亚马逊云科技 完成了欧洲 FSI 客户的 CCAG 2022 合并审计

我们很高兴地宣布， 亚马逊网络服务 (亚马逊云科技) 已完成对欧洲金融服务机构 (FSI) 的年度协作云审计小组 (CCAG) 云社区审计。

亚马逊云科技 的安全性 是重中之重。随着客户接受 亚马逊云科技 的可扩展性和灵活性，我们正在帮助他们将安全性、身份和合规性发展为关键业务推动力。在 亚马逊云科技，我们致力于赢得和维护客户的信任，并向我们的 FSI 客户及其监管机构保证，亚马逊云科技 已采取必要的控制措施来保护他们最敏感的材料和受监管的工作负载。A WS 合规计划 帮助客户了解 亚马逊云科技 采用的强大控制措施。通过将以治理为中心、便于审计的服务功能与适用的合规性或审计标准相结合，亚马逊云科技 Compliance 帮助客户在 亚马逊云科技 安全控制环境中进行设置和运营。

亚马逊云科技 如何支持客户的风险管理和监管工作的一个例子是我们对 CCAG 的年度审计。CCAG 合并审计连续第四年全面评估了 亚马逊云科技 的控制措施，这些控制措施使我们能够帮助保护客户的数据和材料工作负载，同时满足严格的欧洲和国家监管义务。CCAG目前代表着50多家领先的欧洲金融服务机构，自2017年成立以来一直稳步增长。鉴于云计算对金融服务机构客户运营的重要性，金融业正受到更严格的监管审查。与往年类似，CCAG 2022审计是基于客户根据欧洲银行管理局（EBA）向 云服务提供商（CSP） 外包建议对其服务提供商 进行审计的权利。 EBA建议使用汇总审计来更有效地使用审计资源，减少客户和CSP的组织负担。图1说明了与单项审计相比，合并审计的成本效益有所提高。

图 1：如果采用协作方法，则可以分担和减少工作量和成本

CCAG 审计流程

尽管有许多安全框架可用，但CCAG使用 云安全联盟（CSA） 的 云控制矩阵（CCM ） 作为其CSP审计的参考框架。正如其网站上所述，CSA是一个非营利组织 ，其 使命 是 “促进使用最佳实践在云计算中提供安全保障，并提供有关使用云计算的教育，以帮助保护所有其他形式的计算。”CCM 专门设计用于提供基本的安全原则，以指导云供应商并帮助云客户评估云提供商的整体安全风险。

2022 年 2 月至 12 月之间，CCAG 采用混合方法，在西雅图（美国）、都柏林（爱尔兰）和法兰克福（德国）进行远程和现场审计 亚马逊云科技 控制环境。在2022年CCAG审计的范围内，参与的审计师评估了亚马逊云科技在以下方面的措施：（1）保持客户数据的主权、安全和 私密 性，（2）有效管理威胁和漏洞，（3）提供高度可用和弹性的 基础设施 ，（4）预防和快速响应安全事件，以及（5）强制执行强大的身份验证机制和严格的 身份和访问管理 限制条件，仅在以下情况下授予对资源的访问权限需要知道和需要拥有的原则。

审计范围包括 亚马逊云科技 提供的各项服务，以及管理和维护这些服务的政策、控制和程序（和实践）。客户仍需要让审计师评估他们使用这些服务创建的环境以及管理和维护这些环境的策略和程序（以及实践），这要遵循所涉亚马逊云科技服务的共同责任分界线。

CCAG 审计结果

CCAG 成员对 亚马逊云科技 的审计经历表示感谢：

“亚马逊云科技 Security Assurance 团队为 CCAG 审计人员提供了所需的后勤和技术援助，他们在 亚马逊云科技 组织中导航，寻找所需的信息，宣传 CCAG 的审计权利，提高认识和开展教育，并持续施加压力，要求及时提供信息。”

CCAG 合并审计的结果仅提供给参与者及其各自的监管机构，并为 CCAG 成员提供有关 亚马逊云科技 控制环境的保证，使成员能够努力消除合规性障碍，加速采用 亚马逊云科技 服务，并获得对 亚马逊云科技 安全控制措施的信心和信任。

如果您对这篇文章有反馈，请在下面的 评论 部分提交评论。如果您对这篇文章有疑问， 请联系 亚马逊云科技 Support 。

想了解更多 亚马逊云科技 安全新闻？在 推特 上关注我们 。