Information Security Registered Assessors Program (IRAP)

Gambaran Umum

IRAP

Information Security Registered Assessors Program (IRAP) memungkinkan pelanggan pemerintah Australia memvalidasi bahwa kontrol yang diterapkan sudah sesuai dan menentukan model tanggung jawab yang tepat untuk menangani ketentuan Information Security Manual (ISM) Pemerintah Australia yang dikeluarkan oleh Australian Signals Directorate (ASD).

Melindungi data pemerintah Australia dari pengaksesan, penyalahgunaan, dan pengungkapan menjadi pertimbangan utama saat mendapatkan dan memanfaatkan layanan cloud. AWS memahami bahwa pelanggan mengandalkan pengiriman yang aman dari infrastruktur AWS dan pentingnya memiliki fitur yang memungkinkan pelanggan untuk menciptakan lingkungan yang aman. AWS memungkinkan pelanggan untuk memenuhi tujuan ini dengan memprioritaskan keamanan dalam pengiriman layanannya, melalui pembentukan lingkungan kontrol yang kuat, dan dengan menyediakan sejumlah besar fitur dan layanan keamanan. Layanan ini memberikan kontrol yang komprehensif atas lingkungan kontrol IT pelanggan, menyederhanakan pengelolaan layanan keamanan, dan menyediakan hasil keamanan yang lebih baik untuk Pemerintah Australia.

AWS sesuai dengan IRAP. Penilai IRAP yang independen memeriksa kontrol AWS, termasuk orang, proses, serta teknologi, untuk memastikan kontrol tersebut menangani kebutuhan ISM. Penilaian dan Surat Kepatuhan ini merupakan dasar di mana Otoritas Sertifikasi mendapatkan jaminan untuk memberi sertifikasi pada infrastruktur AWS dan menyediakan rekomendasi bagi Accreditation Authority untuk penggunaan yang sesuai atas platform tersebut.

Akreditasi dari lembaga adalah titik puncak dari penilaian IRAP dan sertifikasi formal oleh ASD yang bertindak sebagai Certification Authority untuk Pemerintah Australia. Sertifikasi ini memberi jaminan bahwa AWS telah memiliki kontrol yang berlaku sebagai mana diwajibkan oleh ISM dan merupakan prasyarat langsung dalam mengakreditasi AWS untuk beban kerja pemerintah Australia.

  • Apa dokumen IRAP yang tersedia untuk saya?

    Untuk mendukung pelanggan pemerintah Australia, kami menyediakan paket panduan keamanan dan dokumentasi untuk memperkuat pemahaman Anda tentang keamanan dan kepatuhan saat menggunakan AWS sebagai penyedia layanan cloud bersertifikat. Whitepaper berikut disediakan AWS untuk umum:

    Pelanggan pemerintah Australia dapat menggunakan sertifikasi ASD dan Surat Kepatuhan Penilai IRAP independen kami untuk mempercepat tujuan sertifikasi dan akreditasi mereka. Dokumen berikut tersedia untuk umum:

    Dokumen IRAP lainnya tersedia bagi pelanggan dengan menggunakan AWS Artifact, sebuah portal layanan mandiri untuk akses sesuai permintaan ke laporan kepatuhan AWS. Masuk ke AWS Artifact in the AWS Management Console, atau pelajari lebih lanjut di Getting Started with AWS Artifact.

    • Ringkasan Implementasi Kontrol
    • Laporan IRAP Tahap 2

    Tersedia laporan tambahan yang mengevaluasi serta menguji implementasi kontrol oleh infrastruktur AWS, yang terikat dalam NDA (sebagaimana diwajibkan):

    • Kontrol Organisasi Layanan 1 (SOC1) Laporan Jenis II
    • Kontrol Organisasi Layanan 2 (SOC2) Laporan Jenis II
    • Sertifikat ISO 27001 & Pernyataan Keberlakuan
    • Pengesahan Kepatuhan PCI dan Ringkasan Tanggung Jawab PCI

    Panduan Ringkas tersedia bagi pengguna yang ingin membuat beban kerja berbasis cloud dengan kontrol AWS yang memenuhi persyaratan ISM untuk penanganan data sensitif pemerintah di tingkat klasifikasi DILINDUNGI. Secara otomatis mengerahkan Arsitektur Referensi yang DILINDUNGI IRAP di AWS Cloud dalam waktu sekitar satu jam. Arsitektur Referensi menunjukkan bagaimana beberapa layanan AWS disatukan untuk mendukung aplikasi web multi-tingkat dengan layanan keamanan dan manajemen terkait yang memenuhi persyaratan DILINDUNGI ISM. Meskipun solusi ini mengimplementasikan banyak kontrol yang diuraikan dalam Arsitektur Referensi DILINDUNGI IRAP, tidak semua rekomendasi kontrol disertakan dalam Panduan Ringkas ini. Jangan lupa ikuti panduan dalam paket DILINDUNGI IRAP, tersedia di Artefak AWS, sebelum menggunakan solusi ini untuk menyimpan data yang DILINDUNGI. 

    Untuk informasi lebih lanjut tentang laporan lainnya, lihat FAQ Kepatuhan AWS.

  • Mengapa saya membutuhkan penilai IRAP yang terakreditasi?

    Penilai IRAP terakreditasi adalah individu yang diakreditasi oleh Australian Signals Directorate (ASD) dalam Information Security Registered Assessors Program (IRAP) karena dianggap memiliki kualifikasi yang sesuai untuk melakukan penilaian terhadap kerangka kerja kontrol ASD, Information Security Manual (ISM).

    Penilai IRAP terakreditasi merupakan satu-satunya individu yang diakreditasi memiliki kualifikasi untuk melakukan penilaian atas sistem teknologi komunikasi dan informasi (ICT) terhadap Information Security Manual (ISM) Pemerintah Australia. Dan penilai IRAP terakreditasi menjelaskan bidang kepatuhan serta di luar kepatuhan, menjelaskan risiko residual dan tindakan perbaikan, serta menyediakan rekomendasi untuk Certification Authority terkait sertifikasi.

  • Apa itu ISM?

    ISM adalah Information Security Manual (ISM) milik Pemerintah Australia yang diterbitkan oleh Australian Signals Directorate (ASD), sebuah organisasi dalam Departemen Pertahanan yang bertujuan untuk melindungi informasi dan sistem pemerintah Australia.

    ISM adalah standar yang mengatur keamanan sistem teknologi komunikasi dan informasi (ICT) pemerintah Australia. ISM melengkapi Protective Security Policy Framework (PSPF) yang dibuat oleh departemen Kejaksaan Agung Pemerintah Australia. Baik ISM maupun PSPF menyediakan pedoman untuk mengimplementasikan kontrol yang sesuai untuk mengoperasikan semua klasifikasi beban kerja dalam lingkungan ICT.

    Sesuai kepatuhan, ISM digunakan untuk menilai keanggotaan penyedia layanan cloud ke Daftar Layanan Cloud Bersertifikat ASD, yang menyediakan daftar layanan cloud dengan ASD bertindak sebagai otoritas sertifikasi. Sertifikasi diperlukan oleh lembaga agar memiliki beban kerja yang terakreditasi untuk menjalankan layanan cloud yang didapatkan melalui Panel Layanan Cloud keseluruhan pemerintahan Departemen Keuangan sebagai sarana pengadaan utama untuk layanan cloud bagi Pemerintah Australia.

    Pada tahun 2017, Digital Transformation Agency (DTA) bekerja sama dengan lembaga pemerintah dan industri untuk mengembangkan Strategi Cloud Aman. Strategi ini berfokus pada membantu lembaga pemerintah dalam menggunakan teknologi cloud.

    Lebih lanjut tentang peran ASD dalam melindungi keamanan informasi Australia, lihat Peran Keamanan informasi (InfoSec) di situs web ASD.

    irap_graphics
  • Apakah AWS memenuhi persyaratan dari ISM?

    Ya, AWS telah diaudit oleh penilai independen dari Program Penilai Informasi Keamanan Terdaftar (IRAP). Penilaian tersebut memeriksa keamanan kontrol orang-orang, proses, dan teknologi Amazon untuk memastikan bahwa mereka memenuhi kebutuhan ISM 2014 ASD. Untuk informasi lebih lanjut, lihat Surat Kepatuhan ISM IRAP di situs web AWS.

  • Di mana saya dapat menemukan informasi lebih lanjut mengenai program IRAP?

    Untuk informasi lebih lanjut, lihat halaman Program IRAP di situs web ASD.

  • Kawasan dan layanan AWS mana yang tercakup dalam Penilaian IRAP?

    Penilaian IRAP dan Sertifikasi ASD mencakup Wilayah Sydney AWS. Meski demikian, AWS memperlakukan seluruh Wilayah AWS setara dalam hal kontrol, kebijakan, dan proses yang digunakan untuk mengoperasikannya. Lembaga harus menilai beban kerja dan kebutuhan bisnis mereka untuk menentukan Wilayah AWS yang mana yang akan digunakan.

    Layanan AWS yang tercakup dalam lingkup Penilaian IRAP dapat ditemukan di halaman web Layanan AWS dalam Lingkup Program Kepatuhan.

  • Dapatkah saya menggunakan layanan AWS lainnya yang tidak tercakup dalam Penilaian IRAP?

    Ya. Jika layanan yang ingin Anda gunakan tidak terdaftar di halaman web Layanan AWS dalam Lingkup Program Kepatuhan, Anda dapat mengevaluasi beban kerja Anda untuk kesesuaian dengan layanan AWS lainnya.

  • Apakah kepatuhan terhadap ISM akan meningkatkan biaya layanan AWS?

    Tidak ada penambahan biaya layanan sebagai akibat dari kepatuhan AWS terhadap ISM.

  • Apakah AWS ada dalam Daftar Layanan Cloud Bersertifikat ASD?

    Ya. Australian Signals Directorate (ASD) telah menyelesaikan penilaian IRAP terhadap AWS dan memberikan Sertifikasi ASD untuk beban kerja DLM Tanpa Klasifikasi dan TIDAK TERLINDUNGI. Untuk informasi lebih lanjut, lihat Daftar Layanan Cloud Bersertifikat (CCSL) ASD.

    Lembaga pemerintah Australia dapat secara signifikan mengurangi biaya dan risiko mereka dengan mengandalkan keahlian mendalam ASD sebagai Otoritas Sertifikasi untuk menentukan apakah risiko residual layanan dipahami dengan baik dan dinilai dengan tepat. Hal ini meningkatkan hasil keamanan untuk departemen pemerintah Australia secara signifikan, sekaligus mengurangi biaya terkait penilaian tersebut.

compliance-contactus-icon
Ada Pertanyaan? Terhubung dengan Perwakilan Bisnis AWS
Menjelajahi peran kepatuhan?
Daftar sekarang »
Ingin mendapatkan info terbaru tentang Kepatuhan AWS?
Ikuti Kami di Twitter »