โปรแกรมผู้ประเมินความปลอดภัยของสารสนเทศที่ลงทะเบียน (IRAP)

ภาพรวม

IRAP

โปรแกรมผู้ประเมินความปลอดภัยของสารสนเทศที่ลงทะเบียน (IRAP) เปิดให้ลูกค้ารัฐบาลออสเตรเลียสามารถตรวจสอบยืนยันได้ว่ามีระบบการจัดการควบคุมที่เหมาะสมอยู่ รวมถึงกำหนดโมเดลความรับผิดชอบที่เหมาะสมสำหรับดำเนินการตามข้อกำหนดของคู่มือการรักษาความปลอดภัยของสารสนเทศของรัฐบาลออสเตรเลีย (ISM) ที่ออกโดยศูนย์ความมั่นคงปลอดภัยทางไซเบอร์ของออสเตรเลีย (ACSC)

การคุ้มครองข้อมูลของรัฐบาลออสเตรเลียจากการเข้าถึงโดยไม่ได้รับอนุญาตและการเปิดเผยข้อมูลถือเป็นข้อพิจารณาหลักเมื่อจะจัดหาและใช้ประโยชน์จากบริการระบบคลาวด์ AWS ตระหนักว่าลูกค้าพึ่งพาโครงสร้างพื้นฐานของ AWS ที่มีการส่งมอบข้อมูลอย่างปลอดภัย รวมถึงมีคุณสมบัติสำคัญที่ทำให้ลูกค้าสามารถสร้างสภาพแวดล้อมที่ปลอดภัยได้ AWS ช่วยให้ลูกค้าบรรลุวัตถุประสงค์เหล่านี้ได้โดยการให้ความสำคัญแก่การรักษาความปลอดภัยในการส่งมอบบริการต่างๆ ผ่านการสร้างสภาพแวดล้อมของการควบคุมที่แข็งแกร่ง และโดยการทำให้บริการและคุณสมบัติด้านการรักษาความปลอดภัยต่างๆ พร้อมใช้งานอย่างหลากหลาย บริการเหล่านี้ช่วยให้มีการควบคุมสภาพแวดล้อมของการควบคุมระบบไอทีของลูกค้าอย่างครอบคลุม ลดความซับซ้อนของการจัดการบริการด้านความปลอดภัย และมอบผลลัพธ์ด้านความปลอดภัยที่มีประสิทธิภาพยิ่งขึ้นแก่รัฐบาลออสเตรเลีย

AWS Cloud services ได้รับการประเมินว่าเป็นไปตาม ISM ผู้ประเมิน IRAP อิสระได้ตรวจสอบระบบควบคุมของ AWS ซึ่งรวมถึงบุคลากร กระบวนการ และเทคโนโลยี โดยเทียบกับข้อบังคับของ ISM การประเมินนี้มอบความมั่นใจว่ามีการปรับใช้ระบบควบคุมที่เกี่ยวข้อง ซึ่งจำเป็นสำหรับปริมาณงานของรัฐบาลออสเตรเลียในระดับ PROTECTED สำหรับผลิตภัณฑ์ที่ AWS มีอยู่

  • ผลกระทบตั้งแต่มีการยุติ CSCP และ CCSL คืออะไร

    ในวันจันทร์ที่ 2 มีนาคม 2020 กรมสัญญาณแห่งออสเตรเลีย (ASD) และหน่วยงานด้านการเปลี่ยนแปลงสู่ดิจิทัล (DTA) ได้ประกาศผลการทบทวนของโปรแกรมการรับรองบริการระบบคลาวด์ (CSCP) และโปรแกรมผู้ประเมินความปลอดภัยของสารสนเทศที่ลงทะเบียน (IRAP) การทบทวนดังกล่าวได้ให้คำแนะนำดังต่อไปนี้:

    • ปิด CSCP และสร้างแนวทางด้านความปลอดภัยของระบบคลาวด์ใหม่ที่ออกแบบร่วมกันกับอุตสาหกรรม
    • ขยายและเพิ่มประสิทธิภาพของ IRAP
    • ตั้งฟอรัมการให้คำปรึกษาของรัฐบาลและอุตสาหกรรมสำหรับความมั่นคงปลอดภัยทางไซเบอร์
    • อัปเดตสิ่งจูงใจในคำแนะนำและแนวทางการจัดหาและการบริหารจัดการเพื่อให้เกิดการยุติ CSCP

    ณ วันที่ 2 มีนาคม 2020 ASD ไม่ได้เป็นผู้ออกใบรับรองอีกต่อไปและได้ยุติกิจกรรมการรับรองทั้งหมด ซึ่งรวมถึงกิจกรรมการต่ออายุการรับรอง ใบรับรองและหนังสือต่ออายุการรับรองของ ASD ทั้งหมดจะเป็นโมฆะตั้งแต่วันที่ 27 กรกฎาคม 2020 และคู่มือการรักษาความปลอดภัยของสารสนเทศของรัฐบาลออสเตรเลีย (ISM) ได้รับการอัปเดตเพื่อลบข้อกำหนดในการเลือกบริการระบบคลาวด์ออกจากรายชื่อบริการระบบคลาวด์ที่ผ่านการรับรอง (CCSL)

    ภายใต้กลยุทธ์ระบบคลาวด์ที่ปลอดภัยของรัฐบาลออสเตรเลีย หน่วยงานต่างๆ ของเครือรัฐสามารถประเมินบริการระบบคลาวด์ด้วยตนเองได้โดยใช้แนวทางปฏิบัติที่ใช้ในการประเมินระบบ ICT อยู่แล้ว

    แล้วจะเป็นอย่างไรต่อ

    ในวันที่ 27 กรกฎาคม 2020 ศูนย์ความมั่นคงปลอดภัยทางไซเบอร์ของออสเตรเลีย (ACSC) และหน่วยงานด้านการเปลี่ยนแปลงสู่ดิจิทัล (DTA) ได้ออก คำแนะนำเกี่ยวกับความปลอดภัยของระบบคลาวด์ ใหม่ที่ออกแบบร่วมกันกับอุตสาหกรรมเพื่อสนับสนุนการนำระบบคลาวด์มาใช้อย่างปลอดภัยทั่วทั้งภาครัฐและอุตสาหกรรม AWS ยังคงรับผิดชอบในการประเมิน IRAP ต่อไปเพื่อดูแลการประเมินให้เป็นปัจจุบันและเพื่อให้บริการใหม่ๆ หน่วยงานของเครือรัฐจะยังคงรับผิดชอบกิจกรรมการประกันและการบริหารความเสี่ยงของตนเองต่อไป ตามกลยุทธ์ระบบคลาวด์ที่ปลอดภัยของรัฐบาลออสเตรเลีย หน่วยงานต่างๆ ของเครือรัฐสามารถประเมินบริการระบบคลาวด์ด้วยตนเองได้โดยใช้แนวทางปฏิบัติที่ใช้ในการประเมินระบบ ICT อยู่แล้ว ASD จะปรับปรุงคำแนะนำเกี่ยวกับความปลอดภัยของระบบคลาวด์ที่มีอยู่ผ่านการพัฒนาแนวทางที่ออกแบบร่วมกันกับอุตสาหกรรม นอกจากนี้ แนวทางเหล่านี้จะช่วยเหลือหน่วยงานของเครือรัฐและธุรกิจของออสเตรเลียในการเพิ่มความปลอดภัยและความยืดหยุ่นทางไซเบอร์ของตน

    ปัจจุบันนี้ ASD ได้พัฒนาคู่มือที่มีประโยชน์จำนวนมากเพื่อให้องค์กรทำการประเมินด้านความปลอดภัยที่เหมาะสมเกี่ยวกับระบบคลาวด์ ในการประเมินใดๆ นั้น แนะนำให้พิจารณาการควบคุมความปลอดภัยใน ISM และคำแนะนำเกี่ยวกับความปลอดภัยของระบบคลาวด์ของ ASD อย่างชัดเจน ซึ่งรวมถึง:

    DTA ยังคงดำเนินการเพื่อสนับสนุนให้หน่วยงานของเครือรัฐใช้กลยุทธ์ระบบคลาวด์ที่ปลอดภัยของรัฐบาลออสเตรเลียในการสนับสนุนการนำบริการระบบคลาวด์มาใช้

  • มีเอกสาร IRAP ใดบ้างที่ฉันนำมาใช้ได้

    ในการสนับสนุนลูกค้ารัฐบาลออสเตรเลีย เราได้จัดเตรียมชุดคำแนะนำและเอกสารด้านการรักษาความปลอดภัยเพื่อเพิ่มความเข้าใจของคุณในด้านการรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนดในขณะที่ใช้ AWS AWS ได้จัดเตรียมเอกสารข้อมูลสำหรับสาธารณะดังต่อไปนี้:

    คุณสามารถเข้าถึงแพ็กเกจ IRAP PROTECTED ผ่าน AWS Artifact ซึ่งเป็นพอร์ทัลบริการตนเองสำหรับการเข้าถึงรายงานด้านการปฏิบัติตามข้อกำหนดของ AWS ตามความต้องการ ลงชื่อเข้าใช้ AWS Artifact ใน AWS Management Console หรือเรียนรู้เพิ่มเติมได้ที่การเริ่มต้นใช้งาน AWS Artifact ข้อมูลนี้มอบความสามารถในการวางแผน ออกแบบ และประเมินระบบที่สร้างขึ้นใน AWS ด้วยตนเองภายใต้กลยุทธ์ระบบคลาวด์ที่ปลอดภัยของรัฐบาลออสเตรเลีย แพ็กเกจนี้มอบข้อมูลทุกอย่างที่ลูกค้าภาครัฐจำเป็นต้องใช้ในการประเมิน AWS ในระดับ PROTECTED และช่วยให้หน่วยงานเอกเทศสามารถลดความซับซ้อนของกระบวนการนำบริการของ AWS มาใช้ เอกสารในแพ็กเกจมีดังต่อไปนี้:

    • หนังสือรับรองการปฏิบัติตามข้อกำหนด
    • สรุปการปรับใช้การควบคุม
    • รายงาน IRAP ขั้นที่ 2
    • สถาปัตยกรรมอ้างอิง และ
    • คู่มือผู้บริโภค

    รายงานเพิ่มเติมที่ประเมินและทดสอบการควบคุมที่ปรับใช้โดยโครงสร้างพื้นฐานของ AWS และพร้อมใช้งานภายใต้ NDA (ตามความจำเป็น) มีดังนี้:

    • รายงานการควบคุมองค์กรบริการ 1 (SOC1) ประเภท II
    • รายงานการควบคุมองค์กรบริการ 2 (SOC2) ประเภท II
    • ใบรับรอง ISO 27001 และคำประกาศการนำไปใช้งาน และ
    • เอกสารยืนยันการปฏิบัติตามข้อกำหนดของ PCI และบทสรุปหน้าที่ของ PCI

    Quick Start มีไว้สำหรับผู้ใช้ที่ต้องการสร้างปริมาณงานบนระบบคลาวด์ที่ใช้การควบคุมของ AWS ซึ่งตรงตามข้อกำหนดของ ISM สำหรับการจัดการข้อมูลที่ละเอียดอ่อนของรัฐบาลในระดับการจัดหมวดหมู่ PROTECTED ซึ่งจะปรับใช้สถาปัตยกรรมอ้างอิง IRAP PROTECTED บน AWS Cloud โดยอัตโนมัติภายในเวลาประมาณหนึ่งชั่วโมง สถาปัตยกรรมอ้างอิงจะแสดงให้เห็นวิธีที่บริการของ AWS หลายบริการถูกรวมเข้าด้วยกันเพื่อสนับสนุนเว็บแอปพลิเคชันแบบหลายระดับด้วยบริการรักษาความปลอดภัยและการบริหารจัดการที่เกี่ยวข้องซึ่งตรงตามข้อกำหนด PROTECTED ของ ISM ในขณะที่โซลูชันนี้ปรับใช้การควบคุมจำนวนมากที่ระบุไว้ในสถาปัตยกรรมอ้างอิง IRAP PROTECTED แต่การควบคุมที่แนะนำบางส่วนไม่ได้รวมอยู่ใน Quick Start นี้ ก่อนที่จะใช้โซลูชันนี้เพื่อจัดเก็บข้อมูล PROTECTED โปรดอย่าลืมปฏิบัติตามคำแนะนำในแพ็กเกจซึ่งสามารถดูได้ใน AWS Artifact

    สำหรับข้อมูลเกี่ยวกับรายงานเพิ่มเติมอื่นๆ โปรดดูที่ โปรแกรมการปฏิบัติตามข้อกำหนดของ AWS

  • เหตุใดฉันจึงจำเป็นต้องมีผู้ประเมินที่ผ่านการรับรองคุณภาพ IRAP

    ผู้ประเมินที่ผ่านการรับรองคุณภาพ IRAP คือบุคลากรด้าน ICT จากทั่วออสเตรเลียที่ผ่านการรับรองคุณภาพโดยกรมสัญญาณแห่งออสเตรเลีย (ASD) ภายใต้โปรแกรมผู้ประเมินความปลอดภัยของสารสนเทศที่ลงทะเบียน (IRAP) ว่ามีคุณสมบัติเหมาะสมในการประเมินระบบเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) ตามคู่มือการรักษาความปลอดภัยของสารสนเทศ (ISM) ซึ่งเป็นเฟรมเวิร์กการควบคุมของ ASD

    ผู้ประเมิน IRAP มีประสบการณ์และคุณสมบัติที่จำเป็นในด้าน ICT, การประเมินความปลอดภัย และการบริหารความเสี่ยง รวมถึงความรู้อย่างละเอียดเกี่ยวกับข้อบังคับในการปฏิบัติตามข้อกำหนดด้านการรักษาความปลอดภัยของสารสนเทศของรัฐบาลออสเตรเลีย

  • ISM คืออะไร

    คู่มือการรักษาความปลอดภัยของสารสนเทศ (ISM) ของรัฐบาลออสเตรเลียสรุปเฟรมเวิร์กด้านความปลอดภัยทางไซเบอร์ที่องค์กรสามารถนำไปใช้เพื่อปกป้องระบบเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) ของตนจากภัยคุกคามทางไซเบอร์ได้ คู่มือนี้เป็นส่วนเสริมของ Protective Security Policy Framework (PSPF) ที่ออกโดยสำนักงานอัยการสูงสุดของรัฐบาลออสเตรเลีย ISM และ PSPF มอบแนวทางและความรับผิดชอบสำหรับหน่วยงานของเครือรัฐในการปรับใช้การควบคุมที่เหมาะสมในสภาพแวดล้อม ICT นอกจากนี้ หน่วยงานของเครือรัฐควรพิจารณาคำแนะนำที่เกี่ยวข้องซึ่งเผยแพร่โดยหรือสำหรับหน่วยงานเหล่านี้โดยเฉพาะ

    ในปี 2017 หน่วยงานด้านการเปลี่ยนแปลงสู่ดิจิทัล (DTA) ได้ร่วมงานกับหน่วยงานอื่นๆ ของรัฐและอุตสาหกรรมเพื่อพัฒนากลยุทธ์ระบบคลาวด์ที่ปลอดภัยขึ้นมา กลยุทธ์นี้มุ่งเน้นไปที่การช่วยเหลือหน่วยงานภาครัฐในการใช้เทคโนโลยีระบบคลาวด์

    ISM คือคู่มือที่เผยแพร่โดยศูนย์ความมั่นคงปลอดภัยทางไซเบอร์ของออสเตรเลีย (ACSC) ซึ่งเป็นองค์กรชั้นนำของรัฐบาลออสเตรเลียในด้านความมั่นคงปลอดภัยทางไซเบอร์แห่งชาติและเป็นส่วนหนึ่งของกรมสัญญาณแห่งออสเตรเลีย (ASD)

    สำหรับข้อมูลเพิ่มเติมเกี่ยวกับบทบาทของ ACSC ในการส่งเสริมและปรับปรุงความมั่นคงปลอดภัยทางไซเบอร์ของออสเตรเลีย ให้ดูเว็บเพจความมั่นคงปลอดภัยทางไซเบอร์บนเว็บไซต์ ASD หรือเว็บไซต์ ACSC

  • AWS ตรงตามข้อกำหนดของ ISM หรือไม่

    ใช่ AWS Cloud services ได้รับการประเมินโดยผู้ประเมิน IRAP อิสระ การประเมินนี้ตรวจสอบการควบคุมความปลอดภัยของบุคลากร กระบวนการ และเทคโนโลยีของ Amazon การประเมินนี้มอบความมั่นใจว่ามีการปรับใช้ระบบควบคุมที่เกี่ยวข้อง ซึ่งจำเป็นสำหรับปริมาณงานของรัฐบาลออสเตรเลียในระดับ PROTECTED สำหรับผลิตภัณฑ์ที่ AWS มีอยู่เหล่านี้ สำหรับข้อมูลเพิ่มเติม คุณยังสามารถไปที่ AWS Artifact เพื่อเข้าถึงแพ็กเกจ IRAP PROTECTED จากการประเมินล่าสุดได้เช่นกัน

  • ฉันสามารถดูข้อมูลเพิ่มเติมเกี่ยวกับโปรแกรม IRAP ได้จากที่ใด

    สำหรับข้อมูลเพิ่มเติม ให้ดูเว็บเพจ IRAP บนเว็บไซต์ ACSC

  • รีเจี้ยนและบริการของ AWS ใดบ้างที่อยู่ภายใต้การประเมิน IRAP

    การประเมิน IRAP ครอบคลุมบริการในขอบเขตภายในรีเจี้ยนซิดนีย์ของ AWS สามารถดูบริการของ AWS ที่ครอบคลุมซึ่งอยู่ในขอบเขตสำหรับการประเมิน IRAP ได้ที่เว็บเพจบริการของ AWS ในขอบเขตตามโปรแกรมการปฏิบัติตามข้อกำหนด

  • ฉันสามารถใช้บริการอื่นๆ ของ AWS ที่ไม่รวมอยู่ในการประเมิน IRAP ได้หรือไม่

    ใช่ ภายใต้การปฏิบัติตามข้อกำหนดของกฎระเบียบ นโยบาย และแนวทางที่มีผลบังคับใช้ซึ่งกำกับดูแลการใช้บริการระบบคลาวด์ของคุณ หากบริการที่คุณต้องการใช้งานไม่อยู่ในรายชื่อบนเว็บเพจบริการของ AWS ในขอบเขตตามโปรแกรมการปฏิบัติตามข้อกำหนด คุณสามารถประเมินปริมาณงานของคุณเพื่อดูความเหมาะสมกับบริการอื่นๆ ของ AWS ได้

compliance-contactus-icon
มีคำถามหรือไม่ เชื่อมต่อกับตัวแทนธุรกิจของ AWS
ต้องการสำรวจบทบาทด้านการปฏิบัติตามข้อกำหนดใช่ไหม
สมัครวันนี้ »
ต้องการข่าวสารการอัปเดตเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS ใช่ไหม
ติดตามเราบน Twitter »