信息安全注册评估师计划 (IRAP)

概览

IRAP

信息安全注册评估师计划 (IRAP) 使澳大利亚政府客户能够确认适当的控制措施是否落实到位,并确定恰当的责任模型,以便满足澳大利亚信号局 (ASD) 制定的澳大利亚政府信息安全手册 (ISM) 的各项要求。

在购买和利用云服务时,能否保护澳大利亚政府数据不被访问、滥用和披露是首要的考虑因素。AWS 认识到客户依赖于 AWS 基础设施的安全交付能力,还认识到拥有能够帮助客户创建安全环境的功能的重要性。AWS 建立了一个可靠的控制环境,并提供众多安全服务和功能,在交付服务时将安全性放在第一位,以此帮助客户满足上述目标。这些服务提供了适用于客户 IT 控制环境的全面控制措施,简化了安全服务的管理,还能改善澳大利亚政府的安全成效。

AWS 符合 IRAP 的要求。由一名独立的 IRAP 评估师检验 AWS 在人员、流程和技术方面的控制措施,以确保符合 ISM 的各项要求。依据此次评估结果以及获得的合规性证明,认证机构便可放心地批准 AWS 基础设施并向评审机构提供平台合理使用的建议。

IRAP 评估以及由澳大利亚政府的认证机构 ASD 授予的正式认证的最高形式就是机构认证。这种认证可以保证 AWS 已经按照 ISM 要求制定好适用的控制措施,是澳大利亚政府是否采用 AWS 运行其工作负载的直接决定因素。

  • 我可以使用哪些 IRAP 文档?

    为了支持我们的澳大利亚政府客户,我们提供了安全指南和文档包来加强您对使用 AWS 作为认证云服务提供商的安全性与合规性的理解。AWS 公开提供了以下白皮书:

    澳大利亚政府客户可以利用我们的 ASD 认证以及我们独立的 IRAP 评估师合规性证明,加快自己的认证过程,尽快实现认证目标。下面是我们公开提供的文档:

    其他 IRAP 文档面向使用 AWS Artifact 的客户提供,AWS Artifact 是一个用于按需访问 AWS 合规性报告的自助服务门户。您可以登录 AWS 管理控制台中的 AWS Artifact,或 AWS Artifact 入门了解更多信息。

    • 控制实施摘要
    • IRAP 报告第 2 阶段

    按照要求根据 NDA 提供,用以评估和测试 AWS 基础设施实施的控制措施的其他报告:

    • 服务机构控制措施 1 (SOC1) II 类报告
    • 服务机构控制措施 2 (SOC2) II 类报告
    • ISO 27001 认证和适用性声明
    • PCI 合规性认证和 PCI 责任摘要

    我们提供了快速入门,适用于希望创建基于云的工作负载的用户,这些工作负载使用 AWS 控制,且满足 ISM 对受保护分类级别的敏感政府数据处理的要求。可在约一小时内在 AWS 云上自动部署受 IRAP 保护的参考架构。参考架构展示了如何将多个 AWS 服务组合在一起,以支持多层 Web 应用程序,并提供符合受 ISM 保护要求的相关安全和管理服务。虽然此解决方案实施了受 IRAP 保护的参考架构中列出的多个控制,但并非所有推荐控制均包含在此快速入门中。使用此解决方案来存储受保护数据之前,请务必遵循受 IRAP 保护资源包中的指导,资源包可从 AWS Artifact 上获得。 

    有关其他报告的更多信息,请参阅 AWS 合规性常见问题

  • 我为什么需要 IRAP 认证评估师?

    IRAP 认证评估师是通过信息安全注册评估师计划 (IRAP) 获取了澳大利亚信号局 (ASD) 认证的个人,具有相应的资质来根据 ASD 的控制框架信息安全手册 (ISM) 开展评估工作。

    IRAP 认证评估师是唯一经过认证有资格根据澳大利亚政府信息安全手册 (ISM) 评估信息和通信技术 (ICT) 系统的个人。IRAP 认证评估师会说明合规与不合规方面,指明剩余风险和补救措施,并向认证机构提供认证建议。

  • 什么是 ISM?

    ISM 是由澳大利亚信号局 (ASD) 发布的澳大利亚政府信息安全手册 (ISM)。澳大利亚信号局是国防部的一个下属机构,其职责是保护澳大利亚政府系统与相关信息的安全。

    ISM 为管理澳大利亚政府信息和通信技术 (ICT) 系统的安全提供了标准,也是对澳大利亚政府司法部颁发的保护安全政策框架 (PSPF) 的补充。ISM 和 PSPF 共同为如何在 ICT 环境中实施适当的控制措施来处理各类工作负载提供了指南。

    通过 ISM 合规性可以评估云服务提供商是否具有入选 ASD 认证云服务名单的资格。该名单中的服务均已通过 ASD 的认证。相关机构需要得到认证才能将工作负载迁移到云服务上进行运行,且这些云服务都是通过财政部一体化政府云服务小组这一澳大利亚政府的云服务主要采购媒介采购的。

    2017 年,数字转型机构 (DTA) 与其他政府机构和行业合作,制定了安全云策略。该策略主要是为了帮助政府机构使用云技术。

    要详细了解 ASD 在保护澳大利亚信息安全方面的作用,请参阅 ASD 网站上的信息安全 (InfoSec) 的作用

    irap_graphics
  • AWS 是否符合 ISM 的各项要求?

    是,AWS 经过了信息安全注册评估师计划 (IRAP) 的一位独立评估师的审计。评估检验了 Amazon 在人员、流程和技术方面的安全控制措施,以确保符合 ASD 2014 ISM 的各项要求。有关更多信息,请参阅 AWS 网站上的 IRAP ISM 合规性证明

  • 在哪里可以找到关于 IRAP 计划的更多信息?

    有关更多信息,请参阅 ASD 网站上的 IRAP 计划

  • IRAP 评估涵盖哪些 AWS 区域和服务?

    IRAP 评估和 ASD 认证涵盖 AWS 悉尼区域。但 AWS 在控制措施、政策以及用以实施这些政策的流程方面对所有 AWS 区域都一视同仁。相关机构应该对其工作负载和业务需求进行评估,以决定使用哪个 AWS 区域。

    IRAP 评估涵盖的 AWS 服务可以在 AWS 按合规性计划提供的范围内服务网页中找到。

  • 我是否可以使用 IRAP 评估中没有包含的其他 AWS 服务?

    可以。如果您想使用的服务未在 AWS 按合规性计划提供的范围内服务网页上列出,您可以评估其工作负载以确定是否适合使用其他 AWS 服务。

  • ISM 合规性是否会提高 AWS 服务的成本?

    否,服务成本都不会因 AWS 的 ISM 合规性而增加。

  • AWS 是否具有入选 ASD 认证云服务名单的资格?

    是,澳大利亚信号局 (ASD) 对 AWS 完成了 IRAP 评估,向受保护的非机密 DLM 工作负载授予了 ASD 认证。更多相关信息,请参阅 ASD 认证云服务名单 (CCSL)

    ASD 作为认证机构拥有精深的专业知识,澳大利亚政府机构依靠它来确定服务的剩余风险是否得到充分认识和适当评估,从而大大降低了成本和风险。这显著提高了澳大利亚政府部门的安全成效,同时降低了他们执行此类评估的成本。

compliance-contactus-icon
有问题? 联系 AWS 业务代表
想要提供合规性服务?
立即申请 »
想要了解 AWS 合规性动态?
在 Twitter 上关注我们 »