Überlegungen zur Informationssicherheit und zum Datenschutz der neuseeländischen Regierung

  • Artikel

Im April 2023 stimmte die neuseeländische Regierung einer aktualisierten Cloud first-Richtlinie zu. Diese Richtlinie und frühere Entscheidungen erfordern neuseeländische Regierungsorganisationen, die folgenden Maßnahmen zu ergreifen, bevor sie öffentliche Clouddienste verwenden:

  • Weg von lokalen Systemen und Infrastrukturen
  • Sicheres Speichern von Informationen
  • Verwenden und Verwenden eines Cloudplans
  • Überlegungen zu Te Ao Māori Perspektiven
  • Übernehmen von Nachhaltigkeitsgrundsätzen
  • Bewerten der Risiken

Die neuseeländische Regierung verlangt, dass bestimmte Organisationen die Überlegungen zur Informationssicherheit und zum Datenschutz der neuseeländischen Regierung einhalten. Diese Anforderung gilt für Organisationen, die unter das GCIO-Mandat (Government Chief Digital Officer) fallen, einschließlich der öffentlichen und nicht öffentlichen Dienstabteilungen, der Bezirksgesundheitsämter und der Crown-Entitäten. Diese Organisationen müssen sich an das Framework halten, wenn sie sich für die Verwendung eines Clouddiensts entscheiden. Mehrere Fragen im Rahmen betreffen das Datenschutzgesetz 2020. Die Antworten von Microsoft auf diese Fragen basieren gegebenenfalls auf dem New Zealand Privacy Act 2020.

Sie veröffentlichten auch eine Reihe von Richtlinien für Behörden zur Einführung von Clouddiensten. Dieses Framework umfasst die folgenden Schritte:

  • Informationen ordnungsgemäß klassifizieren
  • Kennenlernen der Vorteile der Verwendung öffentlicher Clouddienste
  • Verwenden des Cloudplans Ihrer organization
  • Erfahren Sie, wie Sie öffentliche Clouddienste erwerben.
  • Verwenden des Risikoermittlungstools
  • Verwenden des Prozesses Ihrer organization zum Bewerten von Risiken

Die neuseeländische Regierung erwartet, dass alle Staatlichen Dienststellen bei der Bewertung und Einführung von Clouddiensten innerhalb dieses Rahmens arbeiten. Anforderungen für Cloud Computing beschreiben, was Behörden bei der Einführung von Clouddiensten tun müssen, sowie einen Überblick über den Verlauf der Cloudrichtlinie der Regierung.

Erforderliche Risikobewertung

Um neuseeländische Regierungsbehörden bei der Durchführung einer konsistenten und robusten Due Diligence für potenzielle Cloudlösungen zu unterstützen, veröffentlichte der GCIO das Risk Discovery Tool for Public Cloud Services. Dieses Tool enthält rund 100 Fragen, die sich auf Datenhoheit, Datenschutz, Sicherheit, Governance, Vertraulichkeit, Datenintegrität, Verfügbarkeit sowie Reaktion und Verwaltung von Vorfällen konzentrieren. Dieses Tool definiert keinen neuseeländischen Regierungsstandard, anhand dessen Clouddienstanbieter formale Konformität nachweisen müssen. Viele der in diesem Dokument dargelegten Fragen weisen jedoch darauf hin, wie wichtig es ist, zu verstehen, wie Clouddienstanbieter eine Vielzahl relevanter Standards einhalten.

Antworten von Microsoft auf die Risikobewertung

Um Agenturen bei der Analyse und Bewertung von Microsoft-Clouddiensten für Unternehmen zu unterstützen, erstellt Microsoft Dokumente, die zeigen, wie seine Unternehmensclouddienste die im Risikobewertungstool beschriebenen Fragen beantworten, indem sie sie mit den Standards verknüpfen, nach denen Microsoft-Clouddienste zertifiziert sind. Diese Zertifizierungen sind von zentraler Bedeutung dafür, wie Microsoft sowohl kunden aus dem öffentlichen als auch dem privaten Sektor versichert, dass seine Clouddienste entworfen, erstellt und betrieben werden, um Datenschutz- und Sicherheitsrisiken effektiv zu mindern und Bedenken hinsichtlich der Datenhoheit anzugehen.

Wenn Ihre Agentur die Zertifizierung und Akkreditierung ihres Informations- und Kommunikationstechnologiesystems (ICT) gemäß dem New Zealand Information Security Manual durchführen muss, können Sie diese Antworten als Teil Ihrer Analyse verwenden.

Hinweis

Microsoft arbeitet daran, aktualisierte Inhalte für Azure, Dynamics 365, Microsoft 365 und Microsoft Fabric zu veröffentlichen. Schauen Sie in Kürze zurück, um die neuesten Informationen zu finden.

Ressourcen