โปรแกรมผู้ประเมินความปลอดภัยของสารสนเทศที่ลงทะเบียน (IRAP)

ภาพรวม


โปรแกรมผู้ประเมินความปลอดภัยของสารสนเทศที่ลงทะเบียน (IRAP) เปิดให้ลูกค้ารัฐบาลออสเตรเลียสามารถตรวจสอบยืนยันได้ว่ามีระบบการจัดการควบคุมที่เหมาะสมอยู่ รวมถึงกำหนดโมเดลความรับผิดชอบที่เหมาะสมสำหรับดำเนินการตามข้อกำหนดของคู่มือการรักษาความปลอดภัยของสารสนเทศของรัฐบาลออสเตรเลีย (ISM) ที่ออกโดยศูนย์ความมั่นคงปลอดภัยทางไซเบอร์ของออสเตรเลีย (ACSC)

การคุ้มครองข้อมูลของรัฐบาลออสเตรเลียจากการเข้าถึงโดยไม่ได้รับอนุญาตและการเปิดเผยข้อมูลถือเป็นข้อพิจารณาหลักเมื่อจะจัดหาและใช้ประโยชน์จากบริการระบบคลาวด์ AWS ตระหนักว่าลูกค้าพึ่งพาโครงสร้างพื้นฐานของ AWS ที่มีการส่งมอบข้อมูลอย่างปลอดภัย รวมถึงมีคุณสมบัติสำคัญที่ทำให้ลูกค้าสามารถสร้างสภาพแวดล้อมที่ปลอดภัยได้ AWS ช่วยให้ลูกค้าบรรลุวัตถุประสงค์เหล่านี้ได้โดยการให้ความสำคัญแก่การรักษาความปลอดภัยในการส่งมอบบริการต่างๆ ผ่านการสร้างสภาพแวดล้อมของการควบคุมที่แข็งแกร่ง และโดยการทำให้บริการและคุณสมบัติด้านการรักษาความปลอดภัยต่างๆ พร้อมใช้งานอย่างหลากหลาย

บริการ AWS Cloud ในขอบเขตซึ่งได้รับการประเมินโดย IRAP สามารถดูได้จาก บริการของ AWS ในขอบเขตตามโปรแกรมการปฏิบัติตามข้อกำหนด ผู้ประเมิน IRAP อิสระได้ตรวจสอบระบบควบคุมของ AWS ซึ่งรวมถึงบุคลากร กระบวนการ และเทคโนโลยีโดยเทียบกับข้อบังคับของ ISM หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการใช้บริการเหล่านี้ และ/หรือมีความสนใจในบริการอื่นๆ โปรดติดต่อเรา

คำถามที่พบบ่อย


  • ในวันจันทร์ที่ 2 มีนาคม 2020 กรมสัญญาณแห่งออสเตรเลีย (ASD) และหน่วยงานด้านการเปลี่ยนผ่านสู่ดิจิทัล (DTA) ได้ประกาศผลการทบทวนของโปรแกรมการรับรองบริการระบบคลาวด์ (CSCP) และโปรแกรมผู้ประเมินความปลอดภัยของสารสนเทศที่ลงทะเบียน (IRAP) การทบทวนดังกล่าวได้ให้คำแนะนำดังต่อไปนี้:

    • ปิด CSCP และสร้างแนวทางด้านความปลอดภัยของระบบคลาวด์ใหม่ที่ออกแบบร่วมกันกับอุตสาหกรรม
    • ขยายและเพิ่มประสิทธิภาพของ IRAP
    • ตั้งฟอรัมการให้คำปรึกษาของรัฐบาลและอุตสาหกรรมสำหรับความมั่นคงปลอดภัยทางไซเบอร์
    • อัปเดตสิ่งจูงใจในคำแนะนำและแนวทางการจัดหาและการบริหารจัดการเพื่อให้เกิดการยุติ CSCP

    ณ วันที่ 2 มีนาคม 2020 ASD ไม่ได้เป็นผู้ออกใบรับรองอีกต่อไปและได้ยุติกิจกรรมการรับรองทั้งหมด ซึ่งรวมถึงกิจกรรมการต่ออายุการรับรอง ใบรับรองและหนังสือต่ออายุการรับรองของ ASD ทั้งหมดจะเป็นโมฆะตั้งแต่วันที่ 27 กรกฎาคม 2020 และคู่มือการรักษาความปลอดภัยของสารสนเทศของรัฐบาลออสเตรเลีย (ISM) ได้รับการอัปเดตเพื่อลบข้อกำหนดในการเลือกบริการระบบคลาวด์ออกจากรายชื่อบริการระบบคลาวด์ที่ผ่านการรับรอง (CCSL)

    ภายใต้กลยุทธ์ระบบคลาวด์ที่ปลอดภัยของรัฐบาลออสเตรเลีย หน่วยงานต่างๆ ของเครือรัฐสามารถประเมินบริการระบบคลาวด์ด้วยตนเองได้โดยใช้แนวทางปฏิบัติที่ใช้ในการประเมินระบบ ICT อยู่แล้ว

    แล้วจะเป็นอย่างไรต่อ

    ในวันที่ 27 กรกฎาคม 2020 ศูนย์ความมั่นคงปลอดภัยทางไซเบอร์ของออสเตรเลีย (ACSC) และหน่วยงานด้านการเปลี่ยนผ่านสู่ดิจิทัล (DTA) ได้ออกคำแนะนำเกี่ยวกับความปลอดภัยของระบบคลาวด์ใหม่ที่ออกแบบร่วมกันกับอุตสาหกรรมเพื่อสนับสนุนการนำระบบคลาวด์มาใช้อย่างปลอดภัยทั่วทั้งภาครัฐและอุตสาหกรรม AWS ยังคงรับผิดชอบในการประเมิน IRAP ต่อไปเพื่อดูแลการประเมินให้เป็นปัจจุบันและเพื่อให้บริการใหม่ๆ หน่วยงานของเครือรัฐจะยังคงรับผิดชอบกิจกรรมการประกันและการบริหารความเสี่ยงของตนเองต่อไป ตามกลยุทธ์ระบบคลาวด์ที่ปลอดภัยของรัฐบาลออสเตรเลีย หน่วยงานต่างๆ ของเครือรัฐสามารถประเมินบริการระบบคลาวด์ด้วยตนเองได้โดยใช้แนวทางปฏิบัติที่ใช้ในการประเมินระบบ ICT อยู่แล้ว ASD จะปรับปรุงคำแนะนำเกี่ยวกับความปลอดภัยของระบบคลาวด์ที่มีอยู่ผ่านการพัฒนาแนวทางที่ออกแบบร่วมกันกับอุตสาหกรรม นอกจากนี้ แนวทางเหล่านี้จะช่วยเหลือหน่วยงานของเครือรัฐและธุรกิจของออสเตรเลียในการเพิ่มความปลอดภัยและความยืดหยุ่นทางไซเบอร์ของตน

    ปัจจุบันนี้ ASD ได้พัฒนาคู่มือที่มีประโยชน์จำนวนมากเพื่อให้องค์กรทำการประเมินด้านความปลอดภัยที่เหมาะสมเกี่ยวกับระบบคลาวด์ ในการประเมินใดๆ นั้น แนะนำให้พิจารณาการควบคุมความปลอดภัยใน ISM และคำแนะนำเกี่ยวกับความปลอดภัยของระบบคลาวด์ของ ASD อย่างชัดเจน ซึ่งรวมถึง:

    DTA ยังคงดำเนินการเพื่อสนับสนุนให้หน่วยงานของเครือรัฐใช้กลยุทธ์ระบบคลาวด์ที่ปลอดภัยของรัฐบาลออสเตรเลียในการสนับสนุนการนำบริการระบบคลาวด์มาใช้

  • ในการสนับสนุนลูกค้ารัฐบาลออสเตรเลีย เราได้จัดเตรียมชุดคำแนะนำและเอกสารด้านการรักษาความปลอดภัยเพื่อเพิ่มความเข้าใจของคุณในด้านการรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนดในขณะที่ใช้ AWS AWS ได้จัดเตรียมเอกสารข้อมูลสำหรับสาธารณะดังต่อไปนี้:

    คุณสามารถเข้าถึงแพ็กเกจ IRAP PROTECTED ผ่าน AWS Artifact ซึ่งเป็นพอร์ทัลบริการตนเองสำหรับการเข้าถึงรายงานด้านการปฏิบัติตามข้อกำหนดของ AWS ตามความต้องการ ลงชื่อเข้าใช้ AWS Artifact ใน AWS Management Console หรือเรียนรู้เพิ่มเติมได้ที่การเริ่มต้นใช้งาน AWS Artifact ข้อมูลนี้มอบความสามารถในการวางแผน ออกแบบ และประเมินระบบที่สร้างขึ้นใน AWS ด้วยตนเองภายใต้กลยุทธ์ระบบคลาวด์ที่ปลอดภัยของรัฐบาลออสเตรเลีย แพ็กเกจนี้มอบข้อมูลทุกอย่างที่ลูกค้าภาครัฐจำเป็นต้องใช้ในการประเมิน AWS ในระดับ PROTECTED และช่วยให้หน่วยงานเอกเทศสามารถลดความซับซ้อนของกระบวนการนำบริการของ AWS มาใช้ เอกสารในแพ็กเกจมีดังต่อไปนี้:

    • จดหมายประเมิน;
    • รายงานการประเมินระบบคลาวด์
    • เมทริกซ์การควบคุมความปลอดภัยของระบบคลาวด์;
    • สถาปัตยกรรมอ้างอิง และ
    • คู่มือผู้บริโภค

    รายงานเพิ่มเติมที่ประเมินและทดสอบการควบคุมที่ปรับใช้โดยโครงสร้างพื้นฐานของ AWS และพร้อมใช้งานภายใต้ NDA (ตามความจำเป็น) มีดังนี้:

    • รายงานการควบคุมองค์กรบริการ 1 (SOC1) ประเภท II
    • รายงานการควบคุมองค์กรบริการ 2 (SOC2) ประเภท II
    • ใบรับรอง ISO 27001 และคำประกาศการนำไปใช้งาน และ
    • เอกสารยืนยันการปฏิบัติตามข้อกำหนดของ PCI และบทสรุปหน้าที่ของ PCI

    Quick Start มีไว้สำหรับผู้ใช้ที่ต้องการสร้างปริมาณงานบนระบบคลาวด์ที่ใช้การควบคุมของ AWS ซึ่งตรงตามข้อกำหนดของ ISM สำหรับการจัดการข้อมูลที่ละเอียดอ่อนของรัฐบาลในระดับการจัดหมวดหมู่ PROTECTED ซึ่งจะปรับใช้สถาปัตยกรรมอ้างอิง IRAP PROTECTED บน AWS Cloud โดยอัตโนมัติภายในเวลาประมาณหนึ่งชั่วโมง สถาปัตยกรรมอ้างอิงจะแสดงให้เห็นวิธีที่บริการของ AWS หลายบริการถูกรวมเข้าด้วยกันเพื่อสนับสนุนเว็บแอปพลิเคชันแบบหลายระดับด้วยบริการรักษาความปลอดภัยและการบริหารจัดการที่เกี่ยวข้องซึ่งตรงตามข้อกำหนด PROTECTED ของ ISM ในขณะที่โซลูชันนี้ปรับใช้การควบคุมจำนวนมากที่ระบุไว้ในสถาปัตยกรรมอ้างอิง IRAP PROTECTED แต่การควบคุมที่แนะนำบางส่วนไม่ได้รวมอยู่ใน Quick Start นี้ ก่อนที่จะใช้โซลูชันนี้เพื่อจัดเก็บข้อมูล PROTECTED โปรดอย่าลืมปฏิบัติตามคำแนะนำในแพ็กเกจซึ่งสามารถดูได้ใน AWS Artifact

    สำหรับข้อมูลเกี่ยวกับรายงานเพิ่มเติมอื่นๆ โปรดดูที่ โปรแกรมการปฏิบัติตามข้อกำหนดของ AWS

  • ผู้ประเมิน IRAP คือบรรดามืออาชีพด้าน ICT ที่ได้รับการรับรองโดย ASD จากทั่วออสเตรเลียซึ่งมีประสบการณ์และคุณสมบัติที่จำเป็นในด้าน ICT การประเมินความปลอดภัย และการบริหารความเสี่ยง รวมถึงความรู้อย่างละเอียดเกี่ยวกับข้อบังคับในการปฏิบัติตามข้อกำหนดด้านการรักษาความปลอดภัยของสารสนเทศของรัฐบาลออสเตรเลีย

  • คู่มือการรักษาความปลอดภัยของสารสนเทศ (ISM) ของรัฐบาลออสเตรเลียกำหนดกรอบด้านความปลอดภัยทางไซเบอร์ที่องค์กรสามารถนำไปใช้เพื่อปกป้องระบบเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) ของตนจากภัยคุกคามทางไซเบอร์ได้ คู่มือนี้เป็นส่วนเสริมของ Protective Security Policy Framework (PSPF) ที่ออกโดยสำนักงานอัยการสูงสุดของรัฐบาลออสเตรเลีย ISM และ PSPF มอบแนวทางและความรับผิดชอบสำหรับหน่วยงานของเครือรัฐในการปรับใช้การควบคุมที่เหมาะสมในสภาพแวดล้อม ICT นอกจากนี้ หน่วยงานของเครือรัฐควรพิจารณาคำแนะนำที่เกี่ยวข้องซึ่งเผยแพร่โดยหรือสำหรับหน่วยงานเหล่านี้โดยเฉพาะ

    ในปี 2017 หน่วยงาน Digital Transformation Agency (DTA) ได้ร่วมมือกับหน่วยงานอื่นๆ ของรัฐและอุตสาหกรรมเพื่อพัฒนากลยุทธ์ระบบคลาวด์ที่ปลอดภัยขึ้นมา กลยุทธ์นี้มุ่งเน้นไปที่การช่วยเหลือหน่วยงานภาครัฐในการใช้เทคโนโลยีระบบคลาวด์

    ISM คือคู่มือที่เผยแพร่โดยศูนย์ความมั่นคงปลอดภัยทางไซเบอร์ของออสเตรเลีย (ACSC) ซึ่งเป็นองค์กรชั้นนำของรัฐบาลออสเตรเลียในด้านความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติและเป็นส่วนหนึ่งของกรมสัญญาณแห่งออสเตรเลีย (ASD)

    สำหรับข้อมูลเพิ่มเติมเกี่ยวกับบทบาทของ ACSC ในการส่งเสริมและปรับปรุงความมั่นคงปลอดภัยทางไซเบอร์ของออสเตรเลีย โปรดดูที่เว็บเพจความมั่นคงปลอดภัยทางไซเบอร์บนเว็บไซต์ ASD หรือเว็บไซต์ ACSC

  • ใช่ AWS Cloud services ได้รับการประเมินโดยผู้ประเมิน IRAP อิสระโดยเทียบกับระบบควบคุม ISM ที่เกี่ยวข้อง การประเมินนี้ตรวจสอบการควบคุมความปลอดภัยของบุคลากร กระบวนการ และเทคโนโลยีของ Amazon การประเมินนี้มอบความมั่นใจว่ามีการปรับใช้ระบบควบคุมที่เกี่ยวข้อง ซึ่งจำเป็นสำหรับปริมาณงานของรัฐบาลออสเตรเลียในระดับ PROTECTED สำหรับผลิตภัณฑ์ที่ AWS มีอยู่เหล่านี้ สำหรับข้อมูลเพิ่มเติม คุณยังสามารถไปที่ AWS Artifact เพื่อเข้าถึงแพ็กเกจ IRAP PROTECTED จากการประเมินล่าสุดได้เช่นกัน

  • หากต้องการข้อมูลเพิ่มเติม โปรดดูที่เว็บเพจ IRAP บนเว็บไซต์ ACSC

  • การประเมิน IRAP ครอบคลุมบริการในขอบเขตภายในรีเจี้ยนซิดนีย์และเมลเบิร์นของ AWS ดูบริการของ AWS ที่ครอบคลุมซึ่งอยู่ในขอบเขตสำหรับการประเมิน IRAP ได้ที่เว็บเพจบริการของ AWS ในขอบเขตตามโปรแกรมการปฏิบัติตามข้อกำหนด

  • ใช่ ภายใต้การปฏิบัติตามข้อกำหนดของกฎระเบียบ นโยบาย และแนวทางที่มีผลบังคับใช้ซึ่งกำกับดูแลการใช้บริการระบบคลาวด์ของคุณ หากบริการที่ต้องการใช้งานไม่อยู่ในรายชื่อบนเว็บเพจบริการของ AWS ในขอบเขตตามโปรแกรมการปฏิบัติตามข้อกำหนด สามารถประเมินเวิร์กโหลดเพื่อดูความเหมาะสมกับบริการอื่นๆ ของ AWS ได้

มีคำถามหรือไม่ เชื่อมต่อกับตัวแทนธุรกิจของ AWS
ต้องการสำรวจบทบาทด้านการปฏิบัติตามข้อกำหนดใช่ไหม
สมัครวันนี้ »
ต้องการข่าวสารการอัปเดตเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS ใช่ไหม
ติดตามเราบน Twitter »