โปรแกรมผู้ประเมินความปลอดภัยของสารสนเทศที่ลงทะเบียน (IRAP)

ภาพรวม

IRAP

โปรแกรมผู้ประเมินความปลอดภัยของสารสนเทศที่ลงทะเบียน (IRAP) เปิดให้ลูกค้ารัฐบาลออสเตรเลียสามารถตรวจสอบยืนยันได้ว่ามีระบบการจัดการควบคุมที่เหมาะสมอยู่ และกำหนดโมเดลความรับผิดชอบที่เหมาะสมสำหรับกล่าวถึงข้อกำหนดของคู่มือการรักษาความปลอดภัยของข้อมูลรัฐบาลออสเตรเลีย (ISM) ที่ออกโดยกรมข้อมูลสัญญาณแห่งออสเตรเลีย (ASD)

การคุ้มครองข้อมูลของรัฐบาลออสเตรเลียจากการเข้าถึง นำไปใช้ในทางที่ผิด และเปิดเผยข้อมูล ถือเป็นข้อพิจารณาหลักเมื่อดำเนินการและใช้งานบริการคลาวด์ AWS ตระหนักว่าลูกค้าพึ่งพาโครงสร้าง AWS ที่มีการส่งมอบข้อมูลอย่างปลอดภัย และคุณสมบัติสำคัญที่เปิดให้ลูกค้าสร้างสภาพแวดล้อมที่ปลอดภัย AWS เปิดให้ลูกค้าบรรลุวัตถุประสงค์เหล่านี้โดยการให้ความสำคัญแก่การรักษาความปลอดภัยในการส่งมอบบริการ ผ่านทางการสร้างสภาพแวดล้อมควบคุมที่แข็งแกร่ง และโดยการทำให้สามารถใช้บริการและคุณสมบัติการรักษาความปลอดภัยได้อย่างหลากหลาย บริการเหล่านี้ช่วยให้มีการควบคุมอย่างครอบคลุมเหนือสภาพแวดล้อมควบคุม IT ของลูกค้า ปรับใช้การบริหารจัดการของบริการรักษาความปลอดภัยให้ง่ายขึ้น และส่งมอบผลลัพธ์ด้านการรักษาความปลอดภัยที่พัฒนาขึ้นสำหรับรัฐบาลออสเตรเลีย

AWS ปฏิบัติตามกฎระเบียบ IRAP ผู้ประเมิน IRAP อิสระตรวจสอบระบบควบคุม AWS ซึ่งได้แก่ บุคคล กระบวนการ และเทคโนโลยี เพื่อให้แน่ใจว่ามีการอ้างถึงความจำเป็นของ ISM การประเมินผลนี้และ หนังสือรับรองการปฏิบัติตามกฎระเบียบ จะเป็นส่วนประกอบหลักที่องค์กรการรับรองได้รับการรับประกันเพื่อรับรองโครงสร้าง AWS และให้ข้อเสนอแนะแก่องค์กรการรับรองคุณภาพเพื่อใช้งานแพลตฟอร์มอย่างเหมาะสม

การรับรองคุณภาพหน่วยงานเป็นขั้นตอนสุดท้ายของการประเมิน IRAP และ การรับรองอย่างเป็นทางการโดย ASD ซึ่งทำหน้าที่เป็นองค์กรการรับรองสำหรับรัฐบาลออสเตรเลีย การรับรองนี้ให้การรับประกันว่า AWS มีการใช้งานระบบการควบคุมตามที่กำหนดโดย ISM และเป็นผู้ลงมือทำทันทีในด้านการรับรองคุณภาพ AWS สำหรับภาระงานของรัฐบาลออสเตรเลีย

  • มีเอกสาร IRAP อะไรที่ฉันนำมาใช้ได้

    ในการสนับสนุนลูกค้ารัฐบาลออสเตรเลีย เราได้จัดเตรียมชุดคู่มือการรักษาความปลอดภัยและเอกสารเพื่อเพิ่มความเข้าใจของคุณในด้านการรักษาความปลอดภัยและการปฏิบัติตามกฎระเบียบในขณะที่ใช้ AWS เป็นผู้ให้บริการคลาวด์ที่ได้รับการรับรอง AWS ได้จัดเตรียมเอกสารรายงานสำหรับสาธารณะดังต่อไปนี้:

    ลูกค้ารัฐบาลออสเตรเลียสามารถใช้การรับรอง ASD ของเราและหนังสือรับรองการปฏิบัติตามกฎระเบียบของผู้ประเมิน IRAP อิสระของเราในการเร่งเป้าหมายการรับรองและการรับรองคุณภาพของตน เอกสารต่อไปนี้มีบริการสำหรับสาธารณะ:

    เอกสาร IRAP เพิ่มเติมจะมีให้ลูกค้าใช้งานโดยใช้ AWS Artifact ซึ่งเป็นพอร์ทัลบริการตนเองสำหรับการเข้าถึงรายงานการปฏิบัติตามข้อกำหนด AWS ได้ตามต้องการ ลงชื่อเข้าใช้ AWS Artifact ใน AWS Management Console หรือเรียนรู้เพิ่มเติมได้ที่ การเริ่มต้นใช้งาน AWS Artifact

    • สรุปการปรับใช้การควบคุม
    • รายงาน IRAP ขั้นที่ 2

    มีรายงานเพิ่มเติมที่ประเมินและทดสอบการปรับใช้ส่วนควบคุมโดยโครงสร้าง AWS และมีให้บริการภายใต้ NDA (ตามที่กำหนด):

    • รายงานการควบคุมองค์กรบริการ 1 (SOC1) ประเภท II
    • รายงานการควบคุมองค์กรบริการ 2 (SOC2) ประเภท II
    • การรับรอง ISO 27001 และข้อความการประยุกต์ใช้
    • เอกสารยืนยันการปฏิบัติตามข้อกำหนดของ PCI และบทสรุปหน้าที่ของ PCI

    การเริ่มต้นใช้งานด่วน มีไว้สำหรับผู้ใช้ที่ต้องการสร้างปริมาณงานบนพื้นฐานระบบคลาวด์ที่ใช้การควบคุม AWS ตามข้อกำหนด ISM สำหรับข้อมูลที่ละเอียดอ่อนของรัฐบาลที่จัดการในระดับการจัดหมวดหมู่ PROTECTED ซึ่งจะปรับใช้สถาปัตยกรรมอ้างอิง IRAP PROTECTED บน AWS Cloud โดยอัตโนมัติภายในเวลาประมาณหนึ่งชั่วโมง สถาปัตยกรรมอ้างอิงจะแสดงให้เห็นว่าบริการของ AWS หลายบริการถูกรวมเข้าด้วยกันเพื่อรองรับเว็บแอปพลิเคชันแบบหลายระดับด้วยการรักษาความปลอดภัยที่เกี่ยวข้องและบริการการจัดการที่เป็นไปตามข้อกำหนด ISM ที่ได้รับการป้องกันอย่างไร ในขณะที่โซลูชันนี้ปรับใช้การควบคุมจำนวนมากที่ระบุไว้ในสถาปัตยกรรมอ้างอิง IRAP PROTECTED แต่การควบคุมที่แนะนำบางส่วนไม่ได้รวมอยู่ในการเริ่มต้นใช้งานด่วนนี้ ก่อนใช้โซลูชันนี้เพื่อเก็บข้อมูล PROTECTED โปรดอย่าลืมปฏิบัติตามคำแนะนำในแพ็คเกจ IRAP PROTECTED ในสิ่งประดิษฐ์ของ AWS 

    สำหรับข้อมูลเกี่ยวกับรายงานเพิ่มเติมอื่นๆ โปรดดูที่ คำถามที่พบบ่อยเกี่ยวกับการปฏิบัติตามข้อกำหนด AWS

  • ทำไมฉันจำเป็นต้องมีผู้ประเมินที่ได้รับการรับรองคุณภาพ IRAP แล้ว

    ผู้ประเมินที่ได้รับการรับรองคุณภาพ IRAP คือหน่วยงานที่ได้รับการรับรองคุณภาพโดยกรมข้อมูลสัญญาณออสเตรเลีย (ASD) ภายใต้โปรแกรมผู้ประเมินความปลอดภัยของสารสนเทศที่ลงทะเบียน (IRAP) ว่ามีคุณสมบัติอย่างเหมาะสมในการจัดทำการประเมินเกี่ยวกับเฟรมเวิร์กการควบคุมของ ASD คู่มือการรักษาความปลอดภัยสารสนเทศ (ISM)

    ผู้ประเมินที่ได้รับการรับรองคุณภาพ IRAP เป็นเพียงหน่วยงานเดียวที่ได้รับการรับรองคุณภาพว่ามีคุณสมบัติในการดำเนินการประเมินระบบเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) โดยเทียบกับคู่มือการรักษาความปลอดภัยสารสนเทศ (ISM) ของรัฐบาลออสเตรเลีย และผู้ประเมินที่ได้รับการรับรองคุณภาพ IRAP อธิบายถึงส่วนของการปฏิบัติตามข้อกำหนดและไม่ปฏิบัติตามข้อกำหนด อธิบายความเสี่ยงที่เหลืออยู่และการดำเนินการแก้ไข และให้คำแนะนำแก่องค์กรการรับรองว่าด้วยเรื่องการรับรอง

  • ISM คืออะไร

    ISM คือ คู่มือการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ (ISM) ของรัฐบาลออสเตรเลีย ที่ตีพิมพ์โดยกรมข้อมูลสัญญาณของออสเตรเลีย (ASD) ซึ่งเป็นองค์กรภายในกระทรวงกลาโหม ที่มีพันธกิจเพื่อคุ้มครองระบบและสารสนเทศของรัฐบาลออสเตรเลีย

    ISM เป็นมาตรฐานที่ควบคุมความปลอดภัยของระบบเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) ของรัฐบาลออสเตรเลีย โดยประกอบด้วย Protective Security Policy Framework (PSPF) ที่ออกโดยกระทรวงอัยการกลางของรัฐบาลออสเตรเลีย โดย ISM และ PSPF ได้ให้แนวทางสำหรับการนำไปใช้ควบคุมที่เหมาะสมเพื่อทำงานการจำแนกหมวดหมู่ทั้งหมดของปริมาณงานในสภาพแวดล้อม ICT

    มีการใช้การปฏิบัติตามข้อกำหนด ISM ในการประเมินสมาชิกภาพของผู้ให้บริการคลาวด์ไปยัง รายชื่อบริการคลาวด์ที่ได้รับการรับรอง ASD ซึ่งให้รายชื่อของบริการคลาวด์ที่ ASD ได้ดำเนินการเป็นหน่วยงานการรับรอง หน่วยงานจำเป็นต้องได้รับการรับรองเพื่อให้มีปริมาณงานที่ได้รับการรับรองคุณภาพสำหรับใช้งานบนบริการคลาวด์ที่จัดหาผ่านทางช่องทางบริการคลาวด์ของรัฐบาลทั้งหมดของกระทรวงการคลังให้เป็นสื่อกลางกระบวนการหลักสำหรับบริการคลาวด์สำหรับรัฐบาลออสเตรเลีย

    ในปี 2017 หน่วยงานการแปลงข้อมูลดิจิทัล (DTA)ทำงานร่วมกับหน่วยงานและอุตสาหกรรมของภาครัฐเพื่อพัฒนากลยุทธ์คลาวด์ที่ปลอดภัย กลยุทธ์จะมุ่งเน้นไปที่การช่วยเหลือหน่วยงานภาครัฐในการใช้เทคโนโลยีคลาวด์

    สำหรับข้อมูลเพิ่มเติมเกี่ยวกับบทบาทของ ASD ในการรักษาความปลอดภัยของข้อมูลของออสเตรเลีย โปรดดู บทบาทการรักษาความปลอดภัยของข้อมูลสารสนเทศ (InfoSec) บนเว็บไซต์ ASD

    irap_graphics
  • AWS สอดคล้องตามข้อกำหนดของ ISM หรือไม่

    ใช่ AWS ได้รับการตรวจสอบโดยผู้ประเมินอิสระจากโปรแกรมผู้ประเมินความปลอดภัยของสารสนเทศที่ลงทะเบียน (IRAP) การประเมินได้ทดสอบการควบคุมการรักษาความปลอดภัยของผู้คน กระบวนการ และเทคโนโลยีของ Amazon เพื่อให้แน่ใจว่าสอดคล้องกับข้อกำหนดของ ASD 2014 ISM สำหรับข้อมูลเพิ่มเติม โปรดดู หนังสือรับรองการปฏิบัติตามกฎข้อบังคับ IRAP ISM บนเว็บไซต์ AWS

  • ฉันสามารถดูข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรม IRAP ได้จากที่ใด

    สำหรับข้อมูลเพิ่มเติม โปรดดูหน้า โปรแกรม IRAP บนเว็บไซต์ ASD

  • ภูมิภาคและบริการ AWS ใดที่อยู่ภายใต้การประเมิน IRAP

    การประเมิน IRAP และการรับรอง ASD ครอบคลุมภูมิภาคซิดนีย์ AWS อย่างไรก็ตาม AWS ปฏิบัติต่อภูมิภาค AWS ทั้งหมดเท่าเทียมกันในด้านของการควบคุม นโยบาย และกระบวนการที่ใช้ในการทำงาน หน่วยงานควรประเมินปริมาณงานและความต้องการทางธุรกิจเพื่อกำหนดว่าจะใช้ภูมิภาค AWS ใด

    บริการของ AWS ที่อยู่ในขอบข่ายของ IRAP ได้รับการระบุไว้ในหน้าเว็บ บริการของ AWS ในขอบข่ายซึ่งเป็นไปตามโปรแกรมการปฏิบัติตามข้อกำหนด

  • ฉันสามารถใช้บริการ AWS อื่นๆ ที่ไม่ได้อยู่ในการประเมิน IRAP หรือไม่

    ได้ หากบริการที่คุณต้องการใช้งานไม่อยู่ในรายชื่อบนหน้าเว็บ บริการของ AWS ในขอบข่ายซึ่งเป็นไปตามโปรแกรมการปฏิบัติตามข้อกำหนด คุณสามารถประเมินปริมาณงานของคุณที่เหมาะสมกับบริการ AWS อื่นๆ

  • การปฏิบัติตามข้อกำหนดของ ISM จะเพิ่มค่าบริการ AWS หรือไม่

    ไม่ จะไม่มีการขึ้นราคาค่าบริการ เนื่องจาก AWS ปฏิบัติตามข้อกำหนด ISM

  • AWS อยู่ในรายชื่อบริการคลาวด์ที่ได้รับการรับรอง ASD หรือไม่

    ใช่ กรมข้อมูลสัญญาณออสเตรเลีย (ASD) ได้ดำเนินการประเมิน IRAP ของ AWS เรียบร้อยแล้ว และได้มอบการรับรอง ASD สำหรับปริมาณงาน DLM ทั้งที่ได้รับการป้องกันและเปิดเผย สำหรับข้อมูลเพิ่มเติม โปรดดูรายชื่อบริการคลาวด์ที่ได้รับการรับรอง ASD (CCSL)

    หน่วยงานรัฐบาลออสเตรเลียสามารถลดต้นทุนและความเสี่ยงของตนได้อย่างมากโดยการอาศัยทักษะความรู้เชิงลึกของ ASD ในฐานะหน่วยงานการรับรองเพื่อกำหนดว่าความเสี่ยงที่ยังเหลืออยู่ของบริการเป็นที่เข้าใจดีแล้วและได้รับการประเมินอย่างเหมาะสมแล้ว การดำเนินการนี้ทำให้ผลลัพธ์ด้านความปลอดภัยพัฒนาขึ้นอย่างมีนัยสำคัญสำหรับหน่วยงานรัฐบาลของออสเตรเลีย ในขณะที่ยังช่วยลดต้นทุนที่เกี่ยวข้องกับการประเมินดังกล่าว

compliance-contactus-icon
มีคำถามหรือไม่ เชื่อมต่อกับตัวแทนธุรกิจของ AWS
ต้องการสำรวจบทบาทด้านการปฏิบัติตามข้อกำหนดใช่ไหม
สมัครวันนี้ »
ต้องการข่าวสารการอัปเดตเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS ใช่ไหม
ติดตามเราบน Twitter »