本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
目标业务成果
公司利用安全控制来减缓或应对 IT 系统风险。控制定义了满足 IT 程序及其安全策略的主要安全目标的需求基线。实施控制可以保护公司数据和 IT 资产的机密性、完整性和可用性,从而改进公司的安全状况。如果没有控制,就很难知道需要在哪里投入精力和资本来建立安全基线。
安全控制可用于应对各种情况。例如,满足风险评估的要求、达到行业标准或遵守法规。令人满意的安全控制表明您已经衡量了系统的风险,确定了所需的保护级别,主动实施了解决方案。业务、行业和地理位置等其他因素都可以决定您需要的安全控制。
以下是实施安全控制的常见用例:
-
对应用程序进行安全评测后,发现有必要根据所处理数据的敏感性实施访问控制。
-
您必须遵守支付卡行业数据安全标准(PCI DSS)、HIPAA(健康保险可携性与责任法案)或美国国家标准与技术研究所(NIST)等安全标准。
-
您需要保护商业交易的敏感信息。
-
您的公司已扩展到需要安全控制的地理区域,例如,需要遵守《通用数据保护条例》(GDPR)的区域。
阅读本指南后,您应该熟悉这四种类型的安全控制,了解它们如何成为安全治理框架的一部分,并准备好在 AWS Cloud中开始实施和自动执行安全控制。
