ISM 合规性 IRAP 计划

IRAP 合规性

在购买和利用云服务时，能否保护澳大利亚政府数据不被访问、滥用和披露是首要的考虑因素。AWS 认识到客户依赖于 AWS 基础设施的安全交付能力，还认识到拥有能够帮助客户创建更安全环境的功能的重要性。AWS 建立了一个可靠的控制环境，并提供众多安全服务和功能，在交付服务时将安全性放在第一位，以此帮助客户满足上述目标。这些服务提供了适用于客户 IT 控制环境的全面控制措施，简化了安全服务的管理，还能改善澳大利亚政府的安全成效。

信息安全注册评估师计划 (IRAP) 使澳大利亚政府客户能够确认适当的控制措施是否就绪，并确定恰当的责任模型，以便满足澳大利亚信号局 (ASD) 信息安全手册 (ISM) 的各项要求。

由一名独立的 IRAP 评估师审核 AWS 在员工、流程和技术方面的控制措施，确保符合 ISM 的各项要求。依据此次评估结果以及获得的合规性证明，认证机构便可放心地批准 AWS 基础设施并向评审机构提供平台合理使用的建议。

IRAP 评估以及由澳大利亚政府的认证机构 ASD 授予的正式认证的最高形式就是机构认证。这种认证可以保证 AWS 已经按照 ASD ISM 要求制定好适用的控制措施，是澳大利亚政府是否采用 AWS 运行其工作负载的直接决定因素。

这种认证将为各个机构或其商业合作伙伴卸下沉重的负担，让他们不再需要对运行其工作负载的云平台进行评估和认证，而能够专注于其系统的认证过程。

AWS 是 Healthdirect Australia 的重要合作伙伴。ISM 合规性意味着，我们能够随时随地以更加安全的方式让所有澳大利亚公民就适合其健康问题的护理获得适当的建议。 »

在 CSIRO 的持续资助下，We Feel 团队现在使用 AWS 来分析数亿推文，然后将分析结果发布在网站上。这一分析结果是对大规模具有统计学意义的多样性人群的情绪状态所进行的开创性剖析。网站访问者可以按照性别、位置和情绪品质来了解分析结果。目前主要有六类情绪状态 – 从开心到恐惧。这几类情绪状态包含有细微差别的几个子类，例如乐观和紧张。 »

“AWS 的可扩展性非常有用，”副教授 Vinsen 说。“需要时，我可以毫不费力地添加更多容量。使用 AWS，我们每个月可以处理多达 150GB 的天空图像，并存储超过 400GB 的成像数据。 »

“唯一要做的就是具备一门受欢迎的课程，我们预计会有超过 10 万人访问该系统。借助 AWS，我们已经准备好迎接这一增长。” »

“它不仅仅是一种按小时计费的基础设施，而且还是一种真正适合我们新的持续交付方法的全新工作方式。” »

如何保护我在 AWS 中的数据？

AWS 为客户提供了多种安全功能，可按照 ASD ISM 的控制措施、机构准则和政策保护他们的数据。我们会继续对提供给客户的安全工具进行迭代，并定期推出针对现有安全功能的增强功能。另外，我们还为客户提供了各种白皮书、在线文档和安全视频。我们面向全球发布的白皮书中为您提供了如何保护数据的多种建议，它们同样适用于澳大利亚政府的 AWS 工作负载。

我该如何使用 AWS 的 IRAP 安全文档和指南？

我该如何使用 AWS 的 IRAP 安全文档和指南？

澳大利亚政府客户可以利用我们的 ASD 认证以及我们独立的 IRAP 评估师合规性证明，加快自己的认证过程，尽快实现认证目标。

为了支持我们的澳大利亚政府客户，我们提供了安全指南和文档包来加强他们对使用 AWS 作为认证云服务提供商的安全性与合规性的理解。

特别是针对通过 IRAP 根据 ISM 对 AWS 基础设施进行评估，我们按照要求根据 NDA 为政府机构或其合作伙伴提供了以下材料：

– IRAP 对于 AWS 是否符号 ISM 要求的报告

– AWS 基础设施平台的 ASD 认证证明

- IRAP ISM 合规性证明

– 控制措施实施摘要

按照要求根据 NDA 提供，用以评估和测试 AWS 基础设施实施的控制措施的其他报告：

– 服务机构控制措施 1 (SOC1) II 类报告

– 服务机构控制措施 2 (SOC2) II 类报告

- ISO27001 认证和适用性声明

– PCI 合规性认证和 PCI 责任摘要

有关其他报告的更多信息，请参阅 AWS 合规性常见问题。

如要请求访问与澳大利亚政府客户或与澳大利亚政府开展业务的承包商相关的 AWS 安全文档，请联系 AWS 销售和业务发展部，或发送电子邮件至 awscompliance@amazon.com。

我为什么需要 IRAP 认证评估师？

IRAP 评估师是唯一经过认证有资格根据澳大利亚政府 ISM 评估 ICT 系统，说明合规与不合规方面，指明剩余风险和补救措施，并向认证机构提供认证建议的个人。

我们可以向客户提供的 IRAP 文件包和文档有哪些？

文档控制	文档	联邦机构文件包	SLED 文件包	AWS 合作伙伴
DRM	IRAP 报告第 2 阶段	X
DRM	ASD 认证报告	X
公开	ASD 认证证明	X	X	X
公开	IRAP ISM 合规性证明	X	X	X
DRM	控制措施实施摘要	X	X	X

我需要哪些合规性文件包？

联邦机构文件包，联邦政府雇员或政府授权承包商需要此文件包，他们需要在 ASD 认证的基础上执行正式认证，并进一步了解 AWS 如何满足适用的 ISM 控制要求。
SLED 文件包，州或地方政府以及政府教育机构需要此文件包，他们依靠于联邦政府和保护安全政策框架 (PSPF) 来实现信息安全并获取风险管理指导。
AWS 合作伙伴文件包，想要基于 AWS 构建应用程序以供联邦政府使用的合作伙伴需要此文件包，他们需要明确自己要继承哪些控制措施，需要负责实施哪些控制措施。

这些文档如何分发？

· 公开文档，通过电子邮件发送，或通过本网站公开。

· NDA 文档，一旦确认已签署 NDA，则作为受密码保护的附件以 Adobe PDF 格式通过电子邮件发送。这需要使用 Adobe Reader 9.0 或更高版本。

· DRM 文档，由 Adobe LiveCycle 管理员使用数字版权管理严格控制，需要使用 Adobe Reader 9.0 或更高版本才能打开。这些文档的内容通常无法进行复制，而且只允许有需要的个人在指定时间段内查阅。

这些文档有哪些访问要求？

所有文件包都需要机构与 AWS 签署相应的 NDA。如果代表联邦政府机构或 SLED 为认证执行安全评估的承包商要请求访问文件包，则还需要从政府安全代表处获取授予访问权限的书面许可。

我还可以查阅其他什么文档，以便能够放心地在 AWS 上运行澳大利亚政府工作负载？

请参阅：AWS Risk and Compliance 白皮书

这是 AWS 维护的众多认证和报告中的一个 (请参阅合规性计划页面)，也是 AWS 在全球范围内实施的多种控制措施之一。还应指出的是，AWS 在美国政府的 FedRAMP 计划下获得了操作授权书 (ATO)，其控制措施来源于 NIST800-53Rev4。这些广泛的控制措施全部公开，能够让客户更加确信他们可以非常放心地在 AWS 上运行工作负载。

用于评估和测试 AWS 基础设施实施的控制措施的其他报告有：

– 服务机构控制措施 1 (SOC1) II 类报告

– 服务机构控制措施 2 (SOC2) II 类报告

o SOC2 可用性

o SOC2 安全性

- 服务机构控制措施 3 (SOC3)

- ISO 27001 认证和适用性声明

– PCI 合规性认证和 PCI 责任摘要

– AWS 安全控制措施摘要

如要请求访问 AWS 的合规性文档，请联系 AWS 销售和业务发展部，或发送电子邮件至 awscompliance@amazon.com。

AWS 是否是财政部一体化政府云服务小组成员？

是的，AWS 自 2015 年 3 月 31 日就已成为该小组成员。通过经过预评估的供应商以及共同合同框架，各机构将获得物有所值的云服务和简化的采购流程。这种采购的便利性使这些机构能够按照任务需要的进度发展，以便有效地为澳大利亚公民提供服务。

什么是 ISM？

ISM 是由澳大利亚信号局 (ASD) 发布的澳大利亚政府 信息安全手册 (ISM)。澳大利亚信号局是国防部的一个下属机构，其职责是保护澳大利亚政府系统与相关信息的安全。

要详细了解 ASD 在保护澳大利亚信息安全方面的作用，请访问 http://www.asd.gov.au/about/roleinfosec.htm

AWS 是否符合 ISM 的各项要求？

符合，AWS 经过了信息安全注册评估师计划的一位独立评估师的审核。评估检验了 Amazon 在人员、程序和技术方面的安全控制措施，以确保它们符合 ASD 2014 ISM 的各项要求。

在哪里可以找到关于 IRAP 计划的更多信息？

http://www.asd.gov.au/infosec/irap/index.htm

IRAP 评估涵盖哪些 AWS 服务？

您可以在 AWS 按合规性计划提供的范围内服务中找到已在 IRAP 评估范围内的 AWS 服务。如果您想要了解有关使用这些服务的更多信息，并且/或对其他服务感兴趣，请联系我们。

ISM 合规性是否会提高 AWS 服务的成本？

不会，任何区域的服务成本都不会因 AWS 的 ISM 合规性而增加。

在哪里可以找到 ISM？

信息安全手册 (ISM)

AWS 是否入选澳大利亚信号局的认证云服务名单？

入选了，澳大利亚信号局 (ASD) 已作为认证机构向 AWS 授予了非机密 DLM (UD) 工作负载认证，AWS 还是 ASD 认证云服务名单 (CCSL) 的首批成员。

ASD 作为认证机构拥有精深的专业知识，依靠他来确定服务的剩余风险是否得到充分认识和适当评估，可大大降低机构的成本和风险。这显著提高了澳大利亚政府部门的安全成效，同时降低了他们执行此类评估的成本。

ISM 为何十分重要？

2014 年 10 月，澳大利亚财政部和通信部联合发布了澳大利亚政府云计算政策 3.0，该政策要求联邦政府机构一律按照“云优先”的方针采用云服务。

“根据澳大利亚政府颁布的云政策，现在机构必须采用适合其用途、提供充足的数据保护并提供物超所值服务的云。”

ISM 为管理政府信息和通信技术 (ICT) 系统的安全提供了标准。也是对澳大利亚政府司法部颁发的保护安全政策框架 (PSPF) 的补充。ISM 为如何在 ICT 环境中实施适当的控制措施来处理各类工作负载提供了指南。

通过 ISM 合规性可以评估云服务提供商是否具有入选 ASD 认证云服务名单的资格。该名单中的服务均已通过 ASD 的认证。相关机构需要得到认证才能将工作负载迁移到云服务上进行运行，且这些云服务都是通过财政部一体化政府云服务小组这一澳大利亚政府的云服务主要采购媒介采购的。

什么是 IRAP 认证评估师？

他们是通过信息安全注册评估师计划获取了澳大利亚信号局 (ASD) 认证的个人，具有相应的资质来根据 ASD 的控制框架信息安全手册 (ISM) 开展评估工作。

涵盖哪些 AWS 区域？

IRAP 评估和 ASD 认证只涵盖 AWS 悉尼区域。但 AWS 在控制措施、政策以及用以实施这些政策的流程方面对所有区域都一视同仁。机构应该对其工作负载和业务需求进行评估，以决定使用哪个 AWS 区域。

是否可以使用其他服务？

可以，客户可以评估其工作负载以确定是否适用其他 AWS 服务。如需详细讨论有关安全控制和风险承受注意事项，请联系 AWS 销售和业务发展部。

在哪里可以找到独立 IRAP 审计师为 AWS 提供的合规性证明？

IRAP ISM 合规性证明

IRAP 合规性资源

想了解有关 AWS IRAP 合规性的更多信息？

联系我们