Kayıtlı Bilgi Güvenliği Denetçileri Programı (IRAP)

Genel Bakış

IRAP

Kayıtlı Bilgi Güvenliği Denetçileri Programı (IRAP), Avustralya hükümeti müşterilerinin, uygun denetimlerin uygulandığını doğrulamasını ve Australian Signals Directorate (ASD) tarafından belirlenen Avustralya Hükümeti Bilgi Güvenliği Kılavuzu'ndaki (ISM) gereksinimlere yönelik uygun bir sorumluluk modeli belirlemelerini sağlar.

Bulut hizmetlerini tedarik ederken ve kullanırken dikkat edilmesi gereken en önemli konu Avustralya hükümeti verilerine erişimi, verilerin kötüye kullanımını veya ifşa edilmesini engellemektir. AWS, müşterilerin AWS altyapısının güvenli dağıtımına güvendiğini ve müşterilerin güvenli ortamlar oluşturmasını sağlayan özelliklere sahip olmasının önemini biliyor. AWS, güçlü bir denetim ortamı aracılığıyla ve hizmetlerini sunarken güvenliğe öncelik vererek ve çok çeşitli güvenlik hizmetleri ve özelliklerinin kullanımını sağlayarak müşterilerin bu hedefleri gerçekleştirmelerini sağlıyor. Benzersiz komut dosyalarıyla birlikte güvenli okuma erişimi izinlerini kullanarak kanıt toplamak için denetim otomasyonunu etkinleştirebilirsiniz.

AWS, IRAP mevzuat uyumluluğuna sahiptir. Bağımsız bir IRAP denetçisi, ISM'nin gerekliliklerine yönelik olduğundan emin olmak için kişiler, süreç ve teknoloji dahil olmak üzere AWS denetimlerini incelemiştir. Bu değerlendirme ve Uyumluluk Yazısı, bir Sertifika Yetkilisinin AWS altyapısını tasdiklemek ve platformun uygun kullanımı için bir Akreditasyon Yetkilisine öneride bulunmak için teminat aldığı temellerdir.

Kurum akreditasyonu, IRAP değerlendirmesi ve Avustralya Hükümeti için Sertifika Yetkilisi olan ASD resmi sertifikasının sonucudur. Bu sertifika, AWS'nin ISM tarafından gerekli görülen uygun denetimlere sahip olduğunun ve Avustralya hükümeti iş yükleri için AWS'ye akreditasyon verilmesinin doğrudan öncüsüdür.

  • Hangi IRAP belgelerine ulaşabilirim?

    Avustralya hükümetindeki müşterilerimizi desteklemek için, AWS'yi sertifikalı bir bulut hizmetleri sağlayıcısı olarak kullanırken güvenlik ve uyumluluk anlayışınızı geliştirmek amacıyla güvenlik yönergelerinden ve belgelerinden oluşturulmuş bir paket sunarız. AWS, aşağıdaki genel kullanıma sunulmuş teknik incelemeleri sunar:

    Avustralya hükümeti müşterileri, sertifika ve akreditasyon hedeflerine ulaşmayı hızlandırmak için ASD sertifikamızı ve bağımsız IRAP Denetçileri Uyumluluk Yazımızı kullanabilir. Aşağıdaki belgeler genel kullanıma sunulmuştur:

    İlave IRAP belgeleri, AWS mevzuat uyumluluğu raporlarına isteğe bağlı erişim için self servis portalı olan AWS Artifact kullanılarak müşterilerin kullanımına sunulur. AWS Yönetim Konsolu'nda AWS Artifact'te oturum açın veya AWS Artifact'i Kullanmaya Başlama konusunda daha fazla bilgi edinin.

    • Denetim Uygulama Özeti
    • IRAP Raporu 2. Aşaması

    AWS altyapısı tarafından uygulanan denetimleri değerlendirip test eden ve NDA altında mevcut olan (gerektiğinde) ilave raporlar mevcuttur:

    • Hizmet Organizasyon Denetimleri 1 (SOC 1) Tip II Raporu
    • Hizmet Organizasyon Denetimleri 2 (SOC 2) Tip II Raporu
    • ISO 27001 Sertifikası ve Uygulanabilirlik Bildirimi
    • PCI Uyumluluk Onayı ve PCI Sorumluluğu Özeti

    İlave raporlar hakkında daha fazla bilgi için, bkz. AWS Mevzuat Uyumluluğu Hakkında SSS.

  • Neden IRAP resmi onaylı bir denetçiye ihtiyacım var?

    IRAP resmi onaylı denetçiler, Kayıtlı Bilgi Güvenliği Denetçileri Programı (IRAP) altında Australian Signals Directorate (ASD) tarafından, ASD'nin denetim entegrasyonu olan Bilgi Güvenliği Kılavuzu'na (ISM) göre değerlendirmeye yapmaya nitelikli olarak onaylanan bireylerdir.

    IRAP resmi onaylı denetçiler, Avustralya Hükümeti Bilgi Güvenliği Kılavuzu'na (ISM) göre bilgi ve iletişim teknolojisi (ICT) sistemini değerlendirmeye resmi olarak nitelikli tek bireylerdir. IRAP resmi onaylı denetçi, uyumluluğa tabi olan ve olmayan alanları, artık riskleri ve düzeltme eylemlerini tanımlar, sertifikayla ilgili olarak Sertifika Yetkilisine önerilerde bulunur.

  • ISM nedir?

    ISM, Savunma Bakanlığı bünyesinde Avustralya hükümeti sistemlerini ve bilgilerini koruma görevine sahip bir kurum olan Australian Signals Directorate (ASD) tarafından yayımlanan Avustralya Hükümeti Bilgi Güvenliği Kılavuzu'dur (ISM).

    ISM, Avustralya hükümeti bilgilerini ve iletişim teknolojisi (ICT) sistemlerinin güvenliğini yöneten standarttır. Avustralya Hükümeti Başsavcı ofisi tarafından oluşturulan Koruyucu Güvenlik Politikası Entegrasyonu'nu (PSPF) tamamlar. ISM ve PSPF birlikte, ICT ortamındaki iş yüklerinin tüm sınıflandırmalarını çalıştırmak için uygun denetimleri uygulama yönergeleri sağlar.

    ISM uyumluluğu, bir bulut hizmeti sağlayıcısının, ASD'nin sertifika yetkilisi olduğu bulut hizmetleri listesi olan ASD Sertifikalı Bulut Hizmetleri Listesi'ne üyeliğini denetlemek için kullanılır. Finans Bakanlığı'nın tüm hükümeti kapsayan Bulut Hizmetleri Paneli aracılığıyla Avustralya hükümetine sağlanan bulut hizmetleri için birincil tedarik aracı olarak tedarik edilen bulut hizmetlerinde iş yüklerini çalıştırmak için onay almak isteyen kurumlara sertifika gereklidir.

    Ekim 2014'de Avustralya Finans Bakanlığı ve İletişim Bakanlığı birlikte Avustralya Hükümeti Bulut Bilişim Politikası 3.0'ı yayımlamıştır. Bu politika, federal hükümet kurumları tarafında bulut hizmetlerinin benimsenmesinde "önce bulut" yaklaşımını getirmiştir.

    "[Avustralya] Hükümetin Bulut Politikası'na göre, kurumların amaca uygun olduğunda, yeterli veri koruması sağladığında ve maddi değer sunduğunda bulutu benimsemesi gerekiyor."

    ASD'nin Avustralya bilgi güvenliğini korumadaki rolü hakkında daha fazla bilgi için, ASD web sitesindeki Bilgi Güvenliği (InfoSec) rolüne bakın.

    irap_graphics
  • AWS, ISM'nin gereksinimlerini karşılıyor mu?

    Evet. AWS, Bilgi Güvenliği Kayıtlı Denetçiler Programı'ndan (IRAP) bağımsız bir denetçi tarafından denetlendi. Değerlendirmede, ASD 2014 ISM gerekliliklerini karşıladıklarından emin olmak için Amazon çalışanlarının, sürecinin ve teknolojisinin güvenlik denetimleri incelenmiştir. Daha fazla bilgi için, AWS web sitesindeki IRAP ISM Uyumluluk Yazısı'na bakın.

  • IRAP programı hakkında daha fazla bilgiyi nereden bulabilirim?

    Daha fazla bilgi için, ASD web sitesindeki IRAP programı sayfasına bakın.

  • Hangi AWS Bölgeleri ve hizmetleri IRAP Değerlendirmesi kapsamındadır?

    IRAP değerlendirmesi ve ASD Sertifikası, AWS Sidney Bölgesi'ni kapsar. Ancak, AWS altyapıyı çalıştırmak için kullanılan denetimler, politikalar ve süreçler açısından tüm AWS Bölgelerine eşit davranır. Kurumların hangi AWS Bölgesini kullanacağını belirlemek için iş yüklerini ve iş ihtiyaçlarını değerlendirmesi gerekir.

    IRAP Değerlendirmesi kapsamında bulunan AWS hizmetleri Mevzuat Uyumluluğu Programı Kapsamındaki AWS Hizmetleri web sayfasında bulunabilir.

  • IRAP Değerlendirmesine dahil olmayan diğer AWS hizmetlerini kullanabilir miyim?

    Evet. Kullanmak istediğiniz bir hizmet Mevzuat Uyumluluğu Programı Kapsamındaki AWS Hizmetleri web sayfasında belirtilmemişse, iş yüklerinizin diğer AWS hizmetlerine uyumluluğunu değerlendirebilirsiniz.

  • ISM uyumluluğu AWS hizmet maliyetlerini artırır mı?

    Hayır, AWS'nin ISM ile uyumluluğu hizmet maliyetlerinde artışa neden olmaz.

  • AWS, ASD Sertifikalı Bulut Hizmetleri Listesi'nde yer alıyor mu?

    Evet, Australian Signals Directorate (ASD) AWS üzerinde IRAP Değerlendirmesi yapmış ve Sınıflandırılmamış DLM İş Yükleri İçin ASD Sertifikası vermiştir. Daha fazla bilgi için, bkz. ASD Sertifikalı Bulut Hizmetleri Listesi (CCSL).

    Avustralya hükümeti kurumları, hizmetlerin artık risklerinin iyi anlaşıldığından ve uygun şekilde değerlendirildiğinden emin olmak için ASD'nin Sertifika Yetkilisi olarak sahip olduğu kapsamlı uzmanlığa güvenerek maliyetlerini ve risklerini büyük ölçüde azaltabilir. Bu durum, Avustralya hükümeti bakanlıklarının güvenliğinin büyük ölçüde iyileşmesini sağlarken bu tür değerlendirmelerle ilişkili maliyetlerini azaltır.

  • AWS, Finans Bakanlığı'nın tüm hükümeti kapsayan Bulut Hizmetleri Paneli'nde yer alıyor mu?

    Evet, AWS 31 Mart 2015 tarihinden itibaren panelin bir üyesi olmuştur. Kurumlar, önceden denetlenmiş bulut hizmeti sağlayıcısı ve yaygın bir sözleşme entegrasyonunu seçerek paralarının karşılığını alır ve basit bir tedarik süreci elde eder. Tedarik kolaylığı, kurumların görevlerinin gerektirdiği hızda taşınmalarını ve Avustralya vatandaşlarına hizmetleri etkili bir şekilde sunmalarını sağlar.

compliance-contactus-icon
Sorularınız mı var? Bir AWS Şirket Temsilcisi ile İletişime Geçin
Mevzuat uyumluluğu rollerini mi keşfediyorsunuz?
Bugün başvurun »
AWS Mevzuat Uyumluluğu güncellemelerini mi istiyorsunuz?
Bizi Twitter'da takip edin »