北京2023年7月4日/美通社/ --近日,亞馬遜云科技全球安全副總裁Chad Woolf就安全與合規分享其觀點如下:
在亞馬遜云科技,為滿足客戶不斷變化的需求,我們持續創新與迭代。我們設計的服務能幫助客戶滿足最嚴格的安全和合規性要求。針對安全相關工作,亞馬遜云科技服務團隊與Amazon Security Guardians云守護者項目密切配合,始終保持服務的高標準。同時,我們內部的合規團隊密切監測世界各地的安全管控要求,并通過與外部審計團隊合作,對我們的服務針對這些要求進行第三方驗證。
本文將通過一些關鍵策略和最佳實踐,介紹亞馬遜云科技在保持創新文化的同時,如何實現安全與合規的規模化。
安全是基石
在亞馬遜云科技,安全是我們的首要任務。實現合規性或許充滿著挑戰,但通過將安全作為亞馬遜云科技所有工作中不可或缺的部分,可以幫助我們遵守更廣泛的合規要求、記錄合規性,并向審計員和客戶證明我們的合規性。
隨著審計員深入了解我們所做的事情,我們甚至可以幫助他們改進和完善審計方法。這也提高了亞馬遜云科技直接向客戶所提供報告的內容深度和質量。
安全規模化的挑戰
很多客戶都努力在安全、合規性和生產效率之間取得平衡。這些客戶希望將他們的應用程序快速提供給他們的用戶。他們可能需要對這些應用程序進行審計。傳統的流程一般包括編寫應用程序、投入生產,交由審計團隊檢查以確保符合合規標準。這種方式可能會引發一些問題,比如因為反復增加合規需求而導致開發團隊返工,甚至開發人員的反感。
以傳統方法強制貫徹合規要求,非但不會幫助規模化,甚至還會導致團隊關系更加復雜,出現很多分歧。那么,如何快速且安全地進行規模化?
用技術語言來表達合規要求
贏得開發團隊信任的第一種方法是用他們的語言。使用開發人員所使用的術語和參考文獻,并了解他們正在使用的開發、部署和保護代碼的工具至關重要。讓工程團隊將各種合規要求(通常是模糊的)轉化為工程規范,這種要求既不高效也不現實。合規團隊應該使用工程師熟悉的語言,努力將所要求的內容轉化為具體且必須執行的事項。
另一個規模化的策略是將合規要求嵌入到開發人員的日常工作中。合規團隊讓開發人員能夠像往常一樣完成工作,而不進行干預。如果這一戰略取得成功,合規路徑成為簡單且自然的路徑,那么這種方法將實現合規性的規模化,并能夠促進團隊之間的理解和協作。這種方式還將有助于打破開發人員與審計、合規團隊之間的障礙。
將審計員和監管機構視為合作伙伴
我們應該把審計員和監管者當作真正的業務合作伙伴。獨立審計員或監管機構深入了解各行業客戶是如何在其產品中使用企業所提供的安全,因此他們能夠對報告的最佳使用方式給出寶貴見解。有時人們可能會將監管機構視為對手。但最好的方法是與監管機構開誠布公地交流,幫助他們了解企業的業務以及為客戶帶去的價值,增強他們對企業技術和流程的認知。
在亞馬遜云科技,我們使用多種方式幫助審計員和監管機構快速了解。例如,我們舉辦數字審計研討會(Digital Audit Symposium),介紹亞馬遜云科技如何在安全和合規方面針對特定服務的管控和運營。同時,我們還開設了云審計學院(Cloud Audit Academy),提供了與云無關的以及亞馬遜云科技特定的培訓課程,幫助現有和潛在的審計、風險和合規領域專業人員了解如何對受監管的云工作負載進行審計。我們認為,與審計員和監管機構合作是合規性規模化的關鍵。
結論
將安全作為基礎,對于推動和合規規模化至關重要。使用工程師熟悉的語言,有助于他們保持工作節奏而不會被打斷,并將盡可能簡化合規路徑。盡管仍然存在一些阻礙,但對于金融服務和醫療保健等受到高度監管的企業而言,將審計員視為合作伙伴仍是一種積極的戰略轉變。越是積極主動地幫助審計員完成工作,企業就能越快地收獲他們給業務帶來的價值。
審核編輯 黃宇
-
亞馬遜
+關注
關注
8文章
2651瀏覽量
83324
發布評論請先 登錄
相關推薦
評論