일반
AWS 보안 및 규정 준수 상황을 기록하기 위한 질문서를 작성하는 데 지원이 필요한 경우를 위하여 AWS는 클라우드 및 AWS 비즈니스 모델의 컨텍스트에서 보안 및 규정 준수 질문에 답변하는 데 필요한 리소스를 제공하도록 고안된 권장 접근 방식을 제시하고 있습니다. 보안 및 규정 준수 질문서를 작성하는 데 가장 자주 사용되는 리소스는 다음과 같습니다.
- AWS Artifact – AWS Artifact는 자신에게 해당되는 규정 준수와 관련된 정보를 제공하는 신뢰할 수 있는 중앙 리소스입니다. AWS Artifact에서는 AWS의 보안 및 규정 준수 보고서와 엄선된 온라인 계약에 대한 온디맨드 액세스를 제공합니다. AWS Artifact에서 제공하는 보고서에는 Service Organization Controls(SOC) 보고서와 지불 카드(PCI) 규정 준수 증명, 그리고 여러 지역의 인정 기구와 규정 준수 기관에서 AWS 보안 제어의 구현 및 운영 효율성을 입증하는 인증서가 포함되어 있습니다. AWS Artifact에서 제공하는 계약에는 비즈니스 제휴 계약(BAA)과 비밀 유지 계약(NDA)이 포함되어 있습니다.
- AWS 규정 준수 프로그램 웹 페이지 - AWS 규정 준수 프로그램은 고객이 AWS의 강력한 제어 기능을 이해하여 클라우드에서 보안과 규정 준수를 유지할 수 있도록 지원합니다.
- AWS 데이터 센터 제어 웹 페이지 – 많은 질문서에는 데이터 센터의 물리적 보안과 관련된 질문에 대한 섹션이 있습니다. 이 웹 페이지는 AWS의 물리적 및 환경적 제어에 대한 인사이트를 제공합니다.
- AWS 위험 및 규정 준수 백서 – 이 문서는 일반적인 클라우드 컴퓨팅 규정 준수 질문에 대한 AWS 관련 정보를 다룹니다.
- CSA 공동 평가 이니셔티브 질문서 – CSA 공동 평가 이니셔티브 질문서는 클라우드 소비자 및/또는 감사자가 클라우드 공급자에게 요청할 것으로 CSA가 예상하는 일련의 질문을 제공합니다. 제공되는 일련의 보안, 제어 및 프로세스 질문을 클라우드 공급업체 선택 및 보안 평가를 포함한 폭넓은 용도로 사용할 수 있습니다. 이 문서에는 CSA 질문서에 대한 AWS 답변이 포함되어 있습니다.
- AWS CyberGRX 평가 - AWS CyberGRX 보고서를 활용하여 오래된 정적 스프레드시트를 교체하고 매년 AWS 평가에 대한 액세스를 반복적으로 요청해야 하는 번거로움을 없앰으로써 공급업체 실사와 관련된 업무 부담을 줄일 수 있습니다. 또한 CyberGRX의 Framework Mapper 기능을 사용하여 일반적으로 사용되는 업계 프레임워크 및 표준에 AWS 평가를 매핑함으로써 제어 범위를 즉시 파악할 수 있습니다.
- AWS CyberVadis 평가 - 공급업체 실사에 AWS CyberVadis 위험 평가 보고서 및 스코어카드를 활용할 수 있습니다. CyberVadis 평가는 AWS의 대응을 분석 및 정교한 위험 모델과 통합하여 AWS의 보안 태세를 심층적으로 파악하는 고급 기능을 제공합니다. 고객은 CyberVadis 결과를 사용하여 AWS 평가를 일반적으로 사용되는 업계 프레임워크 및 표준에 매핑함으로써 규제 범위에 대한 가시성을 즉시 확보할 수 있습니다.
- SIG 질문서 - 표준화된 정보 수집(SIG) 질문서는 Shared Assessment의 SIG 질문서 도구를 사용하는 고객이 서드 파티 위험 평가 프로세스를 표준화할 때 사용하도록 만들어졌습니다. 이 질문서는 AWS 클라우드에 대한 고객의 실사 프로세스를 지원하기 위해 서술형 답변 형식으로 작성되었습니다. SIG는 AWS Artifact에서 찾을 수 있습니다.
AWS 범위 내 서비스 웹 페이지에서 공통 규정 준수 표준을 준수하는 것으로 평가된 서비스의 목록을 찾을 수 있습니다.
AWS는 고객을 대신하여 특정 처리 활동을 수행하거나 데이터 센터 시설 관리 활동을 수행하기 위해 AWS 하위 처리자 웹 페이지에 나열된 엔터티와 협력할 수 있습니다. 이 웹 페이지에는 하위 처리자 목록이 변경되는 경우 구독을 통해 이메일 알림을 받는 옵션도 있습니다.
AWS 데이터 프라이버시 센터에서 데이터 프라이버시에 대해 알아볼 수 있습니다. 이 웹 페이지는 AWS의 개인 정보 보호, 개인 정보 보호 법률 및 규정, FAQ, 리소스에 대한 정보를 제공합니다.
AWS는 고객 데이터의 보안 및 프라이버시를 보호하기 위해 당사의 데이터 센터 위치를 엄격하게 비밀로 유지하고 있습니다. AWS 리전에 대한 명명 규칙은 해당 리전을 구성하는 가용 영역 및 데이터 센터의 일반적인 지리적 위치를 나타냅니다. 데이터 센터의 일반적인 위치에 관한 추가 정보는 AWS Artifact를 통해 제공되는 PCI-DSS 보고서에 포함되어 있습니다. 자세히 알아보려면 AWS 글로벌 인프라 웹 페이지를 방문하세요.
고객은 AWS에서 AWS 데이터 센터를 위해 구축한 모든 보안 제어 기능을 고려하여 물리적인 AWS 인프라의 보안 및 복원력을 평가할 수 있습니다. AWS는 AWS의 물리적 보안 및 복원력 제어에 대한 고객의 이해를 돕기 위해 자격을 갖춘 독립 감사자를 통해 SOC 보고서를 검증합니다. 이 보고서는 AWS Artifact를 통해 사용할 수 있습니다. 널리 용인되는 이 서드 파티 검증은 AWS가 갖추고 있는 제어의 효과를 독립적으로 증명합니다. ISO 27001, PCI, ITAR 및 FedRAMP 규정 준수 프로그램의 일환으로 데이터 센터의 물리적 보안에 대한 독립 심사도 수행됩니다.
재해 복구 계획을 수립하기 위해 AWS를 평가할 때는 먼저 어떤 수준의 복원력을 목표로 하는지 결정하고 복원력 및 재해 복구에 대한 관련 규제 요구 사항을 고려해야 합니다. 그런 다음 복원력 목표와 규제 요구 사항을 충족하는 AWS 환경을 설계할 수 있습니다. 예를 들어 환경적 위험을 완화하려는 경우 물리적으로 분리된 가용 영역 및 리전을 활용하도록 AWS 워크로드를 설계하여 목적을 달성할 수 있습니다. 비즈니스 연속성 및 재해 복구를 계획할 때는 AWS Well Architected Framework의 신뢰성 원칙에 포함된 모범 사례를 활용해야 합니다. 재해 복구 권장 사항에 대한 자세한 내용은 Disaster Recovery of Workloads on AWS: Recovery in the Cloud(AWS 기반 워크로드의 재해 복구: 클라우드에서의 복구)에서 확인할 수 있습니다.
규정 준수 보고서
AWS Artifact에서는 다양한 글로벌, 지역별 및 산업별 보안 표준 및 규제에 대해 AWS 규정 준수를 테스트하고 검증한 서드 파티 감사자가 발행한 규정 준수 보고서를 제공합니다. 새 보고서가 릴리스되면 AWS Artifact에서 해당 보고서를 다운로드할 수 있습니다. 자세한 내용은 규정 준수 보고서 FAQ를 참조하세요. AWS Management Console에서 직접 AWS Artifact에 액세스할 수도 있습니다.
AWS는 매년 여러 차례 발행되는 12개월 SOC 보고서를 통해 제공되는 AWS 지속적 적용 범위를 기반으로 브리지 레터 또는 갭 레터 대신 SOC 지속적 운영 서신을 발행합니다. 정기적으로 발행되는 이 서신은 AWS Management Console에서 AWS Artifact를 사용하여 다운로드할 수 있습니다.
아니요. SOC 감사는 일정 기간에 걸쳐 시행됩니다. 감사 기간이 종료되면 보고서가 준비되고 약 6주 내에 고객이 사용할 수 있도록 제공됩니다. 2023년 9월 30일부터 AWS는 12개월 기간을 다루는 SOC 보고서를 매년 여러 차례 발행합니다. SOC 1 보고서는 분기별로 발행되며 SOC 2 및 SOC 3 보고서는 6개월마다 발행됩니다. 새 SOC 보고서가 릴리스되면 AWS Artifact에서 해당 보고서를 다운로드할 수 있습니다.
AWS는 SOC 1 또는 SOC 2 보고서의 복사본을 기꺼이 제공해드립니다. 최고의 지원을 제공할 수 있도록 AWS에서는 귀사의 고객이 AWS Artifact 시작하기 가이드를 활용하고 자체 AWS 계정을 사용하여 SOC 1 또는 SOC 2 보고서를 다운로드할 것을 권장합니다. 계정 생성에는 비용이 들지 않습니다. 계정에 로그인한 후 AWS Console에서 Security, Identity & Compliance(보안, 자격 증명 및 규정 준수) 아래의 Artifact로 이동하여 제공된 보고서에 액세스할 수 있습니다.
또는 AWS Artifact에서 AWS 규정 준수 보고서를 다운로드하고 해당 AWS 규정 준수 보고서에 적용되는 약관에서 허용하는 경우, AWS 규정 준수 보고서를 고객과 직접 공유할 수 있습니다. AWS Artifact에서 다운로드한 AWS 규정 준수 보고서의 첫 페이지에 있는 관련 약관을 참조하여 해당 보고서의 공유가 허용되는지 여부를 확인하세요.
또한 AWS SOC 3 보고서는 AWS의 SOC 규정 준수 웹 페이지에도 게시됩니다. SOC 3 보고서는 AWS SOC 2 보고서가 요약된 형태로서, AWS가 AICPA의 신뢰 서비스 원칙에 설정된 기준에 따라 효과적인 제어 운영을 유지하고 있음에 대한 보증(외부 감사기관의 의견 포함)을 제공합니다.
규정 준수 프로그램
AWS와 같은 클라우드 서비스 제공업체(CSP)를 위한 HIPAA 인증은 없습니다. 그러나 AWS의 HIPAA 위험 관리 프로그램은 미국 보건 복지부 개인 정보 보호(45 CFR 파트 160과 파트 164의 하위 파트 A 및 E) 및 보안(45 CFR 파트 160과 파트 164의 하위 파트 A 및 C) 규칙, HIPAA 행정 단순화 규정(45 CFR 160, 162 및 164), FedRAMP, NIST 800-30 및 NIST 800-53에 맞춰집니다. NIST는 이렇게 부합되는 점을 확인하고 SP 800-66 Rev. 1, An Introductory Resource Guide for Implementing the HIPAA Security Rule(SP 800-66 개정본. 1, HIPPA 보안 규정 구현을 위한 소개 리소스 가이드)을 발행했습니다. 이 가이드는 NIST 800-53이 어떻게 HIPAA 보안 규칙과 부합되는지를 설명합니다. AWS의 HIPAA 규정 준수에 대한 자세한 내용은 AWS HIPAA 웹 페이지를 참조하세요.
예. AWS는 고객과 체결하는 표준 BAA를 사용합니다. 이 BAA에는 AWS가 제공하는 고유 서비스와 AWS 공동 책임 모델이 반영되어 있습니다.
귀하의 계정 또는 AWS Organizations에 있는 귀사 소속의 모든 계정을 위한 BAA의 상태를 검토, 수락 및 관리하려면 AWS Management Console에서 AWS Artifact에 로그인하십시오.
AWS는 HIPAA 적격 서비스가 특히 HIPAA에서 요구하는 보안, 제어 및 관리 프로세스를 지원하도록 표준 기반 위험 관리 프로그램을 따르고 있습니다. 고객은 HIPAA 계정으로 지정된 계정에서 모든 AWS 서비스를 사용할 수 있습니다. 하지만 HIPAA 적격 서비스를 사용해서만 PHI(개인 건강 정보)를 처리, 저장 및 전송해야 합니다. AWS의 HIPAA 규정 준수에 대한 자세한 내용은 다음 AWS 리소스를 참조하십시오.
범위 내 서비스의 AWS HITRUST CSF 인증을 활용하여 자체 HITRUST CSF 인증을 지원할 수도 있습니다. 최신 HITRUST CSF 인증 AWS 서비스 목록은 AWS 범위 내 서비스 웹 페이지를 참조하세요. AWS 고객은 고객이 범위 내 서비스만 사용하고 HITRUST Alliance 웹 사이트에서 기술한 통제 항목을 적용하는 경우 AWS HITRUST CSF 인증을 승계할 수 있습니다. AWS Custom HITRUST Shared Responsibility Matrix(AWS 맞춤형 HITRUST 공유 책임 매트릭스)를 다운로드하여 AWS 고객이 공동 책임 모델의 일부로 승계할 수 있는 HITRUST 요구 사항을 확인할 수 있습니다. MyCSF 사용 설명서 웹 페이지를 참조하여 승계 요청을 시작하는 방법에 대한 지침을 확인해야 합니다.
GDPR DPA의 이점을 활용하기 위해서는 어떠한 조치도 취할 필요가 없습니다. GDPR DPA의 조항은 AWS 서비스 약관에 통합되어 있으며 2018년 5월 25일부터 GDPR DPA는 GDPR 범위 내의 작업을 수행하는 고객에게 자동으로 적용됩니다. AWS의 DPA에 대한 자세한 내용은 이 AWS Security 블로그 게시물을 참조하세요. 추가 정보는 GDPR 센터에서 확인하세요.
AWS 규정 준수 프로그램은 AWS의 강력한 제어 기능을 이해하여 클라우드의 보안과 규정 준수를 유지할 수 있도록 고객을 돕습니다. AWS가 준수하는 특정 지역(글로벌, 미주, 아시아 태평양, 유럽, 중동 및 아프리카) 프로그램은 AWS 규정 준수 프로그램 웹 페이지에서 확인할 수 있습니다.