Information Security Registered Assessors Program (IRAP)

Gambaran Umum

IRAP

Information Security Registered Assessors Program (IRAP) memberdayakan pelanggan pemerintah Australia untuk memvalidasi bahwa kontrol yang sesuai sudah diterapkan dan menentukan model tanggung jawab yang tepat untuk pemenuhan ketentuan Information Security Manual (ISM) Pemerintah Australia yang dikeluarkan oleh Australian Cyber Security Centre (ACSC).

Melindungi data pemerintah Australia dari pengaksesan, penyalahgunaan, dan pengungkapan tetap menjadi pertimbangan utama dalam pengadaan dan pemanfaatan layanan cloud. AWS memahami bahwa pelanggan bergantung pada terselenggaranya infrastruktur AWS yang aman dan pentingnya memiliki fitur yang memberdayakan pelanggan untuk menciptakan lingkungan yang aman. AWS memberdayakan pelanggan untuk memenuhi tujuan ini dengan memprioritaskan keamanan dalam penyelenggaraan layanannya, melalui pewujudan lingkungan kontrol yang kuat, dan dengan mengupayakan ketersediaan sejumlah besar fitur dan layanan keamanan. Layanan ini memberikan kontrol yang komprehensif atas lingkungan kontrol IT pelanggan, menyederhanakan pengelolaan layanan keamanan, dan memberikan hasil keamanan yang lebih baik bagi Pemerintah Australia.

Layanan AWS Cloud dinilai telah memenuhi ISM. Penilai IRAP independen melakukan pengujian atas kontrol AWS, termasuk orang, berbagai proses, serta teknologi terhadap persyaratan ISM. Penilaian ini memberikan jaminan bahwa, terkait dengan produk yang dimiliki AWS, penerapan kontrol yang diperlukan untuk beban kerja pemerintah Australia di tingkat DILINDUNGI diimplementasikan.

  • Apa dampaknya sejak penghentian CSCP dan CCSL?

    Pada hari Senin, 2 Maret 2020, Australian Signals Directorate (ASD) dan Digital Transformation Agency (DTA) mengumumkan hasil peninjauan Program Sertifikasi Layanan Cloud (CSCP) dan Program Penilai Terdaftar Keamanan Informasi (IRAP). Peninjauan tersebut menelurkan rekomendasi berikut:

    • Tutup CSCP dan buat pedoman keamanan cloud baru yang dirancang bersama dengan industri
    • Tumbuhkan dan tingkatkan IRAP
    • Bentuk Forum Konsultasi Pemerintah dan Industri untuk keamanan siber
    • Perbarui insentif dalam Petunjuk dan Bimbingan Pengadaan dan Administratif untuk mencerminkan penghentian CSCP

    Terhitung sejak 2 Maret 2020, ASD tidak lagi menjadi Otoritas Sertifikasi (CA) dan telah menghentikan semua kegiatan sertifikasi, termasuk kegiatan sertifikasi ulang. Semua surat sertifikasi dan sertifikasi ulang ASD akan batal terhitung sejak 27 Juli 2020 dan Manual Keamanan Informasi (ISM) pemerintah Australia telah diperbarui untuk menghapus persyaratan untuk memilih layanan cloud dari Daftar Layanan Cloud Bersertifikat (CCSL).

    Dengan Strategi Cloud Aman (Secure Cloud Strategy) pemerintah Australia, badan-badan Persemakmuran dapat menilai sendiri layanan cloud menggunakan praktik yang sudah digunakan untuk menilai sistem ICT.

    Langkah saat ini:

    Pada tanggal 27 Juli 2020, Pusat Keamanan Siber Australia (ACSC) dan Badan Transformasi Digital (DTA) merilis Panduan Keamanan Cloud baru yang dirancang bersama dengan industri untuk mendukung adopsi layanan cloud yang aman di seluruh jajaran pemerintah dan industri. AWS terus melakukan penilaian IRAP untuk menjaga kekinian penilaian dan dalam rangka menghadirkan layanan baru. Badan-badan Persemakmuran akan terus bertanggung jawab atas kegiatan penjaminan dan manajemen risikonya sendiri. Sesuai dengan Strategi Cloud Aman (Secure Cloud Strategy) pemerintah Australia, badan-badan Persemakmuran dapat menilai sendiri layanan cloud menggunakan praktik yang sudah digunakan untuk menilai sistem ICT. ASD akan meningkatkan pedoman keamanan cloud yang ada melalui pengembangan pedoman yang dirancang bersama dengan industri. Pedoman ini selanjutnya akan membantu badan-badan Persemakmuran dan entitas bisnis Australia meningkatkan keamanan dan ketangguhan siber mereka.

    Sampai saat ini, ASD telah mengembangkan sejumlah panduan bermanfaat bagi banyak organisasi untuk melakukan penilaian keamanan yang tepat terkait layanan cloud. Disarankan bahwa penilaian apa pun harus jelas membahas kontrol keamanan dalam ISM, dan panduan keamanan cloud ASD, termasuk:

    DTA terus mendorong badan-badan Persemakmuran untuk menggunakan Strategi Cloud Aman pemerintah Australia untuk mendukung adopsi layanan cloud.

  • Dokumen IRAP apa saja yang dapat saya peroleh?

    Untuk mendukung pelanggan pemerintah Australia, kami menyediakan paket panduan keamanan dan dokumentasi untuk memperkuat pemahaman Anda tentang keamanan dan kepatuhan saat menggunakan AWS. Materi berikut disediakan oleh AWS bagi publik:

    Anda dapat mengakses paket DILINDUNGI IRAP melalui AWS Artifact, suatu portal layanan mandiri untuk akses sesuai permintaan ke laporan kepatuhan AWS. Masuk ke AWS Artifact di AWS Management Console, atau pelajari selengkapnya di Memulai AWS Artifact. Informasi ini memberikan kemampuan perencanaan, arsitektur, dan sistem penilaian mandiri yang dibangun di AWS menurut Strategi Cloud Aman pemerintah Australia. Paket ini memberikan semua yang dibutuhkan pelanggan sektor publik untuk mengevaluasi AWS di tingkat DILINDUNGI dan membantu masing-masing lembaga menyederhanakan proses adopsi layanan AWS. Dokumentasi dalam paket ini meliputi:

    • Surat Kepatuhan;
    • Ringkasan Implementasi Kontrol;
    • Laporan Tahap 2 IRAP;
    • Arsitektur Referensi; dan
    • Panduan Konsumen.

    Terdapat laporan tambahan dalam NDA (sebagaimana diwajibkan) yang mengevaluasi dan menguji implementasi kontrol oleh infrastruktur AWS, yang terikat dalam NDA (sebagaimana diwajibkan):

    • Laporan Kontrol Organisasi Layanan 1 (SOC1) Jenis II;
    • Laporan Kontrol Organisasi Layanan 2 (SOC2) Jenis II;
    • Sertifikat ISO 27001 dan Pernyataan Keberlakuan; dan
    • Pengesahan Kepatuhan PCI dan Ringkasan Tanggung Jawab PCI.

    Panduan Ringkas tersedia bagi pengguna yang ingin membuat beban kerja berbasis cloud dengan kontrol AWS yang memenuhi persyaratan ISM untuk penanganan data sensitif pemerintah di tingkat klasifikasi DILINDUNGI. Panduan ini otomatis menerapkan Arsitektur Referensi DILINDUNGI IRAP di AWS Cloud dalam waktu sekitar satu jam. Arsitektur Referensi menunjukkan bagaimana beberapa layanan AWS disatukan untuk mendukung aplikasi web multi-tingkat dengan layanan keamanan dan manajemen terkait yang memenuhi persyaratan DILINDUNGI ISM. Meskipun solusi ini mengimplementasikan sebagian besar kontrol yang diuraikan dalam Arsitektur Referensi DILINDUNGI IRAP, tidak semua rekomendasi kontrol disertakan dalam Panduan Ringkas ini. Jangan lupa ikuti panduan dalam paket DILINDUNGI IRAP, tersedia di AWS Artifact, sebelum menggunakan solusi ini untuk menyimpan data yang DILINDUNGI.

    Untuk informasi lebih lanjut tentang laporan lainnya, lihat FAQ Kepatuhan AWS.

  • Mengapa saya membutuhkan penilai IRAP terakreditasi?

    Penilai IRAP terakreditasi adalah para profesional ICT di seluruh Australia yang diakreditasi oleh Australian Signals Directorate (ASD) di bidang Information Security Registered Assessors Program (IRAP) karena dianggap memiliki kualifikasi yang sesuai untuk menilai sistem teknologi informasi dan komunikasi (ICT) terhadap kerangka kerja kontrol ASD, Information Security Manual (ISM).

    Penilai IRAP memiliki pengalaman dan kualifikasi yang diperlukan dalam ICT, penilaian keamanan dan manajemen risiko, dan pengetahuan rinci tentang persyaratan kepatuhan keamanan informasi pemerintah Australia.

  • Apa itu ISM?

    Manual Keamanan Informasi (ISM) pemerintah Australia menguraikan kerangka kerja keamanan siber yang dapat diterapkan banyak organisasi untuk melindungi sistem teknologi informasi dan komunikasi (ICT)-nya dari ancaman siber. ISM melengkapi Kerangka Kerja Kebijakan Keamanan Protektif (PSPF) yang dibuat oleh Kejaksaan Agung Pemerintah Australia. ISM dan PSPF menetapkan panduan dan kewajiban bagi badan-badan Persemakmuran dalam menerapkan kontrol yang tepat di lingkungan ICT. Selain itu, badan-badan Persemakmuran harus mempertimbangkan pedoman terkait yang khusus diterbitkan oleh atau untuk mereka.

    Pada tahun 2017, Digital Transformation Agency (DTA) bekerja sama dengan lembaga pemerintah dan industri untuk mengembangkan Strategi Cloud Aman. Strategi ini berfokus untuk membantu lembaga pemerintah dalam menggunakan teknologi cloud.

    ISM diterbitkan oleh Pusat Keamanan Siber Australia (ACSC), organisasi utama pemerintah Australia di bidang keamanan siber nasional dan merupakan bagian dari Direktorat Sinyal Australia (ASD).

    Selengkapnya tentang peran ACSC dalam mendorong dan meningkatkan keamanan siber Australia, lihat halaman web Cyber Security di situs web ASD atau situs web ACSC.

  • Apakah AWS memenuhi persyaratan ISM?

    Ya, layanan AWS Cloud sudah dinilai oleh penilai IRAP independen. Penilaian tersebut menguji keamanan kontrol orang, proses, dan teknologi Amazon. Penilaian ini memberikan jaminan bahwa, terkait dengan produk ini, AWS telah menerapkan kontrol yang diperlukan bagi beban kerja pemerintah Australia di tingkat DILINDUNGI. Untuk informasi lebih lanjut, silakan kunjungi AWS Artifact untuk mengakses paket DILINDUNGI IRAP dari penilaian terbaru.

  • Di mana saya bisa memperoleh informasi lebih lanjut mengenai program IRAP?

    Untuk informasi lebih lanjut, lihat halaman web IRAP di situs web ACSC.

  • Wilayah dan layanan AWS mana saja yang dicakup dalam penilaian IRAP?

    Penilaian IRAP meliputi layanan yang dicakup di AWS Wilayah Sydney. Layanan AWS yang dicakup dalam lingkup penilaian IRAP dapat ditemukan di halaman web Layanan AWS dalam Lingkup Program Kepatuhan.

  • Dapatkah saya menggunakan layanan AWS lainnya yang tidak dicakup dalam penilaian IRAP?

    Ya, sesuai kepatuhan terhadap peraturan, kebijakan, dan pedoman yang berlaku yang mengatur penggunaan Anda atas layanan cloud. Jika layanan yang ingin Anda gunakan tidak tercantum di halaman web Layanan AWS dalam Lingkup Program Kepatuhan, Anda dapat mengevaluasi beban kerja Anda untuk kesesuaian dengan layanan AWS lainnya.

compliance-contactus-icon
Ada Pertanyaan? Terhubung dengan Perwakilan Bisnis AWS
Menjelajahi peran kepatuhan?
Daftar sekarang »
Ingin mendapatkan info terbaru tentang Kepatuhan AWS?
Ikuti Kami di Twitter »