# 組織優先事項
<a name="organization-priorities"></a>

 您的團隊需要對您的整個工作負載，以及團隊成員在其中的作用達成共識，並且擁有共同的業務目標，以便設定能助力業務成功的優先事項。明確定義的優先事項將實現工作的最大收益。定期審查您的優先事項，以便在組織的需求變更時更新優先事項。

**Topics**
+ [OPS01-BP01 評估外部客戶需求](ops_priorities_ext_cust_needs.md)
+ [OPS01-BP02 評估內部客戶需求](ops_priorities_int_cust_needs.md)
+ [OPS01-BP03 評估治理要求](ops_priorities_governance_reqs.md)
+ [OPS01-BP04 評估合規要求](ops_priorities_compliance_reqs.md)
+ [OPS01-BP05 評估威脅態勢](ops_priorities_eval_threat_landscape.md)
+ [OPS01-BP06 評估權衡的同時管理利益和風險](ops_priorities_eval_tradeoffs.md)

# OPS01-BP01 評估外部客戶需求
<a name="ops_priorities_ext_cust_needs"></a>

 讓關鍵利害關係人 (包括業務、開發和營運團隊) 參與進來，以確定將工作重點放在哪些外部客戶需求上。這驗證了您對實現預期業務成果所需的營運支援有透徹的了解。

 **預期成果：**
+  您可以透過客戶成果逆向工作。
+  您了解營運實務如何支援業務成果和目標。
+  您與所有相關各方接觸。
+  您擁有捕捉外部客戶需求的機制。

 **常見的反模式：**
+  您已決定不在核心上班時間以外的時間提供客戶支援，但尚未檢閱歷史支援請求資料。您不知道這是否會對您的客戶產生影響。
+  您正在開發新功能，但尚未與客戶互動，以了解是否需要該功能，若需要又應以何種形式提供，而且未進行試驗以驗證交付的需求和方法。

 **建立此最佳實務的優勢：**需求得到滿足的客戶更有可能繼續成為客戶。評估和了解外部客戶的需求，將讓您了解如何安排工作的優先順序來實現商業價值。

 **未建立此最佳實務時的曝險等級：**高 

## 實作指引
<a name="implementation-guidance"></a>

 **了解業務需求：**只有業務、開發及營運團隊等利害關係人擁有共同的目標並達成共識，方能讓業務取得成功。

 **審查外部客戶的業務目標、需求和優先事項：**與關鍵利害關係人 (包括業務、開發和營運團隊) 進行互動，以討論外部客戶的目標、需求和優先事項。這將確保您對實現業務和客戶成果所需的營運支援有透徹的了解。

 **建立共識：**在以下方面建立共識：工作負載的業務功能、每個團隊在工作負載營運過程中的角色，以及這些因素如何支援內外部客戶的共同業務目標。

## 資源
<a name="resources"></a>

 **相關的最佳實務：**
+  [OPS11-BP03 實作回饋迴圈](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_evolve_ops_feedback_loops.html) 

# OPS01-BP02 評估內部客戶需求
<a name="ops_priorities_int_cust_needs"></a>

 讓關鍵利益相關者 (包括業務、開發和營運團隊) 參與進來，以確定將工作重點放在哪些內部客戶需求上。這將確保您對實現業務成果所需的營運支援有透徹的了解。

 **預期成果：**
+  利用您制定的優先事項，聚焦於改善作業，因為它們能發揮最大的影響力 (例如，發展團隊技能、改善工作負載效能、降低成本、自動化執行手冊或提升監控力)。
+  根據需求變更更新您的優先順序。

 **常見的反模式：**
+  您已決定在不向產品團隊諮詢的情況下，變更他們的 IP 位址配置，以便更輕鬆地管理網路。您不知道這會對您的產品團隊產生什麼影響。
+  您正在實作新的開發工具，但尚未讓內部客戶了解是否需要它，或者它是否與他們現有的實務相容。
+  您正在實作新的監控系統，但尚未聯絡內部客戶，以了解他們是否有應該考慮的監控或報告需求。

 **建立此最佳實務的優勢：**評估和了解內部客戶的需求，可讓您了解如何安排工作的優先順序來實現商業價值。

 **未建立此最佳實務時的曝險等級：**高 

## 實作指引
<a name="implementation-guidance"></a>
+  了解業務需求：只有業務、開發及營運團隊等利益相關者擁有共同的目標並達成共識，方能實現業務成功。
+  審查內部客戶的業務目標、需求和優先事項：與關鍵利益相關者 (包括業務、開發和營運團隊) 進行互動，以討論內部客戶的目標、需求和優先事項。這將確保您對實現業務和客戶成果所需的營運支援有透徹的了解。
+  建立共識：在以下方面建立共識，即工作負載的業務功能、每個團隊在工作負載營運過程中的角色，以及這些因素如何支援內外部客戶的共同業務目標。

## 資源
<a name="resources"></a>

 **相關的最佳實務：**
+  [OPS11-BP03 實作意見回饋循環](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_evolve_ops_feedback_loops.html) 

# OPS01-BP03 評估治理要求
<a name="ops_priorities_governance_reqs"></a>

 管控是政策、規則或架構的集合，供公司用來達成其業務目標。管控要求產生自您的組織內部。這些要求可能會影響到您所選擇的技術類型，或是您操作工作負載的方式。將組織管控要求納入您的工作負載中。合規是指展現您已實作管控要求的能力。

 **預期成果：**
+  管控要求會併入工作負載的架構設計和操作中。
+  您可以提供您已遵循管控要求的證明。
+  定期審查並更新管控要求。

 **常見的反模式：**
+ 您的組織規定根帳戶需進行多重要素驗證。您未能實行此要求，根帳戶遭到損害。
+ 在設計工作負載期間，您選擇了未經 IT 部門核准的執行個體類型。您無法啟動工作負載，而必須執行重新設計。
+ 您必須有災難復原計畫。您未建立該計畫，且工作負載遭逢長時間的中斷。
+  您的團隊想要使用新的執行個體，但您的管理要求尚未更新予以允許。

 **建立此最佳實務的優勢：**
+  遵循管控要求，可讓您的工作負載符合較大組織的政策。
+  管控要求會反映組織的產業標準和最佳實務。

 **未建立此最佳實務時的曝險等級：**高 

## 實作指引
<a name="implementation-guidance"></a>

與利益相關者和管控組織共同識別管控要求。將管控要求納入您的工作負載中。能夠證明您已遵循管控要求。

 **客戶範例** 

 在 AnyCompany 零售，雲端營運團隊會與整個組織的利益相關者合作，以開發治理要求。例如，它們禁止SSH存取 Amazon EC2執行個體。如果團隊需進行系統存取，他們必須使用 AWS Systems Manager Session Manager。雲端營運團隊會在新服務推出時定期更新管控要求。

 **實作步驟** 

1.  識別工作負載的利益相關者，包括任何集中團隊。

1.  與利益相關者共同識別管控要求。

1.  產生清單後，請排定改善項目的優先順序，並開始在您的工作負載中加以實作。

   1.  使用 等服務[AWS Config](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)來建立 governance-as-code和驗證遵循了治理要求。

   1.  如果您使用 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)，則可以利用服務控制政策來實作管控要求。

1.  提供驗證實作情形的文件。

 **實作計劃的工作量：**中。實作遺漏的管控要求可能會導致工作負載重新作業。

## 資源
<a name="resources"></a>

 **相關的最佳實務：**
+  [OPS01-BP04 評估合規要求](ops_priorities_compliance_reqs.md) - 合規性類似於管控，但來自組織外部。

 **相關文件：**
+ [AWS 管理和治理雲端環境指南 ](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-guide/management-and-governance-cloud-environment-guide.html)
+ [ 多帳戶環境中 AWS Organizations 服務控制政策的最佳實務 ](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)
+ [ 中的治理 AWS 雲端：敏捷性與安全之間的正確平衡 ](https://aws.amazon.com/blogs/apn/governance-in-the-aws-cloud-the-right-balance-between-agility-and-safety/)
+ [ 什麼是治理、風險與合規 （GRC）？ ](https://aws.amazon.com/what-is/grc/)

 **相關影片：**
+ [AWS 管理和治理：組態、合規和稽核 - AWS 線上技術講座 ](https://www.youtube.com/watch?v=79ud1ZAaoj0)
+ [AWS re：Inforce 2019：雲端時代的治理 （DEM12-R1） ](https://www.youtube.com/watch?v=y3WmHnavuN8)
+ [AWS re：Invent 2020：使用 實現合規作為程式碼 AWS Config](https://www.youtube.com/watch?v=m8vTwvbzOfw)
+ [AWS re：Invent 2020：靈活管理 AWS GovCloud (US)](https://www.youtube.com/watch?v=hv6B17eriHQ)

 **相關範例：**
+ [AWS Config Conformance Pack 範例 ](https://docs.aws.amazon.com/config/latest/developerguide/conformancepack-sample-templates.html)

 **相關服務：**
+ [AWS Config](https://aws.amazon.com/config/)
+ [AWS Organizations - 服務控制政策 ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)

# OPS01-BP04 評估合規要求
<a name="ops_priorities_compliance_reqs"></a>

法規、產業和內部合規要求是定義組織優先順序的重要因子。您的合規架構可能會禁止使用特定技術或地理位置。若未識別出外部合規架構，請運用盡職調查。產生驗證合規性的稽核或報告。

 如果聲明您的產品符合特定的合規標準，您必須有內部程序來確保持續的合規性。合規標準的例子包括 PCI DSS、FedRAMP 和 HIPAA。適用的合規標準取決於各種因素，例如解決方案存放或傳輸的資料類型，以及解決方案支援的地理區域。

 **預期成果：**
+  將法規、產業和內部合規要求併入架構選擇中。
+  您可以驗證合規性並產生稽核報告。

 **常見的反模式：**
+ 您的工作負載有部分屬於支付卡產業資料安全標準 (PCI-DSS) 架構下，但您的工作負載儲存信用卡資料時並未予以加密。
+ 您的軟體開發人員和架構師不知道您的組織必須遵循的合規架構。
+  年度 Systems and Organizations Control (SOC2) Type II 稽核即將到來，但您無法驗證已設置控制。

 **建立此最佳實務的優勢：**
+  評估和了解套用到工作負載的合規要求，可讓您了解如何安排工作的優先順序來實現商業價值。
+  您可以選擇與合規架構相符的適當位置和技術。
+  針對可稽核性設計工作負載，有助於證明您確實遵循合規架構。

 **未建立此最佳實務時的曝險等級：**高 

## 實作指引
<a name="implementation-guidance"></a>

 若實作此最佳實務，即表示您會在架構設計程序中併入合規要求。您的團隊成員將得知必要的合規架構。您會驗證合規性符合架構。

 **客戶範例** 

 AnyCompany Retail 儲存客戶的信用卡資訊。卡片儲存團隊的開發人員了解他們必須遵從 PCI-DSS 架構。他們執行了相關步驟，驗證信用卡資訊以安全方式儲存和存取，並遵從 PCI-DSS 架構。他們每年都會與安全團隊共同驗證合規性。

 **實作步驟** 

1.  與安全和管控團隊合作，確認您的工作負載必須遵循哪些產業、法規或內部合規架構。在您的工作負載中併入合規架構。

   1.  使用諸如 [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/what-is-compute-optimizer.html) 和 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 之類的服務驗證 AWS 資源的持續合規性。

1.  讓團隊成員了解合規要求，使其能據以操作及設計工作負載。合規要求應包含在架構和技術選擇中。

1.  根據合規架構，您可能必須產生稽核或合規報告。請與組織合作，盡可能將此程序自動化。

   1.  使用諸如 [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html) 等服務來驗證合規性並產生稽核報告。

   1.  可以使用 [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html) 下載 AWS 安全性和合規性文件。

 **實作計劃的工作量：**中。實作合規架構可能並不容易。產生稽核報告或合規文件，會增添額外的複雜性。

## 資源
<a name="resources"></a>

 **相關的最佳實務：**
+  [SEC01-BP03 識別並驗證控制目標](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_control_objectives.html) - 安全控制目標是整體合規性的重要組成部分。
+  [SEC01-BP06 自動化管道中安全控制的測試和驗證](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_test_validate_pipeline.html) - 作為管道的一部分，驗證安全控制。您也可以產生新變更的合規文件。
+  [SEC07-BP02 定義資料保護控制](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_define_protection.html) - 許多合規性框架都基於資料處理和儲存政策。
+  [SEC10-BP03 準備鑑識功能](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_prepare_forensic.html) - 鑑識功能有時可用於稽核合規性。

 **相關文件：**
+ [AWS 合規中心](https://aws.amazon.com/financial-services/security-compliance/compliance-center/)
+ [AWS 合規資源](https://aws.amazon.com/compliance/resources/)
+ [AWS 風險與合規白皮書](https://docs.aws.amazon.com/whitepapers/latest/aws-risk-and-compliance/welcome.html)
+ [AWS 共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [合規計劃範圍內的 AWS 服務](https://aws.amazon.com/compliance/services-in-scope/)

 **相關影片：**
+ [AWS re:Invent 2020：使用 AWS Compute Optimizer 實現合規即程式碼](https://www.youtube.com/watch?v=m8vTwvbzOfw)
+ [AWS re:Invent 2021 - 雲端合規性、保證和稽核](https://www.youtube.com/watch?v=pdrYGVgb08Y)
+ [AWS Summit ATL 2022 - 在 AWS 上實作合規性、保證和稽核 (COP202)](https://www.youtube.com/watch?v=i7XrWimhqew)

 **相關範例：**
+ [AWS 上的 PCI DSS 和 AWS 基礎安全最佳實務](https://aws.amazon.com/solutions/partners/compliance-pci-fsbp-remediation/)

 **相關服務：**
+ [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)
+ [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)
+ [AWS Compute Optimizer](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)

# OPS01-BP05 評估威脅態勢
<a name="ops_priorities_eval_threat_landscape"></a>

 評估對業務的威脅 (例如，競爭、業務風險和負債、營運風險和資訊安全威脅)，並將最新的資訊保存在風險登記表內。決定工作重點的領域時，加入風險影響。

 [Well-Architected Framework](https://aws.amazon.com/architecture/well-architected/) 強調學習、衡量和改善。它提供一致的方法來評估架構，並實作會隨著時間擴展的設計。 AWS 提供 [AWS Well-Architected Tool](https://aws.amazon.com/well-architected-tool/)，協助您在開發之前檢閱方法、生產前的工作負載狀態，以及生產中工作負載的狀態。您可以將它們與最新的 AWS 架構最佳實務進行比較，監控工作負載的整體狀態，並深入了解潛在風險。

 AWS 客戶有資格接受其任務關鍵工作負載的引導式 Well-Architected Review，以根據 AWS 最佳實務[測量其架構](https://aws.amazon.com/premiumsupport/programs/)。企業支援客戶有資格獲得[營運審查](https://aws.amazon.com/premiumsupport/programs/)，該審查旨在助其識別在雲端營運的方法中的差距。

 這些審查的跨團隊參與有助於建立對您的工作負載以及團隊角色可如何助力成功的共識。透過審查識別的需求可以助您確定優先順序。

 [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/) 是一款可存取核心檢查集的工具，這些檢查提出了優化建議，可能有助您確定優先事項。[商業和企業支援客戶](https://aws.amazon.com/premiumsupport/plans/)可存取針對安全性、可靠性、效能和成本優化的其他檢查，從而進一步協助確定他們的優先事項。

 **預期成果：**
+  您可以定期檢閱 Well-Architected 和 Trusted Advisor 輸出並採取行動 
+  您已知道服務的最新修補程式狀態 
+  您了解已知威脅的風險和影響，並採取相應的行動 
+  視需要實作緩和措施 
+  對行動和背景進行溝通 

 **常見的反模式：**
+  您在產品中使用舊版的軟體程式庫。您不知道程式庫的安全性更新是否會對工作負載產生意外影響。
+  競爭對手剛剛發布了其產品的一個版本，它可以解決許多客戶對您產品的投訴。您並未優先處理這些已知問題。
+  監管機構一直在追查像你們這樣不符合法律監管合規要求的公司。您尚未排定處理任何未解決合規要求之事項的優先順序。

 **建立此最佳實務的優勢：**識別並了解組織和工作負載所面臨的威脅，有助於您判斷要解決哪些威脅、它們的優先順序以及執行此作業所需的資源。

 **未建立此最佳實務時的曝險等級：**中 

## 實作指引
<a name="implementation-guidance"></a>
+  **評估威脅態勢：**評估對業務的威脅 (例如，競爭、業務風險和負債、營運風險和資訊安全威脅)，以便您可以在決定工作重點時考量其影響。
  +  [AWS 最新安全公告](https://aws.amazon.com/security/security-bulletins/) 
  +  [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/) 
+  **維護威脅模型：**建立和維護用於識別潛在威脅、已規劃和就地緩解措施及其優先順序的威脅模型。審查顯示為事件的威脅的機率、從這些事件中復原的成本、導致的預期傷害，以及防止這些事件的成本。當威脅模型的內容變更時，修改優先順序。

## 資源
<a name="resources"></a>

 **相關的最佳實務：**
+  [SEC01-BP07 使用威脅模型識別威脅並排定緩解優先順序](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_securely_operate_threat_model.html) 

 **相關文件：**
+  [AWS 雲端 合規](https://aws.amazon.com/compliance/) 
+  [AWS 最新安全公告](https://aws.amazon.com/security/security-bulletins/) 
+  [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/) 

 **相關影片：**
+  [AWS re:Inforce 2023 - 協助改善威脅模型的工具](https://youtu.be/CaYCsmjuiHg?si=e_CXPGqRF4WeBr1u) 

# OPS01-BP06 評估權衡的同時管理利益和風險
<a name="ops_priorities_eval_tradeoffs"></a>

 來自多方的競爭利益可能會使安排工作的優先順序、建立能力、交付與業務策略一致的成果變得具有挑戰性。例如，您可能會被要求加快新功能的上市速度，而不是最佳化 IT 基礎架構成本。這會使利益雙方發生衝突。在這種情況下，需要將決策提交給更高的權利層來解決衝突。需要使用資料來消除決策過程中的情感依戀。

 同樣的挑戰可能會發生在戰術層面。例如，選擇使用關聯式或非關聯式資料庫技術，可能會對應用程式的操作產生重大影響。了解各種選擇的可預測結果至關重要。

 AWS 可以協助您教育您的團隊有關 AWS 及其服務的知識，從而增進他們對自己的選擇會如何影響工作負載的了解。使用 [支援](https://aws.amazon.com/premiumsupport/programs/) ([AWS 知識中心](https://aws.amazon.com/premiumsupport/knowledge-center/)、[AWS 論壇](https://forums.aws.amazon.com/index.jspa)和 [支援 中心](https://console.aws.amazon.com/support/home/)) 和 [AWS 文件](https://docs.aws.amazon.com/)提供的資源來教育您的團隊。如有其他問題，請聯絡 支援。

 AWS 還可以在 [Amazon 建置者資料中心](https://aws.amazon.com/builders-library/)中分享操作最佳實務和模式。您可透過 [AWS 部落格](https://aws.amazon.com/blogs/)和[官方 AWS 播客](https://aws.amazon.com/podcasts/aws-podcast/)獲得其他各種實用資訊。

 **預期成果：**您擁有明確定義的決策管控框架，可以促進雲端交付組織內每個層級的重要決策。該框架包括很多功能，例如風險登記表、有權做出決策的已定義角色以及可以做出的每個決策級別的定義模型。此框架預先定義了如何解決衝突，需要呈現哪些資料，以及如何確定選項的優先級，以便一旦做出決定，就可以立即提交。決策框架包括一個標準化方法，可審查和衡量每個決策的利益和風險，以了解權衡。這可能包括外部因素，例如遵守法規合規要求。

 **常見的反模式：**
+  您的投資者要求您證明支付卡產業資料安全標準 (PCI DSS) 的合規性。您沒有考量滿足要求和繼續您目前開發工作之間的權衡取捨。相反地，您繼續開發工作，而不證明合規性。由於對平台安全性及其投資的擔憂，您的投資者會停止對公司的支援。
+  您已決定包含其中一位開發人員在網際網路上發現的程式庫。您尚未評估從未知來源採用此程式庫的風險，並且不知道它是否包含弱點或惡意程式碼。
+  遷移的最初業務理由是基於應用程式工作負載 60% 的現代化。然而，由於技術上的困難，決定只對 20% 進行現代化，導致長期計劃收益減少，基礎架構團隊手動支援舊式系統的操作員工作量增加，並且更依賴於在沒有規劃此變更的基礎架構團隊中開發新技能。

 **建立此最佳實務的優勢：**充分協調和支援董事會層級的業務優先事項、了解取得成功的風險、制定明智決策，以及在風險阻礙成功機會時採取適當行動。了解決策的影響和後果有助於您優先考慮您的選擇，並更快地讓領導者達成一致，從而改善業務成果。確定您的選擇的可用好處並了解組織的風險，可以幫助您制定資料驅動型決策，而不是依賴於軼事。

 **未建立此最佳實務時的曝險等級：**中 

## 實作指引
<a name="implementation-guidance"></a>

 管理利益和風險應由推動關鍵決策要求的管理機構來定義。您希望根據決策如何使組織受益來做出決策並確定優先級，並了解所涉及的風險。準確的資訊對於制定組織決策至關重要。這應該基於可靠的測量結果，並由成本效益分析的常見行業實務進行定義。要做出這些類型的決策，請在集中式和分散式授權之間取得平衡。總有一種權衡，了解每個選擇如何影響定義的策略和期望的業務成果至關重要。

### 實作步驟
<a name="implementation-steps"></a>

1.  在整體式雲端治理架構中正式確定效益衡量實務。

   1.  在決策的中央控制與某些決策的分散權力之間取得平衡。

   1.  了解強加給每項決策的繁瑣決策流程可能會減緩您的速度。

   1.  將外部因素納入決策流程中 (例如合規要求)。

1.  為各級決策建立一個商定的決策框架，其中包括誰需要為受衝突利益影響的決策清除障礙。

   1.  集中化可能不可逆轉的單向門決策。

   1.  允許由較低級別的組織領導者做出雙向門決策。

1.  了解和管理利益和風險。在決策的收益與所涉及的風險之間取得平衡。

   1.  **確定收益**：根據業務目標、需求和優先事項確定收益。範例包括企劃案影響、上市時間、安全性、可靠性、效能和成本。

   1.  **確定風險**：根據業務目標、需求和優先事項確定風險。範例包括上市時間、安全性、可靠性、效能和成本。

   1.  **根據風險評估收益並做出明智決策**：根據利益相關者 (包括業務、開發和營運團隊) 的目標、需求和優先事項，確定收益和風險的影響。評價收益的價值時要考慮發生風險的可能性及其代價。例如，強調上市速度優先於可靠性，可能提供競爭優勢。不過，如果發生可靠性問題，則可能會縮短正常執行時間。

1.  以程式設計方式強制執行關鍵決策，讓您自動遵守合規要求。

1.  利用已知的產業架構和功能，例如「價值串流分析」和 LEAN，對目前的狀態效能、業務指標進行基準分析，並定義這些指標的進度迭代。

 **實作計劃的工作量：**中高 

## 資源
<a name="resources"></a>

 **相關的最佳實務：**
+  [OPS01-BP05 評估威脅環境](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_priorities_eval_threat_landscape.html) 

 **相關文件：**
+  [Amazon 的 Day 1 文化要素 \$1 做出高品質、高速度的決策](https://aws.amazon.com/executive-insights/content/how-amazon-defines-and-operationalizes-a-day-1-culture/) 
+  [雲端治理](https://aws.amazon.com/cloudops/cloud-governance/) 
+  [管理與治理雲端環境](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-guide/management-and-governance-cloud-environment-guide.html?did=wp_card&trk=wp_card) 
+  [雲端和數位時代的治理：第一部分和第二部分](https://aws.amazon.com/blogs/enterprise-strategy/governance-in-the-cloud-and-in-the-digital-age-part-one/) 

 **相關影片：**
+  [播客 \$1 Jeff Bezos \$1 關於如何制定決策](https://www.youtube.com/watch?v=VFwCGECvq4I) 

 **相關範例：**
+  [使用資料做出明智決策 (DevOps Sagas)](https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/oa.bcl.10-make-informed-decisions-using-data.html) 
+  [使用開發價值串流映射來識別 DevOps 結果的限制](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-devops-value-stream-mapping/introduction.html)