Information Security Registered Assessors Program (IRAP)

Gambaran Umum

IRAP

Information Security Registered Assessors Program (IRAP) memungkinkan pelanggan pemerintah Australia memvalidasi bahwa kontrol yang diterapkan sudah sesuai dan menentukan model tanggung jawab yang tepat untuk menangani ketentuan Information Security Manual (ISM) Pemerintah Australia yang dikeluarkan oleh Australian Signals Directorate (ASD).

Melindungi data pemerintah Australia dari pengaksesan, penyalahgunaan, dan pengungkapan menjadi pertimbangan utama saat mendapatkan dan memanfaatkan layanan cloud. AWS memahami bahwa pelanggan mengandalkan pengiriman yang aman dari infrastruktur AWS dan pentingnya memiliki fitur yang memungkinkan pelanggan untuk menciptakan lingkungan yang aman. AWS memungkinkan pelanggan untuk memenuhi tujuan ini dengan memprioritaskan keamanan dalam pengiriman layanannya, melalui pembentukan lingkungan kontrol yang kuat, dan dengan menyediakan sejumlah besar fitur dan layanan keamanan. Layanan ini memberikan kontrol yang komprehensif atas lingkungan kontrol IT pelanggan, menyederhanakan pengelolaan layanan keamanan, dan menyediakan hasil keamanan yang lebih baik untuk Pemerintah Australia.

AWS sesuai dengan IRAP. Penilai IRAP yang independen memeriksa kontrol AWS, termasuk orang, proses, serta teknologi, untuk memastikan kontrol tersebut menangani kebutuhan ISM. Penilaian dan Surat Kepatuhan ini merupakan dasar di mana Otoritas Sertifikasi mendapatkan jaminan untuk memberi sertifikasi pada infrastruktur AWS dan menyediakan rekomendasi bagi Accreditation Authority untuk penggunaan yang sesuai atas platform tersebut.

Akreditasi dari lembaga adalah titik puncak dari penilaian IRAP dan sertifikasi formal oleh ASD yang bertindak sebagai Certification Authority untuk Pemerintah Australia. Sertifikasi ini memberi jaminan bahwa AWS telah memiliki kontrol yang berlaku sebagai mana diwajibkan oleh ISM dan merupakan prasyarat langsung dalam mengakreditasi AWS untuk beban kerja pemerintah Australia.

  • Apa dokumen IRAP yang tersedia untuk saya?

    Untuk mendukung pelanggan pemerintah Australia, kami menyediakan paket panduan keamanan dan dokumentasi untuk memperkuat pemahaman Anda tentang keamanan dan kepatuhan saat menggunakan AWS sebagai penyedia layanan cloud bersertifikat. Whitepaper berikut disediakan AWS untuk umum:

    Pelanggan pemerintah Australia dapat menggunakan sertifikasi ASD dan Surat Kepatuhan Penilai IRAP independen kami untuk mempercepat tujuan sertifikasi dan akreditasi mereka. Dokumen berikut tersedia untuk umum:

    Dokumen IRAP lainnya tersedia bagi pelanggan dengan menggunakan AWS Artifact, sebuah portal layanan mandiri untuk akses sesuai permintaan ke laporan kepatuhan AWS. Masuk ke AWS Artifact in the AWS Management Console, atau pelajari lebih lanjut di Getting Started with AWS Artifact.

    • Ringkasan Implementasi Kontrol
    • Laporan IRAP Tahap 2

    Tersedia laporan tambahan yang mengevaluasi serta menguji implementasi kontrol oleh infrastruktur AWS, yang terikat dalam NDA (sebagaimana diwajibkan):

    • Kontrol Organisasi Layanan 1 (SOC1) Laporan Jenis II
    • Kontrol Organisasi Layanan 2 (SOC2) Laporan Jenis II
    • Sertifikat ISO 27001 & Pernyataan Keberlakuan
    • Pengesahan Kepatuhan PCI dan Ringkasan Tanggung Jawab PCI

    Untuk informasi lebih lanjut tentang laporan tambahan, lihat Tanya Jawab Kepatuhan AWS.

  • Mengapa saya membutuhkan penilai IRAP yang terakreditasi?

    Penilai IRAP terakreditasi adalah individu yang diakreditasi oleh Australian Signals Directorate (ASD) dalam Information Security Registered Assessors Program (IRAP) karena dianggap memiliki kualifikasi yang sesuai untuk melakukan penilaian terhadap kerangka kerja kontrol ASD, Information Security Manual (ISM).

    Penilai IRAP terakreditasi merupakan satu-satunya individu yang diakreditasi memiliki kualifikasi untuk melakukan penilaian atas sistem teknologi komunikasi dan informasi (ICT) terhadap Information Security Manual (ISM) Pemerintah Australia. Dan penilai IRAP terakreditasi menjelaskan bidang kepatuhan serta di luar kepatuhan, menjelaskan risiko residual dan tindakan perbaikan, serta menyediakan rekomendasi untuk Certification Authority terkait sertifikasi.

  • Apa itu ISM?

    ISM adalah Information Security Manual (ISM) milik Pemerintah Australia yang diterbitkan oleh Australian Signals Directorate (ASD), sebuah organisasi dalam Departemen Pertahanan yang bertujuan untuk melindungi informasi dan sistem pemerintah Australia.

    ISM adalah standar yang mengatur keamanan sistem teknologi komunikasi dan informasi (ICT) pemerintah Australia. ISM melengkapi Protective Security Policy Framework (PSPF) yang dibuat oleh departemen Kejaksaan Agung Pemerintah Australia. Baik ISM maupun PSPF menyediakan pedoman untuk mengimplementasikan kontrol yang sesuai untuk mengoperasikan semua klasifikasi beban kerja dalam lingkungan ICT.

    Sesuai kepatuhan, ISM digunakan untuk menilai keanggotaan penyedia layanan cloud ke Daftar Layanan Cloud Bersertifikat ASD, yang menyediakan daftar layanan cloud dengan ASD bertindak sebagai otoritas sertifikasi. Sertifikasi diperlukan oleh lembaga agar memiliki beban kerja yang terakreditasi untuk menjalankan layanan cloud yang didapatkan melalui Panel Layanan Cloud keseluruhan pemerintahan Departemen Keuangan sebagai sarana pengadaan utama untuk layanan cloud bagi Pemerintah Australia.

    Pada Oktober 2014, Departemen Keuangan dan Departemen Komunikasi Australia bersama-sama mengeluarkan Australian Government Cloud Computing Policy 3.0, ini mewajibkan pendekatan "cloud lebih utama" untuk pengadopsian layanan cloud oleh lembaga pemerintah federal.

    "Dalam Kebijakan Cloud Pemerintah [Australia], kini lembaga harus mengadopsi cloud sesuai dengan tujuannya, menyediakan perlindungan data yang cukup, dan memberi nilai yang sepadan dengan biaya."

    Lebih lanjut tentang peran ASD dalam melindungi keamanan informasi Australia, lihat Peran Keamanan Informasi (InfoSec) di situs web ASD.

    irap_graphics
  • Apakah AWS memenuhi persyaratan dari ISM?

    Ya, AWS telah diaudit oleh penilai independen dari Program Penilai Informasi Keamanan Terdaftar (IRAP). Penilaian tersebut memeriksa keamanan kontrol orang-orang, proses, dan teknologi Amazon untuk memastikan bahwa mereka memenuhi kebutuhan ISM 2014 ASD. Untuk informasi lebih lanjut, lihat Surat Kepatuhan ISM IRAP di situs web AWS.

  • Di mana saya dapat menemukan informasi lebih lanjut mengenai program IRAP?

    Untuk informasi lebih lanjut, lihat halaman Program IRAP di situs web ASD.

  • Kawasan dan layanan AWS mana yang tercakup dalam Penilaian IRAP?

    Penilaian IRAP dan Sertifikasi ASD mencakup Wilayah Sydney AWS. Meski demikian, AWS memperlakukan seluruh Wilayah AWS setara dalam hal kontrol, kebijakan, dan proses yang digunakan untuk mengoperasikannya. Lembaga harus menilai beban kerja dan kebutuhan bisnis mereka untuk menentukan Wilayah AWS yang mana yang akan digunakan.

    Layanan AWS yang tercakup dalam lingkup Penilaian IRAP dapat ditemukan di halaman web Layanan AWS dalam Lingkup Program Kepatuhan.

  • Dapatkah saya menggunakan layanan AWS lainnya yang tidak tercakup dalam Penilaian IRAP?

    Ya. Jika layanan yang ingin Anda gunakan tidak terdaftar di halaman web Layanan AWS dalam Lingkup Program Kepatuhan, Anda dapat mengevaluasi beban kerja Anda untuk kesesuaian dengan layanan AWS lainnya.

  • Apakah kepatuhan terhadap ISM akan meningkatkan biaya layanan AWS?

    Tidak ada penambahan biaya layanan sebagai akibat dari kepatuhan AWS terhadap ISM.

  • Apakah AWS ada dalam Daftar Layanan Cloud Bersertifikat ASD?

    Ya. Australian Signals Directorate (ASD) telah menyelesaikan penilaian IRAP terhadap AWS dan memberikan Sertifikasi ASD untuk beban kerja DLM Tanpa Klasifikasi. Untuk informasi lebih lanjut, lihat Daftar Layanan Cloud Bersertifikat (CCSL) ASD.

    Lembaga pemerintah Australia dapat secara signifikan mengurangi biaya dan risiko mereka dengan mengandalkan keahlian mendalam ASD sebagai Otoritas Sertifikasi untuk menentukan apakah risiko residual layanan dipahami dengan baik dan dinilai dengan tepat. Hal ini meningkatkan hasil keamanan untuk departemen pemerintah Australia secara signifikan, sekaligus mengurangi biaya terkait penilaian tersebut.

  • Apakah AWS ada dalam Panel Layanan Cloud keseluruhan pemerintah Departemen Keuangan?

    Ya. AWS telah menjadi anggota panel sejak 31 Maret 2015. Lembaga mendapatkan nilai yang sepadan dengan uang dan proses pengadaan yang disederhanakan dengan melalui penyedia layanan cloud yang dinilai sebelumnya serta kerangka kerja kontraktual umum. Kemudahan pengadaan ini memungkinkan lembaga untuk bergerak sesuai kecepatan yang dibutuhkan dalam misi, dan untuk menyampaikan layanan secara efektif kepada warga negara Australia.

compliance-contactus-icon
Ada Pertanyaan? Terhubung dengan Perwakilan Bisnis AWS
Menjelajahi peran kepatuhan?
Daftar sekarang »
Ingin mendapatkan info terbaru tentang Kepatuhan AWS?
Ikuti Kami di Twitter »