클라우드에서 IRAP에 대한 정보를 받고 싶습니다.

 

 

AWS ISM 규정 준수

호주 정부 데이터가 액세스, 침해 및 공개되지 않도록 보호하는 것은 클라우드 서비스를 조달하고 활용할 때 주요 고려 사항이 됩니다. AWS는 고객이 AWS 인프라의 보안 전송에 의존하고 있으며, 고객이 좀 더 안전한 환경을 구축할 수 있게 해주는 기능을 갖추는 것이 중요함을 확인했습니다. AWS를 사용하면 고객은 강력한 제어 환경을 설정하고 다양한 보안 서비스 및 기능을 사용할 수 있으므로 서비스 제공 시 보안에 우선순위를 지정하여 이러한 목표를 달성할 수 있습니다. 이러한 서비스는 고객 IT 제어 환경에 포괄적인 규제 항목을 제공하고, 보안 서비스의 관리를 간소화하며, 호주 정부에 개선된 보안 결과를 제공합니다.

Information Security Registered Assessors Program(IRAP)을 사용하면 호주 정부 고객이 적절한 규제 항목을 갖추었는지 검증하고 Australian Signals Directorate(ASD) 정보 보안 매뉴얼(ISM)의 요구 사항을 해결하기 위한 적절한 책임 모델을 결정할 수 있습니다.

독립적인 IRAP 평가자는 AWS의 인력, 프로세스 및 기술에 대한 규제 항목을 검사하여 이러한 규제 항목이 ISM의 요구 사항을 해결하는지 확인합니다. 이러한 평가와 규정 준수 통보서는 인증 기관이 자신 있게 AWS 인프라를 인증하고 인가 기관에 플랫폼의 적절한 사용에 대한 추천을 제공하는 기준이 됩니다.

기관 인가는 IRAP 평가와 호주 정부의 인증 기관으로 운영되는 ASD의 공식 인증의 정점입니다. 이러한 인증은 AWS에서 적용되는 ASD의 ISM 규제 항목을 준수하고 있음을 보증하고, AWS가 호주 정부 워크로도를 위한 인가를 받는 데 즉각 선행자가 됩니다.

이러한 인증은 개별 기관이나 기관의 상용 파트너가 자신의 워크로드에 대해 클라우드 플랫폼을 평가하고 인증해야 하는 상당한 부담을 덜어주고, 대신 시스템의 인증 프로세스에 집중할 수 있게 해줍니다.



AWS는 ASD의 ISM 규제 항목, 기관 지침 및 정책에 따라 데이터를 보호할 수 있도록 고객에게 다양한 보안 기능을 제공합니다. AWS에서는 고객에게 제공하는 보안 도구를 지속적으로 반복 처리하고, 기존 보안 기능의 업데이트를 정기적으로 릴리스하고 있습니다. 또한, AWS는 고객에게 다양한 백서, 온라인 설명서 및 보안 동영상을 제공합니다. AWS의 글로벌 백서에서는 호주 정부 AWS 워크로드에 적용되는 것과 마찬가지로 데이터 보안에 대한 권장 사항을 다룹니다.

IRAP AWS 클라우드

AWS IRAP 보안 설명서 및 지침은 어떻게 사용합니까?

호주 정부 고객은 AWS의 ASD 인증과 독립적인 IRAP 평가자 규정 준수 통보서를 활용하여 인증 및 인가 목표를 가속화할 수 있습니다.

호주 정부 고객을 지원하고자 AWS에서는 보안 지침 및 설명서 패키지를 제공하므로 고객은 AWS를 공인 클라우드 서비스 공급업체로 사용하면서 보안 및 규정 준수에 대한 이해를 높일 수 있습니다. 

특히 IRAP에 따라 ISM와 비교하여 AWS 인프라를 평가하는 경우, AWS는 NDA 하에(필요에 따라) 정부 조직 또는 조직의 파트너에게 다음을 제공합니다.

-          AWS의 ISM 규정 준수에 대한 IRAP 보고서

-          AWS 인프라 플랫폼의 ASD 인증 통보서

-          IRAP ISM 규정 준수 통보서

-          제어 기능 구현 요약

NDA 하에(필요에 따라) 제공 가능하며 AWS 인프라에서 구현한 규제 항목을 평가하고 테스트할 수 있는 추가 보고서:

-          서비스 조직 규제 1(SOC1) 유형 II 보고서

-          서비스 조직 규제 2(SOC2) 유형 II 보고서

-          ISO27001 인증 및 적용성 보고서

-          PCI 규정 준수 증명 및 PCI 책임 요약

추가 보고서에 대한 자세한 내용은 AWS 규정 준수 FAQ를 참조하십시오.

호주 정부 고객 또는 호주 정부와 비즈니스를 수행하는 조달업체에 적용되는 AWS 보안 설명서에 대한 액세스 권한을 요청하려면, AWS 영업 및 비즈니스 개발 팀에 문의하거나 awscompliance@amazon.com으로 이메일을 보내주십시오.

     

IRAP 평가자는 ICT 시스템을 호주 정부 ISM과 비교하여 평가를 수행할 자격을 유일하게 인정받은 개인으로서, 규정 준수와 규정 비준수 영역을 설명하고, 잔존 위험과 수정 조치를 설명하며, 인증 기관에 인증에 관한 추천을 제공합니다.

IRAP 평가

다음과 같은 문서가 공개되어 있습니다.

제어 기능 구현 요약(CIS)IRAP 보고서 2단계는 AWS의 규정 준수 보고서에 온디맨드 방식으로 액세스할 수 있는 셀프서비스 포털인 AWS Artifact에 제공되어 있습니다. 지금 AWS Artifact 시작하기.

예. AWS는 2015년 3월 31일부터 자문단의 회원입니다. 기관은 사전에 평가한 공급업체와 공통 계약 프레임워크를 통해 간소화된 조달 프로세스 및 클라우드 서비스와 관련하여 금액에 걸맞은 가치를 확보합니다. 이러한 조달의 편의성으로 기관은 호주 시민에게 서비스를 효과적으로 제공한다는 목표에 보조를 맞춰 진행할 수 있습니다.

ISM은 국방부 산하 조직이며 호주 정부 시스템 및 정보를 보호하는 것이 임무인 Australian Signals Directorate(ASD)에서 발간한 호주 정부 정보 보안 매뉴얼(ISM)입니다. 

호주 정보를 안전하게 보호하는 ASD의 역할에 대한 자세한 내용은 http://www.asd.gov.au/about/roleinfosec.htm을 참조하십시오.

     

예. AWS는 Information Security Registered Assessors Program의 독립적인 평가자의 감사를 받았습니다. 평가에서는 Amazon의 인력, 프로세스 및 기술의 보안 규제 항목을 검사하여 이러한 항목이 ASD 2014 ISM의 요건을 충족하는지 확인합니다.

IRAP 평가 범위에 포함된 AWS 서비스 목록은 규정 준수 프로그램 제공 AWS 범위 내 서비스를 참조하십시오. 이 서비스 사용에 대한 자세한 내용이나 다른 서비스에 관심이 있는 경우, AWS에 문의하시기 바랍니다.

아니요. AWS가 ISM 규정을 준수함으로 인해 서비스 비용이 인상되는 리전은 없습니다.

예. AWS는 인증 기관인 Australian Signals Directorate(ASD)에서 미분류 DLM(UD) 워크로드에 대한 인증을 받았으며, ASD 공인 클라우드 서비스 목록(CCSL)의 초기 회원입니다.

기관이 ASD의 인증 기관으로서의 풍부한 전문성에 의존하여 서비스의 잔존 위험을 제대로 파악하고 적절하게 평가했는지 결정할 때 기관의 비용과 위험은 현저히 감소합니다. 이를 통해 호주 정부 부서의 보안 결과가 현저히 개선되고 관련 평가 비용이 절감됩니다.

2014년 10월, 호주 재무부와 통신부에서 공동으로 호주 정부 클라우드 컴퓨팅 정책 3.0을 발표했으며, 이는 연방 정부 기관이 클라우드 서비스 도입 시 "클라우드 우선" 접근 방식을 따르도록 규정하고 있습니다. 

 호주 정부의 클라우드 정책에 따라 현재 기관에서는 목적에 적합한 클라우드를 도입하고, 데이터를 충분히 보호하며, 가격에 합당한 가치를 제공해야 합니다.

 ISM은 정부 ICT(Information and Communication Technology) 시스템의 보안을 관장하는 표준입니다. ISM은 호주 정부 법무장관부에서 작성한 Protective Security Policy Framework(PSPF)를 보완합니다. PSPF와 함께 ISM은 ICT 환경에서 모든 범주의 워크로드를 운영할 수 있도록 적절한 규제 항목을 구현하기 위한 매뉴얼을 제공합니다. 

 ASD가 인증 기관의 역할을 한 클라우드 서비스 목록을 제공하는 ASD 공인 클라우드 서비스 목록에 포함할 클라우드 서비스 제공업체 멤버십을 평가하는 데 ISM 규정 준수가 사용되었습니다. 기관이 호주 정부의 클라우드 서비스를 위한 기본 조달 수단으로 재무부 범정부 클라우드 서비스 자문단을 통해 조달된 클라우드 서비스상에 실행하도록 워크로드를 승인하려면 인증이 필요합니다.

     
ASD의 규제 프레임워크인 정보 보안 매뉴얼(ISM)과 비교하여 평가를 수행할 적절한 자격이 있는 것으로 Information Security Registered Assessors Program에 따라 Australian Signals Directorate(ASD)가 인증한 개인입니다.      

IRAP 평가와 ASD 인증은 AWS 시드니 리전에 해당됩니다. 하지만 AWS는 리전을 운영하는 데 사용되는 규제 항목 정책 및 프로세스 면에서 모든 리전을 동일하게 다룹니다. 기관은 자신의 워크로드와 비즈니스 요구를 평가한 후 어떤 AWS 리전을 사용할지 결정해야 합니다.

예. 고객은 다른 AWS 서비스가 자신의 워크로드에 적합한지 평가할 수 있습니다. 보안 규제 및 위험 수용 고려사항에 대한 자세한 정보는 AWS 영업 및 비즈니스 개발 팀에 문의하십시오.      

 

AWS에 문의