近日,亚马逊云科技全球安全副总裁Chad Woolf分享安全与合规的关键策略和最佳实践,以及如何实现安全与合规的规模化:
将安全作为基础,可以遵守更广泛的合规要求、记录合规性,并向审计员和客户证明合规性。同时对于推动和合规规模化至关重要。那么如何快速且安全地进行规模化?
第一种方法是用技术语言来表达合规要求。使用开发人员所使用的术语和参考文献,并了解他们正在使用的开发、部署和保护代码的工具至关重要。
合规团队应该使用工程师熟悉的语言,努力将所要求的内容转化为具体且必须执行的事项。
另一个策略是将合规要求嵌入到开发人员的日常工作中。合规团队让开发人员能够像往常一样完成工作,而不进行干预。如果这一战略取得成功,合规路径成为简单且自然的路径,那么这种方法将实现合规性的规模化,并能够促进团队之间的理解和协作。这种方式还将有助于打破开发人员与审计、合规团队之间的障碍。
同时应该把审计员和监管者当作业务合作伙伴。独立审计员或监管机构深入了解各行业客户是如何在其产品中使用企业所提供的安全,因此他们能够对报告的最佳使用方式给出宝贵见解。与监管机构开诚布公地交流,帮助他们了解企业的业务以及为客户带去的价值,增强他们对企业技术和流程的认知。
亚马逊云科技使用多种方式帮助审计员和监管机构快速了解。例如举办数字审计研讨会、开设了云审计学院等。(伟德国际唯一官网入口头条)
