IRAP(Information Security Registered Assessors Program)

개요

IRAP

IRAP(Information Security Registered Assessors Program)를 사용하면 호주 정부 고객이 적절한 제어 항목을 갖추었는지 검증하고 ASD(Australian Signals Directorate)에서 발행한 호주 정부 정보 보안 매뉴얼(ISM)의 요구 사항을 해결하기 위한 적절한 책임 모델을 결정할 수 있습니다.

호주 정부 데이터를 액세스, 침해 및 노출로부터 보호하는 것은 클라우드 서비스를 조달하고 활용할 때 주요 고려 사항이 됩니다. AWS는 고객이 AWS 인프라의 보안 전송에 의존하고 있으며 고객이 좀 더 안전한 환경을 구축할 수 있게 해주는 기능을 갖추는 것이 중요하다는 사실을 알고 있습니다. AWS에서는 서비스 제공 시 보안을 최우선으로 하고, 강력한 제어 환경을 구축하며, 다양한 보안 서비스 및 기능을 제공함으로써 고객이 이러한 목표를 달성하도록 지원합니다. 이러한 서비스는 고객 IT 제어 환경에 포괄적인 제어 항목을 제공하고, 보안 서비스의 관리를 간소화하며, 호주 정부에 개선된 보안 결과를 제공합니다.

AWS는 IRAP를 준수합니다. 독립적인 IRAP 평가자가 인력, 프로세스 및 기술을 비롯한 AWS 제어 항목을 검사하여 이러한 제어 항목이 ISM의 요구 사항을 해결함을 확인했습니다. 이러한 평가와 규정 준수 통보서는 인증 기관이 자신 있게 AWS 인프라를 인증하고 인가 기관에 플랫폼의 적절한 사용에 대한 추천을 제공하는 기준이 됩니다.

기관 인가는 IRAP 평가와 호주 정부의 인증 기관으로 운영되는 ASD의 공식 인증의 정점입니다. 이러한 인증은 AWS가 ISM에서 요구하는 관련 제어 항목을 갖추고 있음을 보증하며 AWS가 호주 정부 워크로드에 대한 인가를 받는 데 선제적인 역할을 합니다.

  • 내가 사용할 수 있는 IRAP 문서에는 어떤 것이 있습니까?

    호주 정부 고객을 지원하고자 AWS에서는 보안 지침 및 설명서 패키지를 제공하므로 고객은 AWS를 공인 클라우드 서비스 공급자로 사용하면서 보안 및 규정 준수에 대한 이해를 높일 수 있습니다. AWS에서는 다음과 같은 백서가 공개되어 있습니다.

    호주 정부 고객은 AWS의 ASD 인증과 독립적인 IRAP 평가자 규정 준수 통보서를 활용하여 인증 및 인가 목표를 가속화할 수 있습니다. 다음과 같은 문서가 공개되어 있습니다.

    추가적인 IRAP 문서는 AWS 규정 준수 보고서에 대한 온디맨드 액세스를 제공하는 셀프 서비스 포털인 AWS Artifact를 통해 고객에게 제공됩니다. AWS Management Console에서 AWS Artifact에 로그인하거나 AWS Artifact 시작하기를 통해 자세히 알아보십시오.

    • 제어 구현 요약
    • IRAP 보고서 2단계

    NDA(필요한 경우)에 따라 제공 가능하며 AWS 인프라에서 구현한 제어 항목을 평가하고 테스트하는 추가 보고서를 사용할 수 있습니다.

    • SOC 1(Service Organization Controls 1) 유형 II 보고서
    • SOC 2(Service Organization Controls 2) 유형 II 보고서
    • ISO27001 인증서 및 적용성 보고서
    • PCI 규정 준수 증명 및 PCI 책임 요약

    추가 보고서에 대한 자세한 내용은 AWS 규정 준수 FAQ를 참조하십시오.

  • IRAP 공인 평가자가 왜 필요합니까?

    IRAP 공인 평가자는 ASD의 제어 프레임워크인 정보 보안 매뉴얼(ISM)에 따라 평가를 수행할 적절한 자격이 있는 것으로 IRAP(Information Security Registered Assessors Program)의 ASD(Australian Signals Directorate)가 인증한 개인입니다.

    IRAP 공인 평가자는 호주 정부 정보 보안 매뉴얼(ISM)에 따라 ICT(Information and Communication Technology) 시스템에 대한 평가를 수행할 자격을 인정받은 유일한 개인입니다. 그리고 IRAP 공인 평가자는 규정 준수와 규정 미준수 영역을 설명하고, 잔존 위험과 개선 조치를 설명하고, 인증 기관에 인증에 대한 추천을 제공합니다.

  • ISM이란 무엇입니까?

    ISM은 국방부 산하 조직이며 호주 정부 시스템 및 정보를 보호하는 것이 임무인 ASD(Australian Signals Directorate)에서 발간한 호주 정부 정보 보안 매뉴얼(ISM)입니다.

    ISM은 호주 정부 ICT(Information and Communication Technology) 시스템의 보안을 관장하는 표준입니다. ISM은 호주 정부 법무장관부에서 작성한 PSPF(Protective Security Policy Framework)를 보완합니다. ISM과 PSPF는 함께 ICT 환경에서 모든 분류의 워크로드를 운영하는 데 대한 적절한 제어를 구현하도록 지침을 제공합니다.

    클라우드 서비스 목록을 제공하며 ASD가 인증 기관의 역할을 한 ASD 공인 클라우드 서비스 목록에 포함할 클라우드 서비스 제공업체 멤버십을 평가하는 데 사용되는 ISM을 준수합니다. 기관에서 호주 정부의 클라우드 서비스를 위한 기본 조달 수단으로 재무부 범정부 클라우드 서비스 자문단을 통해 조달된 클라우드 서비스상에 실행하도록 워크로드를 승인하려면 인증이 필요합니다.

    2014년 10월, 호주 재무부와 통신부에서 공동으로 호주 정부 클라우드 컴퓨팅 정책 3.0을 발표했으며, 이는 연방 정부 기관이 클라우드 서비스 도입 시 "클라우드 우선" 접근 방식을 따르도록 규정하고 있습니다.

    "[호주] 정부의 클라우드 정책에 따라 이제 기관에서는 목적에 적합한 클라우드를 도입하고, 데이터를 적절히 보호하며, 가격에 합당한 가치를 제공해야 합니다."

    호주인 정보 보호와 관련된 ASD의 역할에 대해 자세히 알아보려면 ASD 웹 사이트에서 정보 보안(InfoSec) 역할 페이지를 참조하십시오.

    irap_graphics
  • AWS는 ISM의 요구 사항을 충족합니까?

    예. AWS는 IRAP(Information Security Registered Assessors Program)의 독립적인 평가자의 감사를 받았습니다. 이 평가에서는 Amazon의 인력, 프로세스 및 기술의 보안 제어 항목을 검사하여 이러한 항목이 ASD 2014 ISM의 요건을 충족하는지 확인했습니다. 자세한 내용은 AWS 웹 사이트에서 IRAP ISM 규정 준수 통보서 를 참조하십시오.

  • IRAP 프로그램에 대한 추가 정보는 어디에서 확인할 수 있습니까?

    자세한 내용은 ASD 웹 사이트에서 IRAP 프로그램을 참조하십시오.

  • IRAP 평가에 포함된 AWS 리전 및 서비스는 무엇입니까?

    IRAP 평가와 ASD 인증은 AWS 시드니 리전에 해당됩니다. 하지만 AWS는 리전을 운영하는 데 사용되는 제어 항목, 정책 및 프로세스 면에서 모든 AWS 리전을 동일하게 다룹니다. 기관은 자신의 워크로드와 비즈니스 요구 사항을 평가한 후 어떤 AWS 리전을 사용할지 결정해야 합니다.

    IRAP 평가에 대한 인증 범위에 포함된 AWS 서비스 목록은 규정 준수 프로그램 제공 AWS 범위 내 서비스를 참조하십시오.

  • IRAP 평가에 포함되지 않은 다른 AWS 서비스를 사용할 수 있습니까?

    예. 사용하고자 하는 서비스가 규정 준수 프로그램 제공 AWS 범위 내 서비스 웹 페이지에 나와 있지 않은 경우, 다른 AWS 서비스를 통해 워크로드의 적합성을 평가할 수 있습니다.

  • ISM 규정 준수로 인해 AWS의 서비스 비용이 증가합니까?

    아니요. AWS가 ISM 규정을 준수한다고 해서 AWS의 서비스 비용이 증가하지는 않습니다.

  • AWS는 ASD 공인 클라우드 서비스 목록에 포함되어 있습니까?

    예. ASD(Australian Signals Directorate)는 AWS에 대한 IRAP 평가를 완료했으며 미분류 DLM 워크로드에 대한 ASD 인증을 부여했습니다. 자세한 내용은 ASD 공인 클라우드 서비스 목록(CCSL)을 참조하십시오.

    호주 정부 기관은 서비스의 잔존 위험이 충분히 이해되고 적절히 평가되었는지 결정하기 위해 인증 기관으로서 ASD의 전문성을 활용하여 비용과 위험을 크게 줄일 수 있습니다. 이를 통해 호주 정부 부서의 보안 성과가 크게 향상되는 것은 물론 이러한 평가와 관련된 비용이 절감됩니다.

  • AWS는 재무부 범정부 클라우드 서비스 자문단에 속해있습니까?

    예. AWS는 2015년 3월 31일부터 자문단의 회원입니다. 기관은 사전에 평가를 받은 클라우드 서비스 공급자와 공통 계약 프레임워크를 사용함으로써 비용에 합당한 가치를 확보하고 조달 프로세스를 간소화할 수 있습니다. 이러한 조달의 편의성을 통해 기관은 미션에 필요한 속도에 맞춰 진행하고 호주 시민에게 서비스를 효과적으로 제공할 수 있습니다.

compliance-contactus-icon
질문이 있으십니까? AWS 규정 준수 담당자에게 문의
규정 준수 역할을 찾고 계십니까?
지금 신청하십시오 »
AWS 규정 준수 업데이트를 받으시겠습니까?
Twitter 팔로우하기 »