Audit Manager 簡介

Audit Manager 是一項法規遵循稽核解決方案,可協助您簡化 Google Cloud的法規遵循稽核程序。您可以透過 Audit Manager,針對內建架構和自訂架構執行稽核,這些自訂架構是您使用 Compliance Manager 或 Assured Workloads 架構 (預先發布) 定義。

稽核管理工具具備下列功能:

  • 共同責任矩陣,顯示職責劃分和管理責任的建議。
  • 「 Google Cloud」的法規遵循文件
  • 自動進行法規遵循評估,評估工作負載的法規遵循控管措施,瞭解法規遵循狀態。
  • 收集證據以進行法規遵循稽核。
  • 找出缺口,協助修正產生的違規事項。

Audit Manager 可為任何 Google Cloud 專案或資料夾提供評估結果。

支援的架構

稽核管理員可以根據下列內建架構的雲端控制選項和控制選項,評估您的資源:

如果您購買 Security Command Center Premium 或 Enterprise 訂閱方案,或是啟用 Assured Workloads,系統會執行下列操作:

從舊版架構遷移

如果您在 2026 年 6 月 30 日前進行稽核,則使用的是不同架構。這些架構已無法用於執行稽核。下表列出舊版架構與可透過 Compliance Manager 或 Assured Workloads 架構 (搶先版) 部署的架構之間的對應關係。

舊版架構 等效的 Audit Manager 架構 對應的 Compliance Manager 架構 (預先發布版) 等效的 Assured Workloads 架構
NIST 800-53 Revision 4 NIST 800-53 修訂版 5 NIST 800-53 修訂版 5
Google 建議採用的 AI 控管機制 [1] [1]
SOC2 2017 SOC2 2017 SOC2 2017 SOC2 2017
CIS Controls v8 CIS Critical Security Controls v8 CIS Critical Security Controls v8
PCI DSS 4.0 PCI DSS 4.0.1 版 PCI DSS 4.0.1 版
Cloud Controls Matrix 4.0 CSA Cloud Controls Matrix v4.0.11 CSA Cloud Controls Matrix v4.0.11
NIST CSF v1 NIST 網路安全架構 1.1 NIST 網路安全架構 1.1
CIS Google Cloud Foundation Benchmark 2.0 CIS GCP Foundations Benchmark v3.0 CIS GCP Foundations Benchmark v3.0
ISO 27001 2022 ISO 27001:2022 ISO 27001:2022

如果您使用舊版架構執行稽核,仍可在「查看評估」頁面,以及儲存報表的 Cloud Storage bucket 中查看稽核報表。

1「法規遵循管理員」和「Assured Workloads」架構 (搶先版) 都內建「Google 建議採用的 AI 基礎功能 - Gemini Enterprise Agent Platform」架構。您可以改用這個架構,取代舊版 Google 建議的 AI 控制項架構,但這個架構會使用不同的控制項評估您的環境。

自訂架構

2026 年 6 月 30 日前,稽核管理員提供預覽功能,可供您建立自訂架構。如果您使用該預先發布功能建立自訂架構,可以繼續對自訂架構執行稽核,並查看您建立的報表。不過,您無法查看或編輯自訂架構。

如果 Audit Manager 的內建架構都不適用於您的環境,可以採取下列做法:

控管機制和雲端控管機制

Audit Manager 的架構包含控管機制和雲端控管機制。請考量下列事項:

  • 控制措施是通用目標,可讓您評估資產保護、風險緩解和業務法規目標。控管措施可由技術和非技術雲端控管措施組成。

  • 雲端控制項是軟體定義的控制項,可檢查 Google Cloud 環境中的特定設定。大多數雲端控管機制都是技術性的,舉例來說,控制項是稽核環境的法規要求,而雲端控制項則是確保各種 API 啟用 Cloud 稽核記錄的特定機制。

  • 「架構」是一系列控管機制和雲端控管機制,可協助您符合特定法規標準。舉例來說,Audit Manager 包含 ISO 27001 2022 的架構。雲端控管機制和技術控管機制包含一或多項規則,稽核管理員可在稽核期間檢查這些規則,並收集相關證據。

控管機制和雲端控管機制的稽核方式

Audit Manager 稽核控制項或雲端控制項的方式,取決於 Audit Manager 是否能從技術上評估控制項或雲端控制項。請考量下列事項:

  • 部分控制項或雲端控制項需要手動審查,因為 Audit Manager 無法透過 API 呼叫驗證這些控制項。舉例來說,某項控制措施可能要求您審查不在Google Cloud中的存取系統。如果控制項或雲端控制項需要手動審查,稽核管理員會建立觀察事項,告知您必須自行完成審查。系統可能會產生技術證據。控制項或雲端控制項的狀態為「選用:需要人工審查」

  • 部分控制項或雲端控制項會直接套用至Google Cloud中的特定值。舉例來說,雲端控管措施可能會要求您為 Cloud Storage bucket 啟用 CMEK。在這個情境中,稽核管理員可以發出 API 呼叫,檢查特定設定。傳回的值是證據。Audit Manager 接著會評估證據是否符合預期規則。Audit Manager 會建立觀察結果,其中包含證據和評估結果。控制項或雲端控制項的狀態可以是下列任一項:

    • 如果 Audit Manager 評估結果顯示證據符合規則,控管機制或雲端控管機制的狀態就會是「符合規定」

    • 如果稽核管理員評估證據時,發現證據不符合規則,控制項或雲端控制項的狀態就會是「失敗」。如果控制項或雲端控制項包含多項規則,只要有任何規則失敗,狀態就會顯示「違規」

    • 如果稽核管理員在此程序中遇到任何類型的錯誤 (例如 API 呼叫逾時),控制項或雲端控制項的狀態會顯示為「已略過」

Audit Manager 工作流程

Audit Manager 的高階工作流程包括設定 Audit Manager 存取權及管理稽核。

  1. 如要設定 Audit Manager 存取權,您必須是 Audit Manager 管理員 (roles/auditmanager.admin),並註冊稽核資源。
  2. 如要管理稽核,您必須是管理員或稽核員,並執行下列操作:
    1. 執行稽核。
    2. 取得稽核狀態。
    3. 查看詳細的稽核管理員報告。

後續步驟