Considérations relatives à la sécurité et à la confidentialité des informations du gouvernement néo-zélandais

  • Article

En avril 2023, le gouvernement néo-zélandais a accepté une politique de mise à jour du cloud first. Cette stratégie et les décisions précédentes exigent que les organisations gouvernementales néo-zélandaises prennent les mesures suivantes avant d’utiliser des services de cloud public :

  • Quitter l’infrastructure et les systèmes locaux
  • Stocker les informations en toute sécurité
  • Avoir et utiliser un plan cloud
  • Envisager les perspectives de Te Ao Māori
  • Adopter des principes de durabilité
  • Évaluer les risques

Le gouvernement néo-zélandais exige que certaines organisations se conforment aux considérations relatives à la sécurité de l’information et à la confidentialité du gouvernement néo-zélandais. Cette exigence s’applique aux organisations qui relèvent du mandat du directeur numérique du gouvernement, y compris les ministères des services publics et non publics, les conseils de santé de district et les entités de la Couronne. Ces organisations doivent adhérer à l’infrastructure lorsqu’elles décident de l’utilisation d’un service cloud. Plusieurs questions dans le cadre concernent la Loi de 2020 sur la protection des renseignements personnels. Les réponses de Microsoft à ces questions sont basées sur le New Zealand Privacy Act 2020, le cas échéant.

Ils ont également publié un ensemble de directives pour les agences sur la façon d’adopter des services cloud. Cette infrastructure comprend les étapes suivantes :

  • Classifier correctement les informations
  • Connaître les avantages de l’utilisation des services de cloud public
  • Utiliser le plan cloud de votre organization
  • Découvrez comment acheter des services de cloud public
  • Utiliser l’outil de découverte des risques
  • Utiliser le processus de votre organization pour évaluer les risques

Le gouvernement néo-zélandais s’attend à ce que tous les services publics travaillent dans ce cadre lors de l’évaluation et de l’adoption des services cloud. Exigences pour le cloud computing décrit ce que les agences doivent faire lors de l’adoption de services cloud, ainsi qu’une vue d’ensemble de l’historique de la stratégie cloud du gouvernement.

Évaluation des risques requise

Pour aider les agences gouvernementales néo-zélandaises à effectuer une vérification diligente cohérente et robuste sur les solutions cloud potentielles, le GCIO a publié l’outil de découverte des risques pour les Services cloud publics. Cet outil contient environ 100 questions axées sur la souveraineté des données, la confidentialité, la sécurité, la gouvernance, la confidentialité, l’intégrité des données, la disponibilité, la réponse et la gestion des incidents. Cet outil ne définit pas de norme gouvernementale néo-zélandaise par rapport à laquelle les fournisseurs de services cloud doivent démontrer une conformité formelle. Toutefois, la plupart des questions énoncées dans le document pointent vers l’importance de comprendre comment les fournisseurs de services cloud se conforment à un large éventail de normes pertinentes.

Réponses de Microsoft à l’évaluation des risques

Pour aider les agences à effectuer leur analyse et leur évaluation des services cloud d’entreprise Microsoft, Microsoft produit des documents montrant comment ses services cloud d’entreprise répondent aux questions définies dans l’outil d’évaluation des risques en les liant aux normes par rapport aux services cloud Microsoft sont certifiés. Ces certifications sont au cœur de la façon dont Microsoft garantit aux clients des secteurs public et privé que ses services cloud sont conçus, générés et exploités pour atténuer efficacement les risques de confidentialité et de sécurité et répondre aux problèmes de souveraineté des données.

Si votre agence est tenue d’entreprendre la certification et l’accréditation de son système de technologies de l’information et des communications (TIC) dans le cadre du New Zealand Information Security Manual, vous pouvez utiliser ces réponses dans le cadre de votre analyse.

Remarque

Microsoft travaille à la publication de contenu mis à jour pour Azure, Dynamics 365, Microsoft 365 et Microsoft Fabric. Revenez bientôt pour obtenir les informations les plus récentes.

Ressources