信息安全注册评估师计划 (IRAP)

概览

IRAP

信息安全注册评估师计划 (IRAP) 使澳大利亚政府客户能够确认适当的控制措施是否落实到位,并确定恰当的责任模型,以便满足澳大利亚网络安全中心 (ACSC) 制定的澳大利亚政府信息安全手册 (ISM) 的各项要求。

在购买和利用云服务时,能否保护澳大利亚政府数据不被未经授权访问和披露是首要的考虑因素。AWS 认识到客户依赖于 AWS 基础设施的安全交付能力,还认识到拥有能够帮助他们创建安全环境的功能的重要性。AWS 建立了一个可靠的控制环境,并提供众多安全服务和功能,在交付服务时将安全性放在第一位,以此帮助客户满足上述目标。这些服务提供了适用于客户 IT 控制环境的全面控制措施,简化了安全服务的管理,还能改善澳大利亚政府的安全成效。

AWS 云服务已经过评估,符合 ISM。由一名独立的 IRAP 评估师根据 ISM 的要求检验 AWS 在人员、流程和技术方面的控制措施。 对于 AWS 实施的产品,此评估保证,已实施澳大利亚政府工作负载在受保护级别所需的适用控制措施。

  • CSCP 和 CCSL 停止后,产生了什么影响?

    2020 年 3 月 2 日星期一,澳大利亚信号局 (ASD) 和数字化转型部门 (DTA) 发布了云服务认证计划 (CSCP) 和信息安全注册评估师计划 (IRAP) 的审核结果。审核提出了以下建议:

    • 结束 CSCP 并与业界共同设计建立新的云安全指南
    • 发展和加强 IRAP
    • 建立政府和行业的网络安全咨询论坛
    • 更新采购和行政指令及指南中的激励措施,以反映 CSCP 的停止

    截至 2020 年 3 月 2 日,ASD 不再担任证书颁发机构,并已停止所有认证活动,包括重新认证活动。从 2020 年 7 月 27 日起,所有的 ASD 认证和再认证证明都将失效,且澳大利亚政府信息安全手册 (ISM) 已经更新,不再要求从认证云服务列表 (CCSL) 中选择云服务。

    根据澳大利亚政府的安全云战略,联邦机构可以利用已用于评估 ICT 系统的实践对云服务进行自我评估。

    现在的情况:

    2020 年 7 月 27 日,澳大利亚网络安全中心 (ACSC) 和数字化转型机构 (DTA) 发布了与业界联合制定的新云安全指南,支持在政府和行业中安全地采用云服务。AWS 继续采用 IRAP 评估来维持评估的一致性和注册新服务。联邦机构将继续负责自己的保证和风险管理活动。根据澳大利亚政府的安全云战略,联邦机构可以利用已用于评估 ICT 系统的实践对云服务进行自我评估。ASD 将通过与行业联合开发指南来增强现有的云安全指导。这些指南将进一步帮助联盟机构和澳大利亚企业提高他们的网络安全和弹性。

    迄今为止,ASD 已开发出很多有用的指南,供组织进行与云服务相关的适当安全评估。建议任何评估都要清楚地解决 ISM 和 ASD 云安全指南中的安全控制措施,包括:

    DTA 继续鼓励联邦机构使用澳大利亚政府安全云战略来支持他们的云服务采用过程。

  • 我可以使用哪些 IRAP 文档?

    为了支持我们的澳大利亚政府客户,我们提供了安全指南和文档包来加强您对使用 AWS 的安全性与合规性的理解。AWS 公开提供了以下材料:

    要访问受 IRAP 保护的资源包,您可以访问 AWS Artifact,它是一个用于按需访问 AWS 合规性报告的自助服务门户。您可以登录 AWS 管理控制台中的 AWS Artifact或通过 AWS Artifact 入门了解更多信息。掌握了这些信息,您就可以根据澳大利亚政府安全云战略计划、构建和对 AWS 中构建的系统进行自我评估。此资源包为公共部门客户提供了在受保护级别评估 AWS 所需的一切,并可以帮助各个机构简化采用 AWS 服务的过程。此资源包中的文档包括:

    • 合规性证明;
    • 控制实施摘要;
    • IRAP 第 2 阶段报告;
    • 参考架构;以及
    • 消费者指南。

    根据 NDA(按照要求)提供,用以评估和测试 AWS 基础设施实施的控制措施的其他报告:

    • 服务机构控制措施 1 (SOC1) II 类报告;
    • 服务机构控制措施 2 (SOC2) II 类报告;
    • ISO 27001 认证和适用性声明;以及
    • PCI 合规性认证和 PCI 责任摘要。

    我们提供了快速入门,它适用于希望创建基于云的工作负载的用户,这些工作负载使用 AWS 控制,且满足 ISM 对受保护分类级别的敏感政府数据处理的要求。可在约一小时内在 AWS 云上自动部署受 IRAP 保护的参考架构。参考架构展示了如何将多个 AWS 服务组合在一起,以支持多层 Web 应用程序,并提供符合受 ISM 保护要求的相关安全和管理服务。虽然此解决方案实施了受 IRAP 保护的参考架构中列出的多个控制,但并非所有推荐控制均包含在此快速入门中。使用此解决方案来存储受保护数据之前,请务必遵循受 IRAP 保护资源包中的指导,资源包可从 AWS Artifact 上获得。

    有关其他报告的更多信息,请参阅 AWS 合规性计划

  • 我为什么需要 IRAP 认证评估师?

    IRAP 认证评估师是来自澳大利亚各地的通过信息安全注册评估师计划 (IRAP) 获取了澳大利亚信号局 (ASD) 认证的 ICT 专业人士,具有相应的资质来根据 ASD 的控制框架信息安全手册 (ISM) 对信息和通信技术 (ICT) 系统开展评估工作。

    IRAP 评估师在 ICT、安全评估和风险管理方面具有必要的经验和资格,并对澳大利亚政府信息安全合规要求有详细的了解。

  • 什么是 ISM?

    澳大利亚政府信息安全手册 (ISM) 概括介绍了网络安全框架,各组织可应用该框架保护其信息和通信技术 (ICT) 系统免受网络威胁。它也是对澳大利亚政府司法部颁发的保护安全政策框架 (PSPF) 的补充。ISM 和 PSPF 为联邦机构在 ICT 环境中实施适当的控制措施提供了指南和责任义务。此外,联邦机构应考虑他们自己专门发布的或专为他们发布的相关指南。

    2017 年,数字转型机构 (DTA) 与其他政府机构和行业合作,制定了安全云策略。该策略主要是为了帮助政府机构使用云技术。

    ISM 由澳大利亚网络安全中心 (ACSC) 发布,ACSC 是澳大利亚政府在国家网络安全方面的领导组织,也是澳大利亚信号局 (ASD) 的组成部分。

    要详细了解 ACSC 在促进和改善澳大利亚网络安全方面起到的作用,请参阅 ASD 网站或 ACSC 网站上的网络安全网页

  • AWS 是否符合 ISM 的各项要求?

    是,AWS 云服务已经过独立 IRAP 评估师评估。评估检验了 Amazon 在人员、流程和技术方面的安全控制措施。对于这些产品,此评估保证,AWS 已实施澳大利亚政府工作负载在受保护级别所需的适用控制措施。有关更多信息,您还可以转至 AWS Artifact 从最新的评估中评估受 IRAP 保护的资源包。

  • 在哪里可以找到关于 IRAP 计划的更多信息?

    有关更多信息,请参阅 ACSC 网站上的 IRAP 网页

  • IRAP 评估涵盖哪些 AWS 区域和服务?

    IRAP 评估涵盖 AWS 悉尼区域中的范围内服务。IRAP 评估涵盖的 AWS 服务可以在 AWS 按合规性计划提供的范围内服务网页中找到。

  • 我是否可以使用 IRAP 评估中没有包含的其他 AWS 服务?

    是,遵守管理您的云服务使用的适用法规、政策和指南。如果您想使用的服务未在 AWS 按合规性计划提供的范围内服务网页上列出,您可以评估其工作负载以确定是否适合使用其他 AWS 服务。

compliance-contactus-icon
有问题? 联系 AWS 业务代表
想要提供合规性服务?
立即申请 »
想要了解 AWS 合规性动态?
在 Twitter 上关注我们 »