Chương trình đánh giá viên có đăng ký bảo mật thông tin (IRAP)

Tổng quan

Chương trình đánh giá viên có đăng ký bảo mật thông tin (IRAP) cho phép khách hàng Chính phủ Úc xác thực các biện pháp kiểm soát thích hợp đã có và xác định mô hình trách nhiệm thích hợp để giải quyết các yêu cầu trong Hướng dẫn bảo mật thông tin (ISM) của Chính phủ Úc do Trung tâm An ninh mạng Úc (ACSC) đề ra.

Bảo vệ dữ liệu của Chính phủ Úc khỏi bị truy cập trái phép và tiết lộ vẫn là lưu ý chính khi cung ứng và khai thác dịch vụ đám mây. AWS hiểu rằng khách hàng tin tưởng vào việc chuyển giao cơ sở hạ tầng AWS một cách bảo mật và tầm quan trọng của việc có các tính năng cho phép khách hàng tạo môi trường an toàn. AWS cho phép khách hàng đạt được các mục tiêu này bằng cách ưu tiên bảo mật trong cung cấp dịch vụ, thông qua việc thiết lập một môi trường kiểm soát mạnh mẽ và bằng cách cung cấp một loạt các dịch vụ và tính năng bảo mật.

Bạn có thể tìm thấy các Dịch vụ Đám mây AWS trong phạm vi đã được IRAP đánh giá trên Dịch vụ AWS trong phạm vi theo Chương trình tuân thủ. Một đánh giá viên IRAP độc lập đã kiểm tra các biện pháp kiểm soát của AWS bao gồm con người, quy trình và công nghệ dựa trên các yêu cầu của ISM. Nếu bạn muốn tìm hiểu thêm về việc sử dụng các dịch vụ này và/hoặc quan tâm đến các dịch vụ khác, vui lòng liên hệ với chúng tôi.

  • Vào Thứ Hai, ngày 2 tháng 3 năm 2020, Tổng cục tình báo và tín hiệu Úc (ASD) và Cơ quan chuyển đổi kỹ thuật số (DTA) đã công bố kết quả đánh giá Chương trình chứng nhận dịch vụ đám mây (CSCP) và Chương trình đánh giá viên có đăng ký bảo mật thông tin (IRAP). Bản đánh giá đã đưa ra các khuyến nghị sau:

    • Kết thúc CSCP và tạo các hướng dẫn bảo mật đám mây mới được đồng thiết kế cùng ngành
    • Phát triển và tăng cường IRAP
    • Thành lập Diễn đàn tư vấn cho chính phủ và ngành về an ninh mạng
    • Cập nhật các ưu đãi trong Hướng dẫn về mua sắm và hành chính để phản ánh việc chấm dứt CSCP

    Kể từ ngày 2 tháng 3 năm 2020, ASD không còn là tổ chức cấp chứng chỉ và ngừng tất cả các hoạt động chứng nhận, bao gồm cả các hoạt động tái chứng nhận. Tất cả các chứng nhận và thư tái chứng nhận từ ASD sẽ không còn hiệu lực kể từ ngày 27 tháng 7 năm 2020 và Hướng dẫn bảo mật thông tin (ISM) của chính phủ Úc đã được cập nhật để loại bỏ yêu cầu chọn dịch vụ đám mây khỏi Danh sách dịch vụ đám mây được chứng nhận (CCSL).

    Theo Chiến lược đám mây an toàn của chính phủ Úc, các cơ quan trong Khối thịnh vượng chung có thể tự đánh giá các dịch vụ đám mây bằng các biện pháp thực hành đã được sử dụng để đánh giá các hệ thống công nghệ thông tin và truyền thông (ICT).

    Tiếp theo:

    Vào ngày 27 tháng 7 năm 2020, Trung tâm an ninh mạng Úc (ACSC) và Cơ quan chuyển đổi kỹ thuật số (DTA) đã phát hành Hướng dẫn bảo mật đám mây mới được đồng thiết kế cùng ngành để hỗ trợ việc áp dụng an toàn các dịch vụ đám mây cho chính phủ và toàn ngành. AWS tiếp tục thực hiện đánh giá IRAP để duy trì hiệu lực của đánh giá và để giới thiệu các dịch vụ mới. Các tổ chức trong Khối thịnh vượng chung sẽ tiếp tục chịu trách nhiệm về các hoạt động kiểm tra và quản lý rủi ro của riêng họ. Theo Chiến lược đám mây an toàn của chính phủ Úc, các tổ chức trong Khối thịnh vượng chung có thể tự đánh giá các dịch vụ đám mây bằng các biện pháp thực hành đã được sử dụng để đánh giá các hệ thống công nghệ thông tin và truyền thông (ICT). ASD sẽ tăng cường hướng dẫn bảo mật đám mây hiện có thông qua việc phát triển các hướng dẫn được đồng thiết kế cùng ngành. Những hướng dẫn này sẽ tiếp tục hỗ trợ các tổ chức trong Khối thịnh vượng chung và các doanh nghiệp Úc tăng cường an ninh mạng và khả năng phục hồi.

    Đến nay, ASD đã phát triển một số hướng dẫn hữu ích cho các tổ chức để thực hiện các đánh giá bảo mật phù hợp liên quan đến các dịch vụ đám mây. Mọi đánh giá đều được đề xuất đề cập rõ các biện pháp kiểm soát bảo mật trong ISM và hướng dẫn bảo mật đám mây ASD, bao gồm:

    DTA tiếp tục khuyến khích các cơ quan trong Khối thịnh vượng sử dụng Chiến lược đám mây bảo mật của chính phủ Úc để hỗ trợ việc áp dụng các dịch vụ đám mây.

  • Để hỗ trợ các khách hàng thuộc chính phủ Úc, chúng tôi cung cấp gói hướng dẫn và tài liệu về bảo mật để giúp nâng cao hiểu biết về bảo mật và tuân thủ của bạn khi sử dụng AWS. AWS cung cấp các tài liệu có sẵn công khai sau đây:

    Bạn có thể truy cập gói IRAP ĐƯỢC BẢO VỆ qua AWS Artifact, một cổng thông tin tự phục vụ cho phép truy cập báo cáo tuân thủ AWS theo nhu cầu. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS, hoặc tìm hiểu thêm tại Bắt đầu với AWS Artifact. Thông tin này cho phép bạn lập kế hoạch, kiến tạo và tự đánh giá các hệ thống được xây dựng trong AWS theo Chiến lược bảo mật đám mây của chính phủ Úc. Gói này cung cấp cho khách hàng trong khu vực công mọi thứ cần thiết để đánh giá AWS ở cấp độ ĐƯỢC BẢO VỆ và giúp từng cơ quan đơn giản hóa quy trình áp dụng dịch vụ AWS. Tài liệu trong gói bao gồm:

    • Thư tuân thủ;
    • Tóm tắt thực hiện kiểm soát;
    • Báo cáo IRAP giai đoạn 2;
    • Kiến trúc tham khảo; và
    • Hướng dẫn cho khách hàng.

    Các báo cáo bổ sung có sẵn theo NDA (theo yêu cầu) để đánh giá và kiểm tra các kiểm soát được thực hiện bởi cơ sở hạ tầng AWS và có sẵn theo NDA (theo yêu cầu):

    • Báo cáo loại II về Kiểm soát tổ chức dịch vụ 1 (SOC1);
    • Báo cáo loại II về Kiểm soát tổ chức dịch vụ 2 (SOC2);
    • Chứng nhận ISO 27001 và Báo cáo về khả năng áp dụng; và
    • Chứng nhận tuân thủ PCI và Tóm tắt trách nhiệm PCI.

    Khởi động nhanh cho người dùng muốn tạo khối lượng công việc dựa trên đám mây sử dụng kiểm soát AWS để đáp ứng các yêu cầu ISM trong việc xử lý dữ liệu nhạy cảm của chính phủ ở cấp độ ĐƯỢC BẢO VỆ. Tính năng này sẽ tự động triển khai kiến trúc tham khảo IRAP ĐƯỢC BẢO VỆ trên Đám mây AWS trong khoảng một giờ. Kiến trúc tham khảo miêu tả cách nhiều dịch vụ AWS được kết hợp với nhau để hỗ trợ ứng dụng web đa tầng với các dịch vụ quản lý và bảo mật liên quan đáp ứng các yêu cầu ISM ĐƯỢC BẢO VỆ. Mặc dù giải pháp này triển khai nhiều kiểm soát được nêu trong Kiến trúc tham chiếu IRAP ĐƯỢC BẢO VỆ, nhưng không phải tất cả các kiểm soát được đề xuất đều có trong bản Khởi động nhanh này. Hãy nhớ làm theo hướng dẫn trong gói IRAP ĐƯỢC BẢO VỆ, có sẵn trên AWS Artifact, trước khi sử dụng giải pháp này để lưu trữ dữ liệu ĐƯỢC BẢO VỆ.

    Để biết thêm thông tin về các báo cáo bổ sung, tham khảo Chương trình tuân thủ AWS.

  • Đánh giá viên IRAP là các chuyên gia CNTT-TT được ASD chứng nhận từ khắp mọi nơi ở nước Úc, những người có kinh nghiệm và trình độ cần thiết về hệ thống công nghệ thông tin và truyền thông (ICT), đánh giá bảo mật và quản lý rủi ro, và kiến thức chi tiết về các yêu cầu tuân thủ bảo mật thông tin của Chính phủ Úc.

  • Sổ tay bảo mật thông tin (ISM) của chính phủ Úc phác thảo một khung an ninh mạng có thể được các tổ chức áp dụng để bảo vệ hệ thống công nghệ thông tin cũng như truyền thông (ICT) khỏi những mối đe dọa trên mạng. Tài liệu này bổ sung cho Khung chính sách bảo vệ bảo mật (PSPF) được cơ quan Tổng chưởng lý chính phủ Úc soạn thảo. ISM và PSPF cung cấp các hướng dẫn và nhiệm vụ cho các cơ quan trong Khối thịnh vượng chung trong việc thực hiện các kiểm soát phù hợp trong môi trường công nghệ thông tin - truyền thông. Ngoài ra, các cơ quan trong Khối thịnh vượng chung nên xem xét các hướng dẫn có liên quan được phát hành riêng bởi hoặc cho họ.

    Năm 2017, Cơ quan chuyển đổi kỹ thuật số (DTA) đã làm việc với các cơ quan công quyền và ngành khác để phát triển Chiến lược bảo mật đám mây. Chiến lược tập trung vào việc giúp các cơ quan chính phủ sử dụng công nghệ đám mây.

    ISM được phát hành bởi Trung tâm an ninh mạng Úc (ACSC), tổ chức dẫn đầu chính phủ Úc về an ninh mạng quốc gia và là thành viên của Tổng cục tín hiệu Úc (ASD).

    Để biết thêm về vai trò của ACSC trong việc thúc đẩy và cải thiện an ninh mạng tại Úc, hãy truy cập trang về An ninh mạng trên trang web của ASD hoặc ACSC.

  • Vâng, các Dịch vụ đám mây AWS đã được đánh giá bởi một đánh giá viên IRAP độc lập dựa vào các biện pháp kiểm soát ISM hiện hành. Bài đánh giá này kiểm tra các kiểm soát bảo mật con người, quy trình và công nghệ của Amazon. Việc đánh giá này đảm bảo rằng, đối với các sản phẩm này, AWS có các biện pháp kiểm soát áp dụng cần thiết dành cho khối lượng công việc của chính phủ Úc ở cấp độ ĐƯỢC BẢO VỆ. Để biết thêm thông tin, bạn cũng có thể vào AWS Artifact để truy cập gói IRAP ĐƯỢC BẢO VỆ từ bản đánh giá gần đây nhất.

  • Để biết thêm thông tin, hãy xem trang IRAP trên trang web của ACSC.

  • Đánh giá IRAP bao gồm các dịch vụ trong phạm vi tại Khu vực AWS Sydney và Melbourne. Bạn có thể tham khảo những dịch vụ AWS áp dụng trong phạm vi Đánh giá IRAP trên trang web Dịch vụ AWS thuộc phạm vi Chương trình tuân thủ.

  • Đúng vậy, tùy theo các quy định, chính sách và hướng dẫn hiện hành chi phối việc sử dụng dịch vụ đám mây của bạn. Nếu một dịch vụ bạn muốn sử dụng không được liệt kê trên trang web Dịch vụ AWS thuộc phạm vi Chương trình Tuân thủ, bạn có thể đánh giá khối lượng công việc của mình về tính phù hợp với các dịch vụ AWS khác.

Tài nguyên IRAP

Bắt đầu nhanh cho kiến trúc tham khảo IRAP ĐƯỢC BẢO VỆ trên Đám mây AWS
Sử dụng AWS trong bối cảnh có những cân nhắc về quyền riêng tư ở Úc
Gói tuân thủ thiết yếu 8
Gói tuân thủ ISM
Bạn có thắc mắc? Hãy kết nối với đại diện kinh doanh AWS
Bạn đang khám phá vai trò của tuân thủ?
Hãy đăng ký ngay hôm nay »
Bạn muốn cập nhật Tuân thủ AWS?
Hãy theo dõi chúng tôi trên Twitter »