IRAP(Information Security Registered Assessors Program)

개요

IRAP(Information Security Registered Assessors Program)를 사용하면 호주 정부 고객이 적절한 제어 항목을 갖추었는지 검증하고 ACSC(Australian Cyber Security Centre)에서 발행한 호주 정부 정보 보안 매뉴얼(ISM)의 요구 사항을 해결하기 위한 적절한 책임 모델을 결정할 수 있습니다.

호주 정부 데이터를 액세스, 무단 공개 및 노출로부터 보호하는 것은 클라우드 서비스를 조달하고 활용할 때 주요 고려 사항이 됩니다. AWS는 고객이 AWS 인프라의 보안 전송에 의존하고 있으며 고객이 좀 더 안전한 환경을 구축할 수 있게 해주는 기능을 갖추는 것이 중요하다는 사실을 알고 있습니다. AWS에서는 서비스 제공 시 보안을 최우선으로 하고, 강력한 제어 환경을 구축하며, 다양한 보안 서비스 및 기능을 제공함으로써 고객이 이러한 목표를 달성하도록 지원합니다.

IRAP의 평가를 받은 범위 내 AWS 클라우드 서비스는 규정 준수 프로그램 제공 AWS 범위 내 서비스에서 확인할 수 있습니다. 독립적인 IRAP 평가자가 ISM 요구 사항과 비교하여 인력, 프로세스, 기술 등의 측면에서 AWS 제어 항목을 검사했습니다. 이 서비스 사용에 대한 자세한 내용이나 다른 서비스에 관심이 있는 경우, AWS에 문의하시기 바랍니다.

  • 2020년 3월 2일 월요일에 ASD(Australian Signals Directorate)와 DTA(Digital Transformation Agency)는 CSCP(Cloud Services Certification Program)와 IRAP(Information Security Registered Assessors Program)의 심사 결과를 발표했습니다. 심사에서는 다음과 같은 권고 사항이 포함되었습니다.

    • CSCP를 종료하고 업계와 공동 설계한 새로운 클라우드 보안 가이드라인 수립
    • IRAP 성장 및 강화
    • 사이버 보안을 위한 정부 및 산업 협의 포럼 설립
    • CSCP 종료를 반영하여 조달 및 행정 관련 지시와 지침(Procurement and Administrative Instructions and Guidance)의 인센티브 업데이트

    2020년 3월 2일 기준으로 ASD는 인증 기관 자격을 상실하였고 재인증을 포함한 모든 인증 활동을 중단했습니다. 모든 ASD 인증 및 재인증 통지는 2020년 7월 27일부터 무효화되며, 호주 정부 ISM(Information Security Manual)은 공인 클라우드 서비스 목록(CCSL)에서 클라우드 서비스를 선택하도록 하는 요건을 제거하여 업데이트되었습니다.

    호주 정부의 보안 클라우드 전략에 따라, 정부 기관들은 ICT 시스템을 평가하는 데 사용하고 있던 관행을 준수하여 클라우드 서비스를 자체 평가할 수 있게 되었습니다.

    현황:

    2020년 7월 27일에 ACSC(Australian Cyber Security Centre)와 DTA(Digital Transformation Agency)는 정부 및 산업의 안전한 클라우드 서비스 도입을 지원하기 위해 업계와 공동 설계한 새로운 클라우드 보안 지침을 발표했습니다. AWS는 평가를 최신 상태로 유지하고 새로운 서비스를 등록하기 위해 지속적으로 IRAP 평가를 받습니다. 연방 기관은 앞으로도 자체적인 보증 및 위험 관리 활동에 대한 책임을 집니다. 호주 정부의 보안 클라우드 전략에 따라, 정부 기관들은 ICT 시스템을 평가하는 데 사용하고 있던 관행을 준수하여 클라우드 서비스를 자체 평가할 수 있게 되었습니다. ASD는 업계와 공동 설계한 가이드라인을 개발하여 기존 클라우드 보안 지침을 강화할 것입니다. 이러한 가이드라인은 연방 기관과 호주 기업이 사이버 보안 및 회복력을 강화할 수 있도록 추가적인 지원을 제공합니다.

    현재까지 ASD는 기관이 클라우드 서비스와 관련하여 적절한 보안 평가를 실시하는 데 도움이 되는 가이드를 다수 개발했습니다. 모든 평가에서는 다음을 포함한 ISM, ASD 클라우드 보안 지침의 보안 제어 항목을 명확하게 다루는 것이 좋습니다.

    DTA는 연방 기관이 호주 정부 보안 클라우드 전략을 사용하여 클라우드 서비스 도입을 지원하도록 장려하고 있습니다.

  • 호주 정부 고객을 지원하고자 AWS에서는 보안 지침 및 설명서 패키지를 제공하므로 고객은 AWS를 사용하면서 보안 및 규정 준수에 대한 이해를 높일 수 있습니다. AWS에서는 다음과 같은 자료가 공개되어 있습니다.

    필요할 때 AWS 규정 준수 보고서에 액세스할 수 있는 셀프 서비스 포털인 AWS Artifact에서 IRAP PROTECTED 팩에 액세스할 수 있습니다. AWS Management Console에서 AWS Artifact에 로그인하거나 AWS Artifact 시작하기를 통해 자세히 알아보세요. 이 정보는 호주 정부 보안 클라우드 전략에 따라 AWS에서 구축된 시스템을 계획, 설계하고 자체 평가하는 기능을 제공합니다. 이 팩은 공공 부문 고객이 PROTECTED 수준에서 AWS를 평가하는 데 필요한 모든 것을 제공하며, 각 기관이 AWS 서비스를 도입하는 과정을 단순화할 수 있도록 지원합니다. 팩에 포함된 문서:

    • 규정 준수 통보서
    • 제어 구현 요약
    • IRAP 2단계 보고서
    • 참조 아키텍처
    • 소비자 가이드

    추가적인 보고서는 NDA(필요한 경우)에 따라 제공 가능하며 AWS 인프라에서 구현한 제어 항목을 평가하고 테스트할 수 있습니다.

    • SOC 1(Service Organization Controls 1) 유형 II 보고서
    • SOC 2(Service Organization Controls 2) 유형 II 보고서
    • ISO 27001 인증 및 적용성 보고서(SoA)
    • PCI 규정 준수 증명 및 PCI 책임 요약

    PROTECTED 분류 수준에서 민감한 정부 데이터 처리에 관한 ISM 요구 사항을 충족하는 AWS 제어를 사용하는 클라우드 기반 워크로드를 생성하려는 사용자를 위한 Quick Start가 제공됩니다. 이 Quick Start는 약 1시간 만에 AWS 클라우드에 IRAP PROTECTED 참조 아키텍처를 자동으로 배포합니다. 참조 아키텍처에서는 여러 AWS 서비스를 함께 사용하여 ISM PROTECTED 요구 사항을 충족하는 연결된 보안 및 관리 서비스에서 멀티 티어 웹 애플리케이션을 지원하는 방법을 보여줍니다. 이 솔루션은 IRAP PROTECTED 참조 아키텍처에 설명된 많은 제어를 구현하고 있지만 이 Quick Start에 포함된 권장 제어를 모두 구현하지는 않습니다. 이 솔루션을 사용하여 PROTECTED 데이터를 저장하기 전에 AWS Artifact에 있는 IRAP PROTECTED 패키지의 지침을 따르세요.

    추가 보고서에 대한 자세한 내용은 AWS 규정 준수 프로그램을 참조하세요.

  • IRAP 평가자는 ICT, 보안 평가, 위험 관리에 필요한 경험과 자격 요건을 갖추고 있으며, 호주 정부 정보 보안 규정 준수 요건에 대한 상세한 지식을 보유한 호주의 ASD 인증 ICT 전문가들입니다.

  • 호주 정부 Information Security Manual(ISM)에서는 조직에서 정보통신기술(ICT) 시스템을 사이버 위협으로부터 보호하는 데 적용할 수 있는 사이버 보안 프레임워크를 설명합니다. ISM은 호주 정부 법무장관부에서 작성한 Protective Security Policy Framework(PSPF)를 보완합니다. ISM 및 PSPF는 연방 기관이 ICT 환경에 적절한 제어 기능을 구현하면서 준수해야 할 가이드라인과 의무 사항을 규정합니다. 또한, 연방 기관은 직접 또는 자신을 대상으로 발표된 관련 지침을 고려해야 합니다.

    호주 디지털 혁신원(DTA)은 2017년에 다른 정부 기관 및 업계와 협력하여 보안 클라우드 전략을 개발했습니다. 이 전략은 정부 기관의 클라우드 기술 사용을 지원하는 데 중점을 두고 있습니다.

    ISM은 호주 정부의 주요 국가 사이버 보안 기관이자 ASD(Australian Signals Directorate)에 소속된 ACSC(Australian Cyber Security Centre)에서 발표했습니다.

    ACSC가 호주 사이버 보안을 강화하고 개선하는 데 어떤 역할을 하는지 궁금하다면 ASD 웹 사이트 또는 ACSC 웹 사이트의 사이버 보안 웹 페이지를 참조하세요.

  • 예, AWS 클라우드 서비스는 관련 ISM 규제 항목에 대해 독립적 IRAP 평가자에게 평가를 받았습니다. 이 평가에서는 Amazon의 인력, 프로세스, 기술에 대한 보안 제어 항목을 검사했습니다. 이 평가는 AWS가 'PROTECTED' 수준에서 호주 정부 워크로드에 필요한 관련 제어 항목을 지지하는 제품과 관련한 보증을 제공합니다. 가장 최근 평가의 IRAP PROTECTED 팩에 액세스하려면 AWS Artifact를 방문하세요.

  • 자세한 내용은 ACSC 웹 사이트의 IRAP 웹 페이지를 참조하세요.

  • IRAP 평가에는 AWS 시드니 및 멜버른 리전의 해당 서비스가 포함됩니다. IRAP 평가에 대한 인증 범위에 포함된 AWS 서비스 목록은 규정 준수 프로그램 제공 AWS 범위 내 서비스에서 확인할 수 있습니다.

  • 예, 클라우드 서비스 사용과 관련된 해당 규정, 정책 및 가이드라인을 준수해야 합니다. 사용하고자 하는 서비스가 규정 준수 프로그램 제공 AWS 범위 내 서비스 웹 페이지에 나와 있지 않은 경우, 다른 AWS 서비스를 통해 워크로드의 적합성을 평가할 수 있습니다.

IRAP 리소스

IRAP PROTECTED Reference Architecture on AWS Cloud에 대한 Quick Start
호주 프라이버시 고려 사항의 맥락에서 AWS 사용하기
Essential 8 Conformance Pack
ISM Conformance Pack
질문이 있으신가요? AWS 영업 담당자와 연결
규정 준수 역할을 찾고 계십니까?
지금 신청하십시오 »
AWS 규정 준수 업데이트를 받으시겠습니까?
Twitter 팔로우하기 »