Australian Government Information Security registered Auditor Program (IRAP)Australian Government Information Security Registered Assessor Program (IRAP)

Das IRAP (Information Security registered Auditor Program) bietet einen umfassenden Prozess für die unabhängige Bewertung der Sicherheit eines Systems gegen australische Regierungsrichtlinien und-Richtlinien.The Information Security Registered Assessor Program (IRAP) provides a comprehensive process for the independent assessment of a system's security against Australian government policies and guidelines. Das Ziel von IRAP ist die Maximierung der Sicherheit von Bundes-, Landes-und lokalen Regierungsdaten durch die Fokussierung auf die Informations-und Kommunikationstechnologie Infrastruktur, die Sie speichert, verarbeitet und kommuniziert.The IRAP goal is to maximize the security of Australian federal, state, and local government data by focusing on the information and communications technology infrastructure that stores, processes, and communicates it.

IRAP-ÜbersichtIRAP overview

Das Programm "Information Security registered assessers" (IRAP) wird von der ACSC verwaltet und verwaltet.The Information Security Registered Assessors Program (IRAP) is governed and administered by the ACSC. IRAP bietet den Rahmen für die Unterstützung von Personen aus dem privaten und öffentlichen Sektor, um der australischen Regierung Cyber-Sicherheits Bewertungsdienste zur Verfügung zu stellen.IRAP provides the framework to endorse individuals from the private and public sectors to provide cyber security assessment services to the Australian government. Unterstützte IRAP-Prüfer können eine unabhängige Bewertung der IKT-Sicherheit durchführen, Maßnahmen vorschlagen und Restrisiken hervorheben.Endorsed IRAP assessors can provide an independent assessment of ICT security, suggest mitigations and highlight residual risks. IRAP bietet einen umfassenden Prozess für die unabhängige Bewertung der Sicherheit eines Systems gegen australische Regierungsrichtlinien und-Richtlinien.IRAP provides a comprehensive process for the independent assessment of a system's security against Australian government policies and guidelines. Das Ziel von IRAP ist die Maximierung der Sicherheit von Bundes-, Landes-und lokalen Regierungsdaten durch die Fokussierung auf die Informations-und Kommunikationstechnologie Infrastruktur, die Sie speichert, verarbeitet und kommuniziert.The IRAP goal is to maximize the security of Australian federal, state, and local government data by focusing on the information and communications technology infrastructure that stores, processes, and communicates it.

  • In 2014 wurde Azure als erster IRAP Cloud Service in Australien gestartet, der von Rechenzentren in Melbourne und Sydney gehostet wurde.In 2014, Azure was launched as the first IRAP-assessed cloud service in Australia, hosted from datacenters in Melbourne and Sydney. Diese beiden Rechenzentren bieten australischen Kunden die Kontrolle darüber, wo Ihre Kundendaten gespeichert sind, und bieten gleichzeitig eine erhöhte Datenbeständigkeit bei einem Notfall durch Sicherungen an beiden Standorten.These two datacenters give Australian customers control over where their customer data is stored, while also providing enhanced data durability in the event of a disaster through backups at both locations.
  • Anfang 2015 wurde Office 365 der erste Cloud-Produktivitäts Dienst, der diese Bewertung abgeschlossen hat.In early 2015, Office 365 became the first cloud productivity service to complete this assessment.
  • Im April 2015 kündigte der ASD die CCSL-Zertifizierung sowohl von Azure als auch von Office 365 und im November 2015 von Dynamics 365 an.In April 2015, the ASD announced the CCSL certification of both Azure and Office 365, and in November 2015, of Dynamics 365.
  • Im Juni 2017 kündigte ASD die erneute Zertifizierung von Microsoft Azure und Office 365 für eine stark erweiterte Reihe von Diensten an.In June 2017, ASD announced the recertification of Microsoft Azure and Office 365 for a greatly expanded set of services.
  • Im April 2018 kündigte der ACSC die Zertifizierung von Azure und Office 365 an der geschützten Klassifizierung an.In April 2018, the ACSC announced the certification of Azure and Office 365 at the PROTECTED classification. Microsoft ist der erste und einzige Anbieter für öffentliche Clouds, der diese Zertifizierungsstufe erreicht.Microsoft is the first and only public cloud provider to achieve this level of certification
  • Im September 2019 wurde der aktualisierte IRAP-Bewertungsbereich von Microsoft erweitert und umfasst 113-Dienste in der geschützten Klassifizierung.In September 2019, Microsoft's updated IRAP assessment scope expanded to include 113 services at the PROTECTED classification.

CCSL-ÜbersichtCCSL overview

Die Certified Cloud Services List (CCSL) identifiziert Cloud-Dienste, die eine IRAP-Bewertung durch die australische Regierung erfolgreich abgeschlossen haben, und Sie erhielten eine Zertifizierung durch das Australian Cyber Security Centre (ACSC).The Certified Cloud Services List (CCSL) identifies cloud services that have successfully completed an IRAP assessment by the Australian Government, and have been awarded certification by the Australian Cyber Security Centre (ACSC). Die Zertifizierung erkennt den erfolgreichen Abschluss, die Überprüfung und die Akzeptanz einer umfassenden Bewertung an, die von einem registrierten Auditor für die Informationssicherheit durchgesetzt wurde, sodass alle australischen Behörden Sie nutzen können.The certification recognizes the successful completion, review, and acceptance of a comprehensive assessment undertaken by an Information Security Registered Assessor, so all Australian Government agencies can use it. Auf die CCSL kann auch von neuseeländischen Regierungsorganisationen verwiesen werden, wenn Sie Ihre Risikobewertungen durchführen, während die NZ ISM und die australische Regierung ISM ausgerichtet sind.The CCSL can also be referenced by New Zealand Government organizations in conducting their risk assessments as the NZ ISM and Australian Government ISM are aligned.

Microsoft Azure, Dynamics 365 CRM und Office 365 werden weiterhin in der CCSL sowohl für nicht klassifizierte: Verbreitungs Grenzmarkierungen (DLM) (jetzt offiziell: vertraulich) und geschützte Daten basierend auf der vorherigen IRAP-Bewertung und Zertifizierung durch das Australian Cyber Security Centre (ACSC) einbezogen.Microsoft's Azure, Dynamics 365 CRM, and Office 365 continue to be included on the CCSL for both Unclassified: Dissemination Limiting Markers (DLM) (now OFFICIAL: Sensitive) and PROTECTED data based on the previous IRAP assessment and certification by the Australian Cyber Security Centre (ACSC).

Microsoft und IRAPMicrosoft and IRAP

Im September 2019 hat Microsoft sein jährliches Update für die IRAP-Sicherheitsbewertungen des Azure-, Office 365-und Dynamics 365-Kundenengagements abgeschlossen.In September 2019 Microsoft completed its annual update to the IRAP security assessments of Azure, Office 365, and Dynamics 365 Customer Engagement. Für 2019 umfasst der Bereich der Azure-Bewertung sowohl Dynamics 365-Kunden Engagement als auch Azure-DevOps.For 2019, the scope of the Azure assessment includes both Dynamics 365 Customer Engagement and Azure DevOps.

Die Bewertung der Microsoft-Dienste in Australien umfasst die vier verfügbaren Azure-Regionen.The assessment of Microsoft's services in Australia covers the four available Azure regions. Für die Regierung und die kritische Infrastruktur haben wir zwei Regionen entwickelt, die speziell auf Ihre Anforderungen zugeschnitten sind und von CDC-Rechenzentren in Canberra bereitgestellt werden. Australien Zentral und Australien Zentral 2.For Government and critical infrastructure, we've deployed two regions designed specifically for your needs that are delivered from CDC Data Centres in Canberra; Australia Central and Australia Central 2. Die Unterschiede zwischen den australischen Regionen werden detailliert im Azure IRAP Assessment Report behandelt, der auf der Australien-spezifischen Seite des Microsoft Service Trust Portalsverfügbar ist.The differences between the Australian regions are covered in detail in the Azure IRAP Assessment report, which is available on the Australia-specific page of Microsoft Service Trust Portal.

Für jede Bewertung engagierte sich Microsoft mit einem ACSC IRAP Assessor, der die Sicherheitskontrollen und-Prozesse untersuchte, die vom IT-Betriebsteam von Microsoft, physikalischen Rechenzentren, Intrusionserkennung, Kryptografie, Domänen-und Netzwerksicherheit, Zugriffssteuerung und Informations Sicherheitsrisikomanagement von Dienstleistungen im Bereich verwendet wurden.For each assessment, Microsoft engaged an ACSC-accredited IRAP assessor who examined the security controls and processes used by Microsoft's IT operations team, physical datacenters, intrusion detection, cryptography, cross-domain and network security, access control, and information security risk management of in-scope services. Die IRAP-Bewertungen haben festgestellt, dass die Microsoft-Systemarchitektur auf soliden Sicherheitsprinzipien basiert und dass die anwendbaren ISM-Steuerelemente (Australia Government Information Security Manual) im Rahmen unserer bewerteten Dienste vorhanden und vollständig wirksam sind.The IRAP assessments found that the Microsoft system architecture is based on sound security principles, and that the applicable Australian Government Information Security Manual (ISM) controls are in place and fully effective within our assessed services.

Das vom ISM verwendete Risikomanagement-Framework bezieht sich auf das nationale Institute of Standards and Technology (NIST) Special Publication (SP) 800-37 rev. 2, "Risk Management Framework für Informationssysteme und Organisationen: ein System Lebenszyklus-Ansatz für Sicherheit und Datenschutz".The risk management framework used by the ISM draws from National Institute of Standards and Technology (NIST) Special Publication (SP) 800-37 Rev. 2, 'Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy.' Innerhalb dieses Risikomanagement-Frameworks können Risiken und Auswahl von Sicherheitskontrollen anhand einer Vielzahl von Risikomanagementstandards wie der internationalen Organisation für Standardisierung (ISO) 31000:2018, Risk Management-Guidelinesdurchlaufen werden.Within this risk management framework, the identification of risks and selection of security controls can be undertaken using a variety of risk management standards, such as International Organization for Standardization (ISO) 31000:2018, Risk management - Guidelines. Das vom ISM verwendete Risikomanagement-Framework umfasst im großen und ganzen sechs Schritte:Broadly, the risk management framework used by the ISM has six steps:

  • Definieren des SystemsDefine the system
  • Auswählen von SicherheitssteuerelementenSelect security controls
  • Implementieren von SicherheitssteuerelementenImplement security controls
  • Bewerten von SicherheitssteuerelementenAssess security controls
  • Autorisieren des SystemsAuthorize the system
  • Überwachen des SystemsMonitor the system

Wie immer können zusätzliche Kompensations Kontrollen von einzelnen Agenturen auf Risiko verwalteter Basis implementiert werden, bevor die Autorisierung der Agentur und die anschließende Nutzung dieser Cloud-Dienste erfolgen.As always, additional compensating controls can be implemented on a risk-managed basis by individual agencies prior to agency authorization and subsequent use of these cloud services.

Die IRAP-Bewertung der Dienste von Microsoft trägt dazu bei, dass Kunden aus dem öffentlichen Sektor in der Regierung und ihren Partnern sicherstellen, dass Microsoft geeignete und effektive Sicherheitskontrollen für die Verarbeitung, Speicherung und Übertragung geschützter und unter Verschluss barer Informationen vorsieht.The IRAP assessment of Microsoft's services helps provide assurance to public sector customers in government and their partners that Microsoft has appropriate and effective security controls in place for the processing, storage, and transmission of PROTECTED and below classified information. Dies umfasst die Mehrzahl der staatlichen, Gesundheits-und Bildungsdaten in Australien.This includes the majority of government, healthcare, and education data in Australia.

Microsoft Cloud Services im LeistungsumfangMicrosoft in-scope cloud services

Häufig gestellte FragenFrequently asked questions

Für wen gilt die IRAP?To whom does the IRAP apply?

IRAP gilt für alle australischen Bundes-, Landes-und Kommunalbehörden, die Cloud-Dienste verwenden.IRAP applies to all Australian federal, state, and local government agencies that use cloud services. New Zealand Government Agencies erfordert die Einhaltung eines Standards, der dem australischen Government-ISM sehr ähnlich ist, daher können Sie auch die IRAP-Bewertungen verwenden.New Zealand government agencies require compliance with a standard very similar to the Australian Government ISM, so they may also use the IRAP assessments.

Kann ich die Compliance von Microsoft im Risiko Bewertungs-und Genehmigungsprozess meines Unternehmens verwenden?Can I use Microsoft's compliance in my organization's risk assessment and approval process?

Ja.Yes. Wenn Ihre Organisation eine Genehmigung für den Betrieb in Einklang mit dem ISM erfordert oder sucht, können Sie die IRAP-Sicherheitsbewertungen von Azure und Office 365 in ihrer Risikobewertung verwenden.If your organization requires or is seeking an approval to operate in line with the ISM, you can use the IRAP security assessments of Azure and Office 365 in your risk assessment. Sie sind; jedoch verantwortlich für die Einbindung eines Gutachters zur Bewertung ihrer Implementierung auf Microsoft-Plattformen und für die Steuerelemente und Prozesse in ihrer eigenen Organisation.You are; however, responsible for engaging an assessor to evaluate your implementation as deployed on Microsoft's platforms, and for the controls and processes within your own organization.

Wo beginne ich mit der eigenen Risikobewertung und Genehmigung des Unternehmens für den Betrieb?Where do I start with my organization's own risk assessment and approval to operate?

Beginnen Sie mit dem, Was ist IRAP? und befolgte es mit den folgenden Informationen:Start with What is IRAP? and follow it with the information below:

Bewerten des Risikos mithilfe von Microsoft Compliance-ManagerUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager ist ein Feature im Microsoft 365 Compliance Center , mit dem Sie die Compliance-Haltung ihrer Organisation besser verstehen und Maßnahmen zur Verringerung von Risiken unterstützen können.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance-Manager bietet eine Premium-Vorlage für die Erstellung einer Bewertung für diese Verordnung.Compliance Manager offers a premium template for building an assessment for this regulation. Suchen Sie die Vorlage auf der Seite " Bewertungs Vorlagen " im Compliance-Manager.Find the template in the assessment templates page in Compliance Manager. Hier erfahren Sie, wie Sie Assessments im Compliance-Manager erstellen.Learn how to build assessments in Compliance Manager.

RessourcenResources