Chương trình đánh giá viên có đăng ký bảo mật thông tin (IRAP)

Tổng quan

IRAP

Chương trình đánh giá viên có đăng ký bảo mật thông tin (IRAP) cho phép khách hàng chính phủ Úc xác thực các biện pháp kiểm soát thích hợp đã có và xác định mô hình trách nhiệm thích hợp để giải quyết các yêu cầu trong Hướng dẫn bảo mật thông tin (ISM) của chính phủ Úc do Trung tâm An ninh mạng Úc (ACSC) đề ra.

Bảo vệ dữ liệu của chính phủ Úc khỏi bị truy cập trái phép và tiết lộ vẫn là lưu ý chính khi cung ứng và khai thác dịch vụ đám mây. AWS hiểu rằng khách hàng tin tưởng vào việc chuyển giao cơ sở hạ tầng AWS một cách bảo mật và tầm quan trọng của việc có các tính năng cho phép khách hàng tạo môi trường an toàn. AWS cho phép khách hàng đạt được các mục tiêu này bằng cách ưu tiên bảo mật trong cung cấp dịch vụ, thông qua việc thiết lập một môi trường kiểm soát mạnh mẽ và bằng cách cung cấp một loạt các dịch vụ và tính năng bảo mật. Những dịch vụ này cung cấp các biện pháp kiểm soát toàn diện đối với môi trường kiểm soát CNTT của khách hàng, đơn giản hóa việc quản lý dịch vụ bảo mật và cải thiện kết quả bảo mật cho chính phủ Úc.

Các dịch vụ Đám mây AWS được đánh giá là tuân thủ ISM. Một đánh giá viên IRAP độc lập đã kiểm tra các biện pháp kiểm soát của AWS bao gồm con người, quy trình và công nghệ dựa trên các yêu cầu của ISM. Việc đánh giá này đảm bảo rằng các sản phẩm của AWS hiện tại đang áp dụng các biện pháp kiểm soát phù hợp cần thiết ở cấp độ ĐƯỢC BẢO VỆ đối với khối lượng công việc của chính phủ Úc.

  • Việc kết thúc các chương trình CSCP và CCSL có tác động như thế nào?

    Vào thứ Hai ngày 2 tháng 3 năm 2020, Tổng cục Tình báo và Tín hiệu Úc (ASD) và Cơ quan Chuyển đổi Kỹ thuật số (DTA) đã công bố kết quả đánh giá Chương trình chứng nhận dịch vụ đám mây (CSCP) và Chương trình đánh giá viên có đăng ký bảo mật thông tin (IRAP). Bản đánh giá đã đưa ra các khuyến nghị sau:

    • Kết thúc CSCP và tạo các hướng dẫn bảo mật đám mây mới được đồng thiết kế cùng ngành
    • Phát triển và tăng cường IRAP
    • Thành lập Diễn đàn tư vấn cho chính phủ và ngành về an ninh mạng
    • Cập nhật các ưu đãi trong Hướng dẫn về mua sắm và hành chính để phản ánh việc chấm dứt CSCP

    Kể từ ngày 2 tháng 3 năm 2020, ASD không còn là tổ chức cấp chứng chỉ và ngừng tất cả các hoạt động chứng nhận, bao gồm cả các hoạt động tái chứng nhận. Tất cả các chứng nhận và thư tái chứng nhận từ ASD sẽ không còn hiệu lực kể từ ngày 27 tháng 7 năm 2020 và Hướng dẫn bảo mật thông tin (ISM) của chính phủ Úc đã được cập nhật để loại bỏ yêu cầu chọn dịch vụ đám mây khỏi Danh sách dịch vụ đám mây được chứng nhận (CCSL).

    Theo Chiến lược đám mây an toàn của chính phủ Úc, các cơ quan trong Khối thịnh vượng chung có thể tự đánh giá các dịch vụ đám mây bằng các biện pháp thực hành đã được sử dụng để đánh giá các hệ thống công nghệ thông tin và truyền thông (ICT).

    Tiếp theo:

    Vào ngày 27 tháng 7 năm 2020, Trung tâm An ninh mạng Úc (ACSC) và Cơ quan Chuyển đổi Kỹ thuật số (DTA) đã phát hành Hướng dẫn bảo mật đám mây mới được đồng thiết kế cùng ngành để hỗ trợ việc áp dụng an toàn các dịch vụ đám mây cho chính phủ và toàn ngành. AWS tiếp tục thực hiện đánh giá IRAP để duy trì hiệu lực của đánh giá và để giới thiệu các dịch vụ mới. Các tổ chức trong Khối thịnh vượng chung sẽ tiếp tục chịu trách nhiệm về các hoạt động kiểm tra và quản lý rủi ro của riêng họ. Theo Chiến lược đám mây an toàn của chính phủ Úc, các tổ chức trong Khối thịnh vượng chung có thể tự đánh giá các dịch vụ đám mây bằng các biện pháp thực hành đã được sử dụng để đánh giá các hệ thống công nghệ thông tin và truyền thông (ICT). ASD sẽ tăng cường hướng dẫn bảo mật đám mây hiện có thông qua việc phát triển các hướng dẫn được đồng thiết kế cùng ngành. Những hướng dẫn này sẽ tiếp tục hỗ trợ các tổ chức trong Khối thịnh vượng chung và các doanh nghiệp Úc tăng cường an ninh mạng và khả năng phục hồi.

    Đến nay, ASD đã phát triển một số hướng dẫn hữu ích cho các tổ chức để thực hiện các đánh giá bảo mật phù hợp liên quan đến các dịch vụ đám mây. Mọi đánh giá đều được đề xuất đề cập rõ các biện pháp kiểm soát bảo mật trong ISM và hướng dẫn bảo mật đám mây ASD, bao gồm:

    DTA tiếp tục khuyến khích các cơ quan trong Khối thịnh vượng sử dụng Chiến lược đám mây an toàn của chính phủ Úc để hỗ trợ việc áp dụng các dịch vụ đám mây.

  • Những tài liệu IRAP nào có sẵn cho tôi?

    Để hỗ trợ các khách hàng thuộc chính phủ Úc, chúng tôi cung cấp gói hướng dẫn và tài liệu về bảo mật để giúp nâng cao hiểu biết về bảo mật và tuân thủ của bạn khi sử dụng AWS. AWS cung cấp các tài liệu có sẵn công khai sau đây:

    Bạn có thể truy cập gói IRAP ĐƯỢC BẢO VỆ qua AWS Artifact, một cổng thông tin tự phục vụ cho phép truy cập báo cáo tuân thủ AWS theo nhu cầu. Đăng nhập vào AWS Artifact trong Bảng điều khiển quản lý AWS, hoặc tìm hiểu thêm tại Bắt đầu với AWS Artifact. Thông tin này cho phép bạn lập kế hoạch, kiến tạo và tự đánh giá các hệ thống được xây dựng trong AWS theo Chiến lược đám mây an toàn của chính phủ Úc. Gói này cung cấp cho khách hàng trong khu vực công mọi thứ cần thiết để đánh giá AWS ở cấp độ ĐƯỢC BẢO VỆ và giúp từng cơ quan đơn giản hóa quy trình áp dụng dịch vụ AWS. Tài liệu trong gói bao gồm:

    • Thư tuân thủ;
    • Tóm tắt thực hiện kiểm soát;
    • Báo cáo IRAP giai đoạn 2;
    • Kiến trúc tham khảo; và
    • Hướng dẫn cho khách hàng.

    Các báo cáo bổ sung có sẵn theo NDA (theo yêu cầu) để đánh giá và kiểm tra các kiểm soát được thực hiện bởi cơ sở hạ tầng AWS và có sẵn theo NDA (theo yêu cầu):

    • Báo cáo loại II về Kiểm soát tổ chức dịch vụ 1 (SOC1);
    • Báo cáo loại II về Kiểm soát tổ chức dịch vụ 2 (SOC2);
    • Chứng nhận ISO 27001 và Báo cáo về khả năng áp dụng; và
    • Chứng nhận tuân thủ PCI và Tóm tắt trách nhiệm PCI.

    Khởi động nhanh cho người dùng muốn tạo khối lượng công việc dựa trên đám mây sử dụng kiểm soát AWS để đáp ứng các yêu cầu ISM trong việc xử lý dữ liệu nhạy cảm của chính phủ ở cấp độ ĐƯỢC BẢO VỆ. Tính năng này sẽ tự động triển khai kiến trúc tham khảo IRAP ĐƯỢC BẢO VỆ trên Đám mây AWS trong khoảng một giờ. Kiến trúc tham khảo miêu tả cách nhiều dịch vụ AWS được kết hợp với nhau để hỗ trợ ứng dụng web đa tầng với các dịch vụ quản lý và bảo mật liên quan đáp ứng các yêu cầu ISM ĐƯỢC BẢO VỆ. Mặc dù giải pháp này triển khai nhiều kiểm soát được nêu trong Kiến trúc tham chiếu IRAP ĐƯỢC BẢO VỆ, nhưng không phải tất cả các kiểm soát được đề xuất đều có trong bản Khởi động nhanh này. Hãy nhớ làm theo hướng dẫn trong gói IRAP ĐƯỢC BẢO VỆ, có sẵn trên AWS Artifact, trước khi sử dụng giải pháp này để lưu trữ dữ liệu ĐƯỢC BẢO VỆ.

    Để biết thêm thông tin về các báo cáo bổ sung, tham khảo Chương trình tuân thủ AWS.

  • Tại sao tôi cần một đánh giá viên được IRAP công nhận?

    Đánh giá viên được IRAP công nhận là những chuyên gia trên khắp nước Úc được Cơ quan Tình báo Tín hiệu điện tử Úc (ASD) chứng nhận theo Chương trình đánh giá viên có đăng ký bảo mật thông tin (IRAP) là có năng lực phù hợp để tiến hành đánh giá hệ thống công nghệ thông tin và truyền thông (ICT) theo khung kiểm soát của ASD, Hướng dẫn bảo mật thông tin (ISM).

    Đánh giá viên IRAP có kinh nghiệm và trình độ cần thiết về hệ thống công nghệ thông tin và truyền thông (ICT), đánh giá bảo mật và quản lý rủi ro, và kiến thức chi tiết về các yêu cầu tuân thủ an ninh thông tin của chính phủ Úc.

  • ISM là gì?

    Hướng dẫn bảo mật thông tin của chính phủ Úc (ISM) đưa ra đề cương khung an ninh mạng mà các tổ chức có thể áp dụng để bảo vệ hệ thống công nghệ thông tin và truyền thông (CNTT-TT) của họ khỏi các mối đe dọa mạng. Tiêu chuẩn này bổ sung cho Khung chính sách bảo mật bảo vệ (PSPF) do Văn phòng Bộ trưởng Tư Pháp của Chính phủ Úc đưa ra. ISM và PSPF cung cấp các hướng dẫn và nhiệm vụ cho các cơ quan trong Khối thịnh vượng chung trong việc thực hiện các kiểm soát phù hợp trong môi trường công nghệ thông tin - truyền thông. Ngoài ra, các cơ quan trong Khối thịnh vượng chung nên xem xét các hướng dẫn có liên quan được phát hành riêng bởi hoặc cho họ.

    Năm 2017, Cơ quan chuyển đổi kỹ thuật số (DTA) đã làm việc với các cơ quan chính phủ và ngành khác để phát triển Chiến lược đám mây an toàn. Chiến lược tập trung vào việc giúp các cơ quan chính phủ sử dụng công nghệ đám mây.

    ISM được phát hành bởi Trung tâm an ninh mạng Úc (ACSC), tổ chức dẫn đầu chính phủ Úc về an ninh mạng quốc gia và là thành viên của Tổng cục tín hiệu Úc (ASD).

    Để biết thêm về vai trò của ACSC trong việc thúc đẩy và cải thiện an ninh mạng của Úc, truy cập trang An ninh mạng trên trang web của ASD hoặc ACSC.

  • AWS có đáp ứng các yêu cầu của ISM không?

    Vâng, các dịch vụ Đám mây AWS đã được đánh giá bởi một đánh giá viên IRAP độc lập. Đánh giá này kiểm tra các kiểm soát bảo mật con người, quy trình và công nghệ của Amazon. Việc đánh giá này đảm bảo rằng, đối với các sản phẩm này, AWS có các biện pháp kiểm soát áp dụng cần thiết dành cho khối lượng công việc của chính phủ Úc ở cấp độ ĐƯỢC BẢO VỆ. Để biết thêm thông tin, bạn cũng có thể vào AWS Artifact để truy cập gói IRAP ĐƯỢC BẢO VỆ từ bản đánh giá gần đây nhất.

  • Tôi có thể tìm thêm thông tin về chương trình IRAP ở đâu?

    Để biết thêm thông tin, hãy xem trang IRAP trên trang web của ACSC.

  • Khu vực và dịch vụ AWS nào được bao gồm trong Đánh giá của IRAP?

    Đánh giá IRAP bao gồm các dịch vụ trong phạm vi tại Khu vực AWS Sydney. Bạn có thể tham khảo những dịch vụ AWS áp dụng trong phạm vi cho Đánh giá IRAP trên ​trang web Dịch vụ AWS thuộc phạm vi Chương trình tuân thủ .

  • Tôi có thể sử dụng các dịch vụ AWS khác không bao gồm trong Đánh giá của IRAP không?

    Đúng vậy, tùy theo các quy định, chính sách và hướng dẫn hiện hành chi phối việc sử dụng dịch vụ đám mây của bạn. Nếu một dịch vụ bạn muốn sử dụng không được liệt kê trên trang web Dịch vụ AWS thuộc phạm vi Chương trình Tuân thủ, bạn có thể đánh giá khối lượng công việc của mình về tính phù hợp với các dịch vụ AWS khác.

compliance-contactus-icon
Bạn có câu hỏi? Hãy kết nối với đại diện kinh doanh AWS
Bạn đang khám phá vai trò của tuân thủ?
Hãy đăng ký ngay hôm nay »
Bạn muốn cập nhật Tuân thủ AWS?
Hãy theo dõi chúng tôi trên Twitter »