本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
目標業務成果
公司使用安全控制來減輕 IT 系統風險或作為針對此風險的對策。控制定義了滿足 IT 程式及其安全策略的主要安全目標的要求基準。適當的控制可透過保護資料和 IT 資產的機密性、完整性和可用性,來改善公司的安全狀態。如果沒有控制,就很難知道需要在哪裡關注和投資來建立安全基準。
安全控制可用於解決各種情況。範例包括滿足源自於風險評定的要求、達到產業標準或遵守法規。滿足安全控制表明您已衡量系統的風險,確定了所需的保護層級,並主動實作了解決方案。其他因素 (例如業務、產業和地理位置) 都可以決定您所需的安全控制。
以下是實作安全控制的常見使用案例:
-
應用程式的安全評定已根據正在處理的資料敏感性識別存取控制的需求。
-
您必須遵守安全標準,例如支付卡產業資料安全標準 (PCI DSS)、HIPAA (美國健康保險流通與責任法案) 或國家標準技術研究所 (NIST)。
-
您需要保護商業交易的敏感資訊。
-
您的公司已擴展到需要安全控制的地理區域,例如需要遵守一般資料保護規範 (GDPR) 的區域。
閱讀本指南後,您應熟悉四種類型的安全控制,了解其如何成為安全控管架構的一部分,並準備好開始在 AWS 雲端中實作和自動化安全控制。
