我想了解有关云中的 IRAP 的信息

 

 

AWS IRAP 合规性

在购买和利用云服务时,能否保护澳大利亚政府数据不被访问、滥用和披露是首要的考虑因素。AWS 认识到客户依赖于 AWS 基础设施的安全交付能力,还认识到拥有能够帮助客户创建更安全环境的功能的重要性。AWS 建立了一个可靠的控制环境,并提供众多安全服务和功能,在交付服务时将安全性放在第一位,以此帮助客户满足上述目标。这些服务提供了适用于客户 IT 控制环境的全面控制措施,简化了安全服务的管理,还能改善澳大利亚政府的安全成效。

信息安全注册评估师计划 (IRAP) 使澳大利亚政府客户能够确认适当的控制措施是否就绪,并确定恰当的责任模型,以便满足澳大利亚信号局 (ASD) 信息安全手册 (ISM) 的各项要求。

由一名独立的 IRAP 评估师审核 AWS 在员工、流程和技术方面的控制措施,确保符合 ISM 的各项要求。依据此次评估结果以及获得的合规性证明,认证机构便可放心地批准 AWS 基础设施并向评审机构提供平台合理使用的建议。

IRAP 评估以及由澳大利亚政府的认证机构 ASD 授予的正式认证的最高形式就是机构认证。这种认证可以保证 AWS 已经按照 ASD ISM 要求制定好适用的控制措施,是澳大利亚政府是否采用 AWS 运行其工作负载的直接决定因素。

这种认证将为各个机构或其商业合作伙伴卸下沉重的负担,让他们不再需要对运行其工作负载的云平台进行评估和认证,而能够专注于其系统的认证过程。



AWS 为客户提供了多种安全功能,可按照 ASD ISM 的控制措施、机构准则和政策保护他们的数据。我们会继续对提供给客户的安全工具进行迭代,并定期推出针对现有安全功能的增强功能。另外,我们还为客户提供了各种白皮书、在线文档和安全视频。我们面向全球发布的白皮书中为您提供了如何保护数据的多种建议,它们同样适用于澳大利亚政府的 AWS 工作负载。

IRAP AWS 云

我该如何使用 AWS 的 IRAP 安全文档和指南?

澳大利亚政府客户可以利用我们的 ASD 认证以及我们独立的 IRAP 评估师合规性证明,加快自己的认证过程,尽快实现认证目标。

为了支持我们的澳大利亚政府客户,我们提供了安全指南和文档包来加强他们对使用 AWS 作为认证云服务提供商的安全性与合规性的理解。 

特别是针对通过 IRAP 根据 ISM 对 AWS 基础设施进行评估,我们按照要求根据 NDA 为政府机构或其合作伙伴提供了以下材料:

–          IRAP 对于 AWS 是否符号 ISM 要求的报告

–          AWS 基础设施平台的 ASD 认证证明

-          IRAP ISM 合规性证明

–          控制措施实施摘要

按照要求根据 NDA 提供,用以评估和测试 AWS 基础设施实施的控制措施的其他报告:

–          服务机构控制措施 1 (SOC1) II 类报告

–          服务机构控制措施 2 (SOC2) II 类报告

-         ISO27001 认证和适用性声明

–          PCI 合规性认证和 PCI 责任摘要

有关其他报告的更多信息,请参阅 AWS 合规性常见问题

如要请求访问与澳大利亚政府客户或与澳大利亚政府开展业务的承包商相关的 AWS 安全文档,请联系 AWS 销售和业务发展部,或发送电子邮件至 awscompliance@amazon.com

     

IRAP 评估师是唯一经过认证有资格根据澳大利亚政府 ISM 评估 ICT 系统,说明合规与不合规方面,指明剩余风险和补救措施,并向认证机构提供认证建议的个人。

IRAP 评估

下面是我们公开提供的文档:

控制实施摘要和 IRAP 报告第 2 阶段面向使用 AWS Artifact 的客户提供。AWS Artifact 是一个自助服务门户,借此可按照需要访问 AWS 的合规性报告立即开始使用 AWS Artifact。

是的,AWS 自 2015 年 3 月 31 日就已成为该小组成员。通过经过预评估的供应商以及共同合同框架,各机构将获得物有所值的云服务和简化的采购流程。这种采购的便利性使这些机构能够按照任务需要的进度发展,以便有效地为澳大利亚公民提供服务。

ISM 是由澳大利亚信号局 (ASD) 发布的澳大利亚政府 信息安全手册 (ISM)。澳大利亚信号局是国防部的一个下属机构,其职责是保护澳大利亚政府系统与相关信息的安全。

要详细了解 ASD 在保护澳大利亚信息安全方面的作用,请访问 http://www.asd.gov.au/about/roleinfosec.htm

     

符合,AWS 经过了信息安全注册评估师计划的一位独立评估师的审核。评估检验了 Amazon 在人员、程序和技术方面的安全控制措施,以确保它们符合 ASD 2014 ISM 的各项要求。

您可以在 AWS 按合规性计划提供的范围内服务中找到已在 IRAP 评估范围内的 AWS 服务。如果您想要了解有关使用这些服务的更多信息,并且/或对其他服务感兴趣,请联系我们

不会,任何区域的服务成本都不会因 AWS 的 ISM 合规性而增加。

入选了,澳大利亚信号局 (ASD) 已作为认证机构向 AWS 授予了非机密 DLM (UD) 工作负载认证,AWS 还是 ASD 认证云服务名单 (CCSL) 的首批成员。

ASD 作为认证机构拥有精深的专业知识,依靠他来确定服务的剩余风险是否得到充分认识和适当评估,可大大降低机构的成本和风险。这显著提高了澳大利亚政府部门的安全成效,同时降低了他们执行此类评估的成本。

2014 年 10 月,澳大利亚财政部和通信部联合发布了澳大利亚政府云计算政策 3.0,该政策要求联邦政府机构一律按照“云优先”的方针采用云服务。

根据澳大利亚政府颁布的云政策,现在机构必须采用适合其用途、提供充足的数据保护并提供物超所值服务的云。

ISM 为管理政府信息和通信技术 (ICT) 系统的安全提供了标准。也是对澳大利亚政府司法部颁发的保护安全政策框架 (PSPF) 的补充。ISM 为如何在 ICT 环境中实施适当的控制措施来处理各类工作负载提供了指南。

通过 ISM 合规性可以评估云服务提供商是否具有入选 ASD 认证云服务名单的资格。该名单中的服务均已通过 ASD 的认证。相关机构需要得到认证才能将工作负载迁移到云服务上进行运行,且这些云服务都是通过财政部一体化政府云服务小组这一澳大利亚政府的云服务主要采购媒介采购的。

     
他们是通过信息安全注册评估师计划获取了澳大利亚信号局 (ASD) 认证的个人,具有相应的资质来根据 ASD 的控制框架信息安全手册 (ISM) 开展评估工作。      

IRAP 评估和 ASD 认证只涵盖 AWS 悉尼区域。但 AWS 在控制措施、政策以及用以实施这些政策的流程方面对所有区域都一视同仁。机构应该对其工作负载和业务需求进行评估,以决定使用哪个 AWS 区域。

可以,客户可以评估其工作负载以确定是否适用其他 AWS 服务。如需详细讨论有关安全控制和风险承受注意事项,请联系 AWS 销售和业务发展部      

 

联系我们