能更輕鬆達到對於雲端資訊安全的要求,確保運營的穩定性和合規性。
ISO/IEC 27001:2022 組織控制措施中,其中針對雲端服務已特別列出項目,5.23 「使用雲服務之資訊安全」 (Information Security for use of Cloud Services )
。控制措施:宜依組織之資訊安全要求事項,建立獲取、使用、管理及退出雲端服務的過程。
。目的:規定並管理使用雲端服務之資訊安全性
。指引與實務做法:企業組織應與雲服務供應商合作,以公司規範為主軸搭配已使用的框架來制定使用雲服務之相關政策,以及明確討論安全風險的評估,進行相關風險評鑑。滿足數據保護、身份和訪問管理、日誌記錄和監控、基礎設施安全、配置和漏洞分析的合規性需求等等,以及利用有效的資安防護,依照資安事件通報處理流程或是進行資料備份及還原作業等。
5 大 AWS 資安服務
以 AWS 提供的資安服務,區分五大類來進行安全、身分及合規性的服務提供。
1.身分與存取管理
AWS Identity Services 可協助您安全地大規模管理身分、資源和許可。利用 AWS 的管理,您的人力及面對客戶應用程式的身分服務可快速展開,並可管理工作負載和應用程式的存取。例如以 IAM 來精細控制誰可以訪問哪些資源,確保只有授權人員能夠接觸敏感數據。
2.偵測與回應
AWS 偵測與回應服務會持續識別安全風險並排定優先順序,同時在開發生命週期的早期整合安全實務,藉此協助您強化整個 AWS 環境的安全狀態並精簡安全操作。例如以 AWS CloudTrail 來記錄和監控所有的資源變更,確保符合性和透明度,或是 Amazon GuardDuty 持續監控其 AWS 環境中的惡意活動和未經授權的行為。
3.資料保護
AWS 可協助您保護資料、帳戶和工作負載免受未經授權的存取。AWS 資料保護服務提供加密功能、金鑰管理和敏感資料探索,以協助您保護資料和工作負載。例如以 AWS Key Management Service (KMS) 服務來管理加密密鑰,確保數據在雲端中的安全性。
4.合規
AWS 為您提供合規狀態的全面檢視,您也可以使用自動化的合規檢查,根據組織遵循的 AWS 最佳實務和產業標準,持續監控您的運作環境。
5.網路與應用程式保護
AWS 網路與應用程式保護服務可協助您在組織範圍內的網路控制點強制執行精細的安全政策。AWS 服務可協助您檢查和篩選流量,以防止在主機、網路和應用程式層級邊界進行未經授權的資源存取。
搭配使用 AWS 資安服務來實施 ISO/IEC 27001:2022 中 5.23 條款的控制措施,不僅能簡化合規過程,還能顯著降低我們的風險與管理成本。AWS 提供的資安解決方案已經被廣泛驗證,不僅符合國際標準,更有即時更新與自動化的管理功能,能夠大幅減少我們自行部署的複雜性與人力投入,不但能符合 ISO 制定規範,亦能保護其雲端資產的機密性、完整性與可用性。
CKmates 銓鍇國際具備專業資安團隊,我們提供 7X24 資安監控,並定期進行 AWS 架構健診服務,提供優化報告與改善建議,是您的最佳資安守門員!歡迎聯絡我們。