Ringkasan Audit Manager

Audit Manager adalah solusi audit kepatuhan yang membantu Anda menyederhanakan proses audit kepatuhan di Google Cloud. Audit Manager memungkinkan Anda menjalankan audit terhadap framework bawaan dan framework kustom yang Anda tentukan menggunakan framework Compliance Manager atau Assured Workloads (Pratinjau).

Audit Manager memiliki kemampuan berikut:

  • Matriks tanggung jawab bersama yang menunjukkan pemisahan tugas dan rekomendasi untuk mengelola tanggung jawab Anda.
  • Dokumen kepatuhan untuk Google Cloud
  • Penilaian kepatuhan otomatis untuk mengevaluasi kontrol kepatuhan pada workload guna memahami status kepatuhannya.
  • Pengumpulan bukti untuk audit kepatuhan.
  • Identifikasi kesenjangan untuk membantu memperbaiki pelanggaran yang dihasilkan.

Audit Manager dapat memberikan penilaian untuk project atau folder apa pun. Google Cloud

Framework yang didukung

Audit Manager dapat mengevaluasi resource Anda berdasarkan kontrol cloud dan kontrol untuk framework bawaan berikut:

Jika Anda membeli langganan Security Command Center Premium atau Enterprise atau mengaktifkan Assured Workloads, hal berikut akan berlaku:

Bermigrasi dari framework lama

Jika Anda menjalankan audit sebelum 30 Juni 2026, Anda menggunakan framework yang berbeda. Framework ini tidak lagi tersedia untuk menjalankan audit. Tabel berikut memetakan framework lama ke framework yang dapat Anda deploy menggunakan Compliance Manager atau framework Assured Workloads (Pratinjau).

Framework lama Framework Audit Manager yang setara Framework Compliance Manager yang setara (Pratinjau) Framework Assured Workloads yang setara
NIST 800-53 Revisi 4 NIST 800-53 Revisi 5 NIST 800-53 Revisi 5
Kontrol AI yang direkomendasikan Google [1] [1]
SOC2 2017 SOC2 2017 SOC2 2017 SOC2 2017
CIS Controls v8 CIS Critical Security Controls v8 CIS Critical Security Controls v8
PCI DSS 4.0 PCI DSS v4.0.1 PCI DSS v4.0.1
Cloud Controls Matrix 4.0 CSA Cloud Controls Matrix v4.0.11 CSA Cloud Controls Matrix v4.0.11
NIST CSF v1 NIST Cybersecurity Framework 1.1 NIST Cybersecurity Framework 1.1
CIS Google Cloud Foundation Benchmark 2.0 CIS GCP Foundations Benchmark v3.0 CIS GCP Foundations Benchmark v3.0
ISO 27001 2022 ISO 27001:2022 ISO 27001:2022

Jika Anda menjalankan audit menggunakan framework yang lebih lama, Anda dapat terus melihat laporan audit di halaman Lihat penilaian dan di bucket Cloud Storage tempat Anda menyimpan laporan.

1 Framework Compliance Manager dan Assured Workloads (Pratinjau) menyertakan framework bawaan Google Recommended AI Essentials - Gemini Enterprise Agent Platform. Anda dapat menggunakan framework ini, bukan framework kontrol AI yang direkomendasikan Google yang lebih lama, meskipun framework ini menggunakan kontrol yang berbeda untuk mengevaluasi lingkungan Anda.

Framework kustom

Sebelum 30 Juni 2026, Audit Manager menyertakan fitur pratinjau yang memungkinkan Anda membuat framework kustom. Jika Anda membuat framework kustom menggunakan fitur pratinjau tersebut, Anda dapat terus menjalankan audit terhadap framework kustom dan melihat laporan yang Anda buat. Namun, Anda tidak dapat melihat atau mengedit framework kustom Anda.

Jika tidak ada framework bawaan di Audit Manager yang berlaku untuk lingkungan Anda, Anda dapat menggunakan opsi berikut:

Kontrol dan kontrol cloud

Audit Manager menyertakan kontrol dan kontrol cloud dalam framework-nya. Pertimbangkan hal berikut:

  • Kontrol adalah tujuan umum yang memungkinkan Anda menilai perlindungan aset, mitigasi risiko, dan tujuan peraturan bisnis. Kontrol dapat terdiri dari kontrol cloud teknis dan non-teknis.

  • Kontrol cloud adalah kontrol yang ditentukan software yang memeriksa konfigurasi tertentu di lingkungan Google Cloud Anda. Sebagian besar kontrol cloud bersifat teknis. Misalnya, kontrol adalah persyaratan peraturan untuk mengaudit lingkungan Anda, dan kontrol cloud adalah mekanisme khusus untuk memastikan bahwa Cloud Audit Logs diaktifkan untuk berbagai API.

  • Framework adalah kumpulan kontrol dan kontrol cloud yang membantu Anda memenuhi standar peraturan tertentu. Misalnya, Audit Manager menyertakan framework untuk ISO 27001 2022. Kontrol cloud dan kontrol yang bersifat teknis mencakup satu atau beberapa aturan yang dapat diperiksa oleh Audit Manager selama audit dan dikumpulkan buktinya.

Cara audit kontrol dan kontrol cloud

Cara Audit Manager mengaudit kontrol atau kontrol cloud bergantung pada apakah Audit Manager dapat mengevaluasi kontrol atau kontrol cloud secara teknis. Pertimbangkan hal berikut:

  • Beberapa kontrol atau kontrol cloud memerlukan peninjauan manual karena tidak ada panggilan API yang dapat dilakukan Audit Manager untuk memvalidasinya. Misalnya, kontrol mungkin mengharuskan Anda meninjau sistem akses yang tidak ada diGoogle Cloud. Jika kontrol atau kontrol cloud memerlukan peninjauan manual, Audit Manager akan membuat observasi yang memberi tahu Anda bahwa Anda harus menyelesaikan peninjauan sendiri. Bukti teknis mungkin dihasilkan. Status kontrol atau kontrol cloud adalah Opsional: Peninjauan Manual Diperlukan.

  • Beberapa kontrol atau kontrol cloud berlaku langsung untuk nilai tertentu di Google Cloud. Misalnya, kontrol cloud dapat mewajibkan Anda mengaktifkan CMEK untuk bucket Cloud Storage. Dalam skenario ini, Audit Manager dapat melakukan panggilan API untuk memeriksa setelan tertentu. Nilai yang ditampilkan adalah bukti. Audit Manager kemudian dapat mengevaluasi apakah bukti memenuhi atau gagal memenuhi aturan yang diharapkan. Audit Manager membuat observasi yang mencakup bukti dan evaluasi. Status kontrol atau kontrol cloud dapat berupa salah satu dari berikut:

    • Jika Audit Manager mengevaluasi bukti sebagai memenuhi aturan, status kontrol atau kontrol cloud adalah Sesuai.

    • Jika Audit Manager mengevaluasi bukti sebagai gagal memenuhi aturan, status kontrol atau kontrol cloud adalah gagal. Untuk kontrol atau kontrol cloud yang menyertakan beberapa aturan, jika ada aturan yang gagal, statusnya adalah Pelanggaran.

    • Jika Audit Manager mengalami jenis error apa pun selama proses ini (misalnya, panggilan API kehabisan waktu), status kontrol atau kontrol cloud adalah Dilewati.

Alur kerja Audit Manager

Alur kerja tingkat tinggi Audit Manager mencakup penyiapan akses Audit Manager dan pengelolaan audit.

  1. Untuk menyiapkan akses Audit Manager, Anda harus menjadi Admin Audit Manager (roles/auditmanager.admin) dan mendaftarkan resource untuk audit.
  2. Untuk mengelola audit, Anda dapat menjadi administrator atau auditor dan melakukan tindakan berikut:
    1. Menjalankan audit.
    2. Mendapatkan status audit.
    3. Melihat laporan Audit Manager yang mendetail.

Langkah berikutnya