Information Security Registered Assessors Program (IRAP)
Gambaran Umum
Information Security Registered Assessors Program (IRAP) memberdayakan pelanggan Pemerintah Australia untuk memvalidasi bahwa kontrol yang sesuai sudah diterapkan dan menentukan model tanggung jawab yang tepat untuk pemenuhan persyaratan Information Security Manual (ISM) Pemerintah Australia yang dikeluarkan oleh Australian Cyber Security Centre (ACSC).
Melindungi data Pemerintah Australia dari pengaksesan, penyalahgunaan, dan pengungkapan tetap menjadi pertimbangan utama dalam pengadaan dan pemanfaatan layanan cloud. AWS memahami bahwa pelanggan bergantung pada terselenggaranya infrastruktur AWS yang aman dan pentingnya memiliki fitur yang memberdayakan pelanggan untuk menciptakan lingkungan yang aman. AWS memberdayakan pelanggan untuk memenuhi tujuan ini dengan memprioritaskan keamanan dalam pengiriman layanannya, melalui pembentukan lingkungan kontrol yang kuat, serta dengan menyediakan sejumlah besar fitur dan layanan keamanan.
Layanan AWS Cloud dalam lingkup yang telah dinilai dengan IRAP dapat ditemukan di Layanan AWS dalam Lingkup Program Kepatuhan. Penilai IRAP independen memeriksa kontrol AWS, termasuk orang, proses, serta teknologi terhadap persyaratan ISM. Jika Anda ingin mempelajari lebih lanjut penggunaan layanan ini dan/atau tertarik dengan layanan lain, hubungi kami.
FAQ
-
Apa dampak yang terjadi setelah penghentian CSCP dan CCSL?
Pada hari Senin, 2 Maret 2020, Australian Signals Directorate (ASD) dan Digital Transformation Agency (DTA) mengumumkan hasil peninjauan Program Sertifikasi Layanan Cloud (CSCP) dan Program Penilai Terdaftar Keamanan Informasi (IRAP). Peninjauan tersebut menelurkan rekomendasi berikut:
- Tutup CSCP dan buat pedoman keamanan cloud baru yang dirancang bersama dengan industri
- Tumbuhkan dan tingkatkan IRAP
- Bentuk Forum Konsultasi Pemerintah dan Industri untuk keamanan siber
- Perbarui insentif dalam Petunjuk dan Bimbingan Pengadaan dan Administratif untuk mencerminkan penghentian CSCP
Terhitung sejak 2 Maret 2020, ASD tidak lagi menjadi Otoritas Sertifikasi (CA) dan telah menghentikan semua kegiatan sertifikasi, termasuk kegiatan sertifikasi ulang. Semua surat sertifikasi dan sertifikasi ulang ASD akan batal terhitung sejak 27 Juli 2020 dan Manual Keamanan Informasi (ISM) pemerintah Australia telah diperbarui untuk menghapus persyaratan untuk memilih layanan cloud dari Daftar Layanan Cloud Bersertifikat (CCSL).
Dengan Strategi Cloud Aman (Secure Cloud Strategy) pemerintah Australia, badan-badan Persemakmuran dapat menilai sendiri layanan cloud menggunakan praktik yang sudah digunakan untuk menilai sistem ICT.
Langkah saat ini:
Pada tanggal 27 Juli 2020, Australian Cyber Security Center (ACSC) dan Digital Transformation Agency (DTA) merilis Panduan Keamanan Cloud baru yang dirancang bersama dengan industri untuk mendukung adopsi layanan cloud yang aman di seluruh jajaran pemerintahan dan industri. AWS terus melakukan penilaian IRAP untuk menjaga kekinian penilaian dan dalam rangka menghadirkan layanan baru. Badan-badan Persemakmuran akan terus bertanggung jawab atas kegiatan penjaminan dan manajemen risikonya sendiri. Sesuai dengan Strategi Cloud Aman (Secure Cloud Strategy) pemerintah Australia, badan-badan Persemakmuran dapat menilai sendiri layanan cloud menggunakan praktik yang sudah digunakan untuk menilai sistem ICT. ASD akan meningkatkan pedoman keamanan cloud yang ada melalui pengembangan pedoman yang dirancang bersama dengan industri. Pedoman ini selanjutnya akan membantu badan-badan Persemakmuran dan entitas bisnis Australia meningkatkan keamanan dan ketangguhan siber mereka.
Sampai saat ini, ASD telah mengembangkan sejumlah panduan bermanfaat bagi banyak organisasi untuk melakukan penilaian keamanan yang tepat terkait layanan cloud. Disarankan bahwa penilaian apa pun harus jelas membahas kontrol keamanan dalam ISM, dan panduan keamanan cloud ASD, termasuk:
DTA terus mendorong badan-badan Persemakmuran untuk menggunakan Strategi Cloud Aman pemerintah Australia untuk mendukung adopsi layanan cloud.
-
Dokumen IRAP apa saja yang dapat saya peroleh?
Untuk mendukung pelanggan pemerintah Australia, kami menyediakan paket panduan keamanan dan dokumentasi untuk memperkuat pemahaman Anda tentang keamanan dan kepatuhan saat menggunakan AWS. AWS menyediakan materi berikut bagi publik:
- Menggunakan AWS dalam konteks Pertimbangan Privasi di Australia
- Panduan Ringkas baru menerapkan Arsitektur Referensi DILINDUNGI IRAP sesuai Kepatuhan di AWS Cloud
Anda dapat mengakses paket DILINDUNGI IRAP melalui AWS Artifact, suatu portal layanan mandiri untuk akses sesuai permintaan ke laporan kepatuhan AWS. Masuk ke AWS Artifact di AWS Management Console, atau pelajari selengkapnya di Memulai AWS Artifact. Informasi ini memberikan kemampuan untuk perencanaan, arsitektur, dan sistem penilaian mandiri yang dibangun di AWS menurut Strategi Cloud Aman pemerintah Australia. Paket ini memberikan semua yang dibutuhkan pelanggan sektor publik untuk mengevaluasi AWS di tingkat DILINDUNGI dan membantu masing-masing lembaga menyederhanakan proses adopsi layanan AWS. Dokumen dalam paket ini meliputi:
- Surat Penilaian;
- Laporan Penilaian Cloud;
- Matriks Kendali Keamanan Cloud;
- Arsitektur Referensi; dan
- Panduan Konsumen.
Terdapat laporan tambahan dalam NDA (sebagaimana diwajibkan) yang mengevaluasi dan menguji implementasi kontrol oleh infrastruktur AWS, yang terikat dalam NDA (sebagaimana diwajibkan):
- Laporan Kontrol Organisasi Layanan 1 (SOC1) Jenis II;
- Laporan Kontrol Organisasi Layanan 2 (SOC2) Jenis II;
- Sertifikat ISO 27001 dan Pernyataan Keberlakuan; dan
- Pengesahan Kepatuhan PCI dan Ringkasan Tanggung Jawab PCI.
Panduan Ringkas tersedia bagi pengguna yang ingin membuat beban kerja berbasis cloud dengan kontrol AWS yang memenuhi persyaratan ISM untuk penanganan data sensitif pemerintah di tingkat klasifikasi DILINDUNGI. Panduan ini otomatis menerapkan Arsitektur Referensi DILINDUNGI IRAP di AWS Cloud dalam waktu sekitar satu jam. Arsitektur Referensi menunjukkan bagaimana beberapa layanan AWS disatukan untuk mendukung aplikasi web multi-tingkat dengan layanan keamanan dan manajemen terkait yang memenuhi persyaratan DILINDUNGI ISM. Meskipun solusi ini mengimplementasikan sebagian besar kontrol yang diuraikan dalam Arsitektur Referensi DILINDUNGI IRAP, tidak semua rekomendasi kontrol disertakan dalam Panduan Ringkas ini. Jangan lupa ikuti panduan dalam paket DILINDUNGI IRAP, tersedia di AWS Artifact, sebelum menggunakan solusi ini untuk menyimpan data yang DILINDUNGI.
Untuk informasi lebih lanjut tentang laporan lainnya, lihat FAQ Kepatuhan AWS.
-
Siapakah Penilai IRAP itu?
Penilai IRAP adalah profesional ICT bersertifikat ASD dari seluruh Australia yang memiliki pengalaman dan kualifikasi yang diperlukan dalam ICT, penilaian keamanan dan manajemen risiko, dan pengetahuan terperinci tentang persyaratan kepatuhan keamanan informasi Pemerintah Australia.
-
Apa itu ISM?
Manual Keamanan Informasi (ISM) pemerintah Australia menguraikan kerangka kerja keamanan siber yang dapat diterapkan banyak organisasi untuk melindungi sistem teknologi informasi dan komunikasi (ICT)-nya dari ancaman siber. ISM melengkapi Kerangka Kerja Kebijakan Keamanan Protektif (PSPF) yang dibuat oleh Kejaksaan Agung Pemerintah Australia. ISM dan PSPF menetapkan panduan dan kewajiban bagi badan-badan Persemakmuran dalam menerapkan kontrol yang tepat di lingkungan ICT. Selain itu, badan-badan Persemakmuran harus mempertimbangkan pedoman terkait yang khusus diterbitkan oleh atau untuk mereka.
Pada tahun 2017, Digital Transformation Agency (DTA) bekerja sama dengan lembaga pemerintah dan industri untuk mengembangkan Strategi Cloud Aman. Strategi ini berfokus untuk membantu lembaga pemerintah dalam menggunakan teknologi cloud.
ISM diterbitkan oleh Pusat Keamanan Siber Australia (ACSC), organisasi utama pemerintah Australia di bidang keamanan siber nasional dan merupakan bagian dari Direktorat Sinyal Australia (ASD).
Untuk informasi selengkapnya tentang peran ACSC dalam mendorong dan meningkatkan keamanan siber Australia, lihat halaman web Cyber Security di situs web ASD atau situs web ACSC.
-
Apakah AWS memenuhi persyaratan ISM?
Ya, layanan AWS Cloud sudah dinilai oleh penilai IRAP independen dengan mengacu ke kontrol ISM yang berlaku. Penilaian tersebut menguji keamanan kontrol orang, proses, dan teknologi Amazon. Penilaian ini memberikan jaminan bahwa, terkait dengan produk ini, AWS telah menerapkan kontrol yang diperlukan bagi beban kerja pemerintah Australia di tingkat DILINDUNGI. Untuk informasi lebih lanjut, silakan kunjungi AWS Artifact untuk mengakses paket DILINDUNGI IRAP dari penilaian terbaru.
-
Di mana saya bisa memperoleh informasi lebih lanjut mengenai program IRAP?
Untuk informasi selengkapnya, lihat halaman web IRAP di situs web ACSC.
-
Wilayah dan layanan AWS mana yang dicakup dalam penilaian IRAP?
Penilaian IRAP meliputi layanan dalam lingkup Wilayah AWS Sydney dan Melbourne. Layanan AWS yang dicakup dalam lingkup penilaian IRAP dapat ditemukan di halaman web Layanan AWS dalam Lingkup Program Kepatuhan.
-
Dapatkah saya menggunakan layanan AWS lainnya yang tidak dicakup dalam penilaian IRAP?
Ya, sesuai kepatuhan terhadap peraturan, kebijakan, dan pedoman yang berlaku yang mengatur penggunaan Anda atas layanan cloud. Jika layanan yang ingin Anda gunakan tidak tercantum di halaman web Layanan AWS dalam Lingkup Program Kepatuhan, Anda dapat mengevaluasi kesesuaian beban kerja Anda dengan layanan AWS lainnya.