# OPS01-BP04 评估合规性要求
监管、行业和内部合规性要求是定义组织优先事项的重要驱动因素。您的合规性框架可能会阻止您使用特定技术或地理位置。如果未确定外部合规性框架,则进行尽职调查。生成验证合规性的审计或报告。
如果您宣称自己的产品符合特定的合规性标准,则您必须有内部流程来确保持续合规。合规性标准的示例包括 PCI DSS、FedRAMP 和 HIPAA。适用的合规性标准由各种因素决定,例如解决方案存储或传输的数据类型,以及解决方案支持的地理区域。
**期望结果:**
+ 将监管、行业和内部合规性要求纳入架构选择。
+ 您可以验证合规性并生成审计报告。
**常见反模式:**
+ 部分工作负载属于支付卡行业数据安全标准(PCI-DSS)框架,但工作负载以未加密方式存储信用卡数据。
+ 软件开发人员和架构师不了解组织必须遵循的合规性框架。
+ 年度系统与组织控制(SOC2)类型 II 审核即将开始,您无法验证控制措施是否已到位。
**建立此最佳实践的好处:**
+ 评估和了解适用于工作负载的合规性要求将为您提供相关信息,告知您如何通过安排工作的优先级来实现业务价值。
+ 选择与合规性框架保持一致的适当位置和技术。
+ 设计工作负载以实现可审核性,以便证明您遵守合规性框架。
**在未建立这种最佳实践的情况下暴露的风险等级:**高
## 实施指导
实施此最佳实践意味着将合规性要求纳入架构设计过程。团队成员了解所需的合规性框架。您依照框架验证合规性。
**客户示例**
AnyCompany Retail 存储客户的信用卡信息。卡存储团队的开发人员明白他们需要遵守 PCI-DSS 框架。他们已采取措施来确认按照 PCI-DSS 框架安全地存储和访问信用卡信息。他们每年都会与安全团队一起验证合规性。
**实施步骤**
1. 与安全和治理团队合作,确定工作负载必须遵守哪些行业、监管或内部合规性框架。将合规性框架纳入工作负载。
1. 使用 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/what-is-compute-optimizer.html) 和 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 之类的服务,验证 AWS 资源的持续合规性。
1. 向团队成员介绍合规性要求,以便他们可以根据要求运行和改进工作负载。架构和技术选择中应包括合规性要求。
1. 根据合规性框架,您可能需要生成审核或合规性报告。与组织合作,尽可能使此过程实现自动化。
1. 使用诸如 [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html) 之类的服务验证合规性并生成审计报告。
1. 您可以通过 [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html) 下载 AWS 安全与合规性文档。
**实施计划的工作量级别:**中。实施合规性框架并非易事。生成审核报告或合规性文档带来了额外的复杂性。
## 资源
**相关最佳实践:**
+ [SEC01-BP03 识别和验证控制目标](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_control_objectives.html) – 安全控制目标是整体合规性的重要组成部分。
+ [SEC01-BP06 自动测试和验证管道中的安全控制](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_test_validate_pipeline.html) – 作为管道的一部分,验证安全控制。还可以生成新变更的合规性文档。
+ [SEC07-BP02 定义数据保护控制](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_define_protection.html) – 许多合规性框架都基于数据处理和存储策略。
+ [SEC10-BP03 准备取证能力](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_prepare_forensic.html) – 取证能力有时可用于审核合规性。
**相关文档:**
+ [AWS 合规中心](https://aws.amazon.com/financial-services/security-compliance/compliance-center/)
+ [AWS 合规性资源](https://aws.amazon.com/compliance/resources/)
+ [AWS 风险与合规性白皮书](https://docs.aws.amazon.com/whitepapers/latest/aws-risk-and-compliance/welcome.html)
+ [AWS 责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [按合规性计划提供的范围内 AWS 服务](https://aws.amazon.com/compliance/services-in-scope/)
**相关视频:**
+ [AWS re:Invent 2020: Achieve compliance as code using AWS Compute Optimizer](https://www.youtube.com/watch?v=m8vTwvbzOfw)
+ [AWS re:Invent 2021 - Cloud compliance, assurance, and auditing](https://www.youtube.com/watch?v=pdrYGVgb08Y)
+ [AWS Summit ATL 2022 - Implementing compliance, assurance, and auditing on AWS (COP202)](https://www.youtube.com/watch?v=i7XrWimhqew)
**相关示例:**
+ [AWS 上的 PCI DSS 和 AWS 基础安全最佳实践](https://aws.amazon.com/solutions/partners/compliance-pci-fsbp-remediation/)
**相关服务:**
+ [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)
+ [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)
+ [AWS Compute Optimizer](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)