資訊安全註冊評估機構計劃 (IRAP)
概觀
資訊安全註冊評估機構計劃 (IRAP) 可讓澳洲政府客戶驗證已設定適當的管制,並判斷解決澳洲網路安全中心 (ACSC) 制定的澳洲政府資訊安全手冊 (ISM) 需求的適當責任模式。
保護澳洲政府的資料不被存取、未經授權和公開,一直是採購和利用雲端服務的最主要考量。AWS 了解客戶倚賴 AWS 基礎設施提供的安全交付功能,以及擁有讓其建立安全環境之功能的重要性。AWS 讓客戶達到這些目標的方式是透過建立穩固的控制環境來設定交付服務的安全優先順序,並提供各種安全服務和功能供客戶使用。
可以在合規計畫的 AWS 服務範圍找到經過 IRAP 評估的範圍內 AWS 雲端服務。獨立的 IRAP 評估機構根據 ISM 的需求,檢驗對 AWS 人員、程序和技術的管制。如果您想進一步了解使用這些服務的資訊和/或對其他服務感興趣,請聯絡我們。
常見問答集
-
自 CSCP 和 CCSL 停止以來有什麼影響?
2020 年 3 月 2 日週一,澳洲通訊局 (ASD) 和數位轉型機構轉換局 (DTA) 宣佈雲端服務認證計劃 (CSCP) 和資訊安全註冊評估機構計劃 (CSCP) 的審查結果。審查提出以下建議:
- 關閉 CSCP 並制定新的產業協作設計雲端安全指導方針
- 發展並增強 IRAP
- 開設有關網路安全的政府和產業諮詢論壇
- 更新《採購和行政指示與指南》中的激勵措施,以反映 CSCP 的終止
自 2020 年 3 月 2 日起,ASD 不再是憑證授權機構,並且已停止所有憑證授權活動,包括憑證重新授權活動。自 2020 年 7 月 27 日起,所有 ASD 憑證授權和憑證重新授權證明均將失效,並且澳洲政府資訊安全手冊 (ISM) 已更新,以移除從認證雲端服務清單 (CCSL) 中選取雲端服務的要求。
根據澳洲政府的安全雲端策略,英聯邦機構能夠使用已用於評估 ICT 系統的實務來自我評估雲端服務。
現下舉措:
2020 年 7 月 27 日,澳洲網路安全中心 (ACSC) 和數位轉型轉型機構 (DTA) 發佈了新的產業協作設計雲端安全指導,以支援安全採用跨政府和產業的雲端服務。AWS 繼續進行 IRAP 評定,以保持評估的時效並佈建新的服務。聯邦實體將繼續負責其自身的保證和風險管理活動。根據澳洲政府的安全雲端策略,英聯邦實體能夠使用已用於評估 ICT 系統的實務來自我評估雲端服務。ASD 將透過制定產業協作設計指導方針來增強現有的雲端安全指導。這些指導方針將進一步協助英聯邦實體和澳洲企業提高其網路安全和彈性。
迄今為止,ASD 已針對組織開發了許多實用指南,以便組織進行有關雲端服務的適當安全評定。建議所有評定都明確涉及 ISM 中的安全控制和 ASD 雲端安全指導,包括:
DTA 繼續鼓勵英聯邦機構使用澳洲政府安全雲端策略來支援其採用雲端服務。
-
我可以取得哪些 IRAP 文件?
為支援澳洲政府客戶,我們提供安全準則和文件的套件,以加深您對於使用 AWS 的安全和合規概念。AWS 公開提供下列材料:
您可以透過 AWS Artifact (可隨需存取 AWS 合規報告的自助服務入口網站),存取 IRAP PROTECTED 套件。登入 AWS 管理主控台中的 AWS Artifact,或者參閱 AWS Artifact 入門進一步了解詳細資訊。該資訊根據澳洲政府安全雲端策略,提供規劃、架構和自我評估在 AWS 中建置系統的功能。該套件為公共部門客戶提供了評估 AWS 保護級所需的一切,並協助個別機構簡化採用 AWS 服務的程序。套件中的文件包括:
- 評估函;
- 雲端評估報告;
- 雲端安全控制矩陣;
- 參考架構;以及
- 消費產品指南。
用於評估和測試 AWS 基礎架構實作之控制的其他報告可在 NDA 下 (如要求) 取得:
- 服務組織控制 1 (SOC1) Type II 報告;
- 服務組織控制 2 (SOC2) Type II 報告;
- ISO 27001 認證與適用性聲明;以及
- PCI 合規聲明文件與 PCI 責任摘要。
快速入門適用於想要建立雲端工作負載的使用者,使用滿足 ISM 要求的 AWS 控制,以 PROTECTED 分類級別處理敏感的政府資料。這會在大約一小時內自動在 AWS 雲端部署 IRAP PROTECTED 參考架構。參考架構展示了如何將多項 AWS 服務組合在一起,以支援具有滿足 ISM PROTECTED 要求相關安全性和管理服務的多層 Web 應用程式。儘管此解決方案實施於許多 IRAP PROTECTED 參考架構中概述的控制功能,此快速入門並未包含所有建議控制功能。使用此解決方案來儲存受保護的資料前,請記得遵循 AWS Artifact 提供的 IRAP PROTECTED 套件指導。
如需其他報告的詳細資訊,請參閱 AWS 合規計劃集。
-
誰是 IRAP 評估員?
IRAP 評估員是澳洲通過 ASD 認證的 ICT 專業人員,他們在 ICT、安全評定和風險管理方面具有必要的經驗和資格,並且對澳洲政府的資訊安全合規性要求有詳盡的了解。
-
什麼是 ISM?
澳洲政府資訊安全手冊 (ISM) 概述了網路安全框架,組織可以使用該框架來保護其資訊和通訊技術 (ICT) 系統免受網路威脅。它補充了澳洲政府司法部發佈的保護安全政策框架 (PSPF)。ISM 和 PSPF 針對英聯邦機構在 ICT 環境中實作適當控制提供了指導方針和義務。此外,英聯邦機構應考慮專門為其發佈的相關指導。
2017 年,數位轉型機構 (DTA) 與其他政府機構和產業合作開發安全雲端策略。該策略著重於協助政府機構使用雲端技術。
ISM 由澳洲網路安全中心 (ACSC) 發佈,該機構是澳洲負責國家網路安全的領導組織,也是澳洲通訊局 (ASD) 的一部分。
如需進一步了解 ACSC 在促進和改善澳洲網路安全中所發揮的作用,請參閱 ASD 網站或 ACSC 網站上的網路安全網頁。
-
AWS 是否符合 ISM 要求?
是,AWS 雲端服務已經由獨立的 IRAP 評估機構依據適用的 ISM 管制進行評估。這項評定檢驗對 Amazon 人員、程序和技術的安全管制。這項評定可確保就 AWS 現有的產品而言,已設置澳洲政府保護級工作負載所需的適用控制。如需詳細資訊,您還可以移至 AWS Artifact,存取最新評定中的 IRAP PROTECTED 套件。
-
我可以在哪裡找到更多有關 IRAP 計劃的資訊?
如需詳細資訊,請參閱 ACSC 網站上的 IRAP 網頁。
-
IRAP 評定涵蓋哪些 AWS 區域和服務?
IRAP 評定涵蓋 AWS 雪梨和墨爾本區域範圍內的服務。您可以在合規計畫的 AWS 服務範圍網頁找到涵蓋在 IRAP 評定範圍內的 AWS 服務。
-
我可以使用 IRAP 評定未涵蓋的其他 AWS 服務嗎?
是,但須遵循適用於管控雲端服務使用的適用法規、政策和指導方針。如果合規計畫的 AWS 服務範圍網頁上沒有列出您想要使用的服務,可以評估其他 AWS 服務是否適合您的工作負載。