Chương trình đánh giá viên có đăng ký bảo mật thông tin (IRAP)

Tổng quan

IRAP

Chương trình đánh giá viên có đăng ký bảo mật thông tin (IRAP) cho phép khách hàng của chính phủ Úc xác thực các biện pháp kiểm soát thích hợp tại chỗ và xác định mô hình trách nhiệm thích hợp để giải quyết các yêu cầu trong Hướng dẫn bảo mật thông tin của chính phủ úc (ISM) do Cơ quan Tình báo Tín hiệu điện tử Úc (ASD) lập ra.

Bảo vệ dữ liệu của chính phủ Úc khỏi bị truy cập, xâm phạm và tiết lộ vẫn là lưu ý chính khi cung ứng và khai thác dịch vụ đám mây. AWS hiểu rằng khách hàng dựa vào việc chuyển giao cơ sở hạ tầng AWS một cách bảo mật và tầm quan trọng của việc có các tính năng cho phép khách hàng tạo môi trường an toàn. AWS cho phép khách hàng đáp ứng các mục tiêu này bằng cách ưu tiên bảo mật trong việc cung cấp các dịch vụ của mình, thông qua việc thiết lập một môi trường kiểm soát mạnh mẽ và bằng cách cung cấp một loạt các dịch vụ và tính năng bảo mật. Những dịch vụ này cung cấp các biện pháp kiểm soát toàn diện đối với môi trường kiểm soát CNTT của khách hàng, đơn giản hóa việc quản lý dịch vụ bảo mật và cải thiện kết quả bảo mật cho Chính phủ Úc.

AWS tuân thủ IRAP. Một nhà đánh giá IRAP độc lập đã kiểm tra các biện pháp kiểm soát của AWS bao gồm con người, quy trình và công nghệ để đảm bảo chúng đáp ứng nhu cầu của ISM. Đánh giá này và Thư Tuân thủ là cơ sở mà Cơ quan Chứng nhận dựa vào để có được sự đảm bảo cho việc chứng nhận cơ sở hạ tầng của AWS và đưa ra khuyến cáo cho Cơ quan Chứng nhận nhằm sử dụng nền tảng này một cách thích hợp.

Chứng thực của cơ quan là mức cao nhất của đánh giá IRAP và chứng nhận chính thức của ASD, với tư cách là Cơ quan chứng nhận cho Chính phủ Úc. Chứng nhận này giúp đảm bảo rằng AWS có các biện pháp kiểm soát tại chỗ theo yêu cầu của ISM và là điều kiện tiền đề để cấp phép cho AWS đối với khối lượng công việc của chính phủ Úc.

  • Có những tài liệu IRAP nào dành cho tôi?

    Để hỗ trợ khách hàng của chính phủ Úc, chúng tôi cung cấp gói hướng dẫn bảo mật và tư liệu bảo mật để nâng cao hiểu biết về bảo mật và tuân thủ của bạn trong khi sử dụng AWS làm nhà cung cấp dịch vụ đám mây được chứng nhận. AWS cung cấp các báo cáo nghiên cứu chuyên sâu có sẵn công khai sau đây:

    Khách hàng của chính phủ Úc có thể sử dụng chứng nhận ASD và Thư tuân thủ của Đánh giá viên IRAP độc lập của chúng tôi để thúc đẩy mục tiêu chứng nhận và chứng thực của họ. Các tài liệu sau đây được đăng tải công khai:

    Tài liệu IRAP bổ sung được cung cấp cho khách hàng bằng cách sử dụng AWS Artifact, một cổng thông tin tự phục vụ để truy cập báo cáo tuân thủ AWS theo yêu cầu. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS, hoặc tìm hiểu thêm tại Bắt đầu với AWS Artifact.

    • Tóm tắt thực hiện kiểm soát
    • Báo cáo IRAP Giai đoạn 2

    Có các báo cáo bổ sung để đánh giá và kiểm tra các kiểm soát được thực hiện bởi cơ sở hạ tầng AWS và có sẵn theo NDA (theo yêu cầu):

    • Báo cáo Loại II Kiểm soát Tổ chức Dịch vụ 1 (SOC1)
    • Báo cáo Loại II Kiểm soát Tổ chức Dịch vụ 2 (SOC2)
    • Chứng nhận ISO 27001 Tuyên bố về khả năng áp dụng
    • Chứng nhận Tuân thủ PCI và Tóm tắt Trách nhiệm PCI

    Bắt đầu nhanh có sẵn cho người dùng muốn tạo khối lượng công việc dựa trên đám mây sử dụng điều khiển AWS đáp ứng yêu cầu ISM cho việc xử lý dữ liệu chính phủ nhạy cảm ở cấp phân loại ĐƯỢC BẢO VỆ. Tính năng này sẽ tự động triển khai kiến trúc tham khảo IRAP ĐƯỢC BẢO VỆ trên đám mây AWS trong khoảng một giờ. Kiến trúc tham khảo cho cách nhiều dịch vụ AWS được kết hợp với nhau để hỗ trợ ứng dụng web nhiều tầng với các dịch vụ quản lý và bảo mật liên quan đáp ứng các yêu cầu ISM ĐƯỢC BẢO VỆ. Mặc dù giải pháp này triển khai nhiều điều khiển được nêu trong Kiến trúc tham chiếu IRAP ĐƯỢC BẢO VỆ, nhưng không phải tất cả các điều khiển được đề xuất đều có trong bản Bắt đầu nhanh này. Hãy nhớ làm theo hướng dẫn trong gói IRAP ĐƯỢC BẢO VỆ, có sẵn trên AWS Artifact, trước khi sử dụng giải pháp này để lưu trữ dữ liệu ĐƯỢC BẢO VỆ. 

    Để biết thêm thông tin về các báo cáo bổ sung, hãy xem Câu hỏi thường gặp về tuân thủ AWS.

  • Tại sao tôi cần một nhà đánh giá được IRAP công nhận?

    Đánh giá viên được IRAP công nhận là những cá nhân được Cơ quan Tình báo Tín hiệu điện tử Úc (ASD) chứng nhận theo Chương trình đánh giá viên có đăng ký bảo mật thông tin (IRAP) là có năng lực phù hợp để tiến hành đánh giá theo khuôn khổ kiểm soát của ASD, Hướng dẫn bảo mật thông tin (ISM).

    Đánh giá viên được IRAP công nhận là những cá nhân duy nhất được công nhận đủ năng lực thực hiện đánh giá một hệ thống công nghệ thông tin và truyền thông (ICT) theo Hướng dẫn bảo mật thông tin của Chính phủ Úc (ISM). Và đánh giá viên được IRAP công nhận mô tả các lĩnh vực tuân thủ và không tuân thủ, mô tả các rủi ro sót lại và hành động khắc phục, đồng thời đưa ra các đề xuất với Cơ quan chứng nhận về việc chứng nhận.

  • ISM là gì?

    ISM là Hướng dẫn bảo mật Thông tin của Chính phủ Úc (ISM) được phát hành bởi Cơ quan Tình báo Tín hiệu điện tử Úc (ASD), một tổ chức thuộc Bộ Quốc phòng có nhiệm vụ bảo vệ hệ thống và thông tin của chính phủ Úc.

    ISM là tiêu chuẩn quản lý bảo mật của hệ thống công nghệ thông tin và truyền thông (ICT) của chính phủ Úc. Tiêu chuẩn này bổ sung cho Khuôn khổ chính sách bảo mật bảo vệ (PSPF) do Văn phòng Bộ trưởng Tư Pháp của Chính phủ Úc đưa ra. ISM và PSPF cùng nhau đưa ra hướng dẫn để tiến hành các kiểm soát thích hợp nhằm thi hành các phân loại khối lượng công việc trong môi trường ICT.

    Việc tuân thủ ISM được sử dụng để đánh giá tư cách thành viên của một nhà cung cấp dịch vụ đám mây đối với Danh sách dịch vụ đám mây được chứng nhận của ASD, trong đó có danh sách các dịch vụ đám mây là nơi ASD đóng vai trò là cơ quan chứng nhận. Các cơ quan cần có chứng nhận để chạy khối lượng công việc trên các dịch vụ đám mây được cung cấp thông qua Bảng điều khiển dịch vụ đám mây trong toàn chính phủ của Bộ tài chính như là phương tiện cung cấp chính cho các dịch vụ đám mây cho Chính phủ Úc.

    Năm 2017, Cơ quan chuyển đổi kỹ thuật số (DTA) đã làm việc với các cơ quan chính phủ và ngành khác để phát triển Chiến lược đám mây an toàn. Chiến lược tập trung vào việc giúp các cơ quan chính phủ sử dụng công nghệ đám mây.

    Để biết thêm về vai trò của ASD trong việc bảo mật thông tin của Úc, hãy xem vai trò của Bảo mật thông tin (InfoSec) trên trang web của ASD.

    irap_graphics
  • AWS có đáp ứng các yêu cầu của ISM không?

    Có, AWS đã được kiểm toán bởi một đánh giá viên độc lập từ Chương trình đánh giá viên có đăng ký bảo mật thông tin (IRAP). Đánh giá này kiểm tra các kiểm soát bảo mật của con người, quy trình và công nghệ của Amazon để đảm bảo rằng tất cả đáp ứng yêu cầu của ISM 2014 của ASD. Để biết thêm thông tin, hãy xem Thư Tuân thủ IRAP ISM trên trang web của AWS.

  • Tôi có thể tìm thêm thông tin về chương trình IRAP ở đâu?

    Để biết thêm thông tin, hãy xem trang Chương trình IRAP trên trang web của ASD.

  • Vùng và dịch vụ nào AWS nào được bao gồm trong Đánh giá của IRAP?

    Đánh giá IRAP và Chứng nhận ASD áp dụng cho Vùng Sydney của AWS. Tuy nhiên, AWS đối với tất cả các Vùng AWS là như nhau về mặt soát, chính sách và quy trình được sử dụng để vận hành các vùng đó. Các cơ quan nên đánh giá khối lượng công việc và nhu cầu kinh doanh của họ để xác định sẽ sử dụng Vùng AWS nào.

    Bạn có thể tham khảo những dịch vụ AWS áp dụng trong phạm vi Đánh giá IRAP trên trang web ​Dịch vụ AWS thuộc phạm vi của chương trình tuân thủ .

  • Tôi có thể sử dụng các dịch vụ AWS khác không bao gồm trong Đánh giá của IRAP không?

    Có. Nếu một dịch vụ bạn muốn sử dụng không được liệt kê trên trang web của Dịch vụ AWS trong phạm vi của Chương trình Tuân thủ, bạn có thể đánh giá khối lượng công việc của mình cho phù hợp với các dịch vụ AWS khác.

  • Liệu việc tuân thủ ISM có làm tăng chi phí dịch vụ AWS không?

    Không, chi phí dịch vụ không tăng do AWS tuân thủ ISM

  • AWS có nằm trong Danh sách Dịch vụ Đám mây được ASD Chứng nhận không?

    Có, Cơ quan Tình báo Tín hiệu điện tử Úc (ASD) đã hoàn thành đánh giá IRAP cho AWS và cấp Chứng nhận của ASD cho khối lượng công việc DLM Không phân loại và BẢO VỆ. Để biết thêm thông tin, hãy xem Danh sách dịch vụ đám mây được chứng nhận ASD (CCSL).

    Các cơ quan chính phủ Úc có thể giảm đáng kể chi phí và rủi ro của họ bằng cách dựa vào chuyên môn sâu của ASD là Nhà cung cấp Chứng thực số để xác định rằng rủi ro còn lại của dịch vụ được hiểu rõ và đánh giá phù hợp. Điều này tạo ra kết quả bảo mật được cải thiện đáng kể cho các cơ quan chính phủ Úc, đồng thời cũng giảm chi phí liên quan đến các đánh giá đó.

compliance-contactus-icon
Bạn có câu hỏi? Hãy kết nối với đại diện kinh doanh AWS
Bạn đang khám phá vai trò của tuân thủ?
Hãy đăng ký ngay hôm nay »
Bạn muốn cập nhật Tuân thủ AWS?
Hãy theo dõi chúng tôi trên Twitter »