Programma del valutatore registrato per la sicurezza delle informazioni del governo australiano (IRAP)Australian Government Information Security Registered Assessor Program (IRAP)

Il programma di valutazione della sicurezza delle informazioni (IRAP) fornisce un processo completo per la valutazione indipendente della sicurezza di un sistema rispetto alle linee guida e ai criteri governativi australiani.The Information Security Registered Assessor Program (IRAP) provides a comprehensive process for the independent assessment of a system's security against Australian government policies and guidelines. L'obiettivo di IRAP è massimizzare la sicurezza dei dati federali, statali e locali del governo australiano concentrandosi sull'infrastruttura di Information and Communications Technology che archivia, elabora e comunica.The IRAP goal is to maximize the security of Australian federal, state, and local government data by focusing on the information and communications technology infrastructure that stores, processes, and communicates it.

Panoramica di IRAPIRAP overview

Il programma di valutazione della sicurezza delle informazioni registrate (IRAP) è regolato e amministrato da ACSC.The Information Security Registered Assessors Program (IRAP) is governed and administered by the ACSC. IRAP fornisce il Framework per approvare gli individui provenienti dal settore privato e pubblico per fornire servizi di valutazione della sicurezza cibernetica al governo australiano.IRAP provides the framework to endorse individuals from the private and public sectors to provide cyber security assessment services to the Australian government. I valutatori IRAP approvati possono fornire una valutazione indipendente della sicurezza delle TIC, suggerire attenuazioni ed evidenziare rischi residui.Endorsed IRAP assessors can provide an independent assessment of ICT security, suggest mitigations and highlight residual risks. IRAP fornisce un processo completo per la valutazione indipendente della sicurezza di un sistema rispetto alle linee guida e ai criteri governativi australiani.IRAP provides a comprehensive process for the independent assessment of a system's security against Australian government policies and guidelines. L'obiettivo di IRAP è massimizzare la sicurezza dei dati federali, statali e locali del governo australiano concentrandosi sull'infrastruttura di Information and Communications Technology che archivia, elabora e comunica.The IRAP goal is to maximize the security of Australian federal, state, and local government data by focusing on the information and communications technology infrastructure that stores, processes, and communicates it.

  • Nel 2014, Azure è stato avviato come primo servizio cloud valutato da IRAP in Australia, ospitato da Data Center di Melbourne e Sydney.In 2014, Azure was launched as the first IRAP-assessed cloud service in Australia, hosted from datacenters in Melbourne and Sydney. Questi due datacenter forniscono ai clienti australiani il controllo su dove sono archiviati i dati dei clienti, garantendo anche una maggiore durabilità dei dati in caso di emergenza tramite backup in entrambe le posizioni.These two datacenters give Australian customers control over where their customer data is stored, while also providing enhanced data durability in the event of a disaster through backups at both locations.
  • All'inizio di 2015, Office 365 è diventato il primo servizio di produttività cloud per completare questa valutazione.In early 2015, Office 365 became the first cloud productivity service to complete this assessment.
  • Nell'aprile 2015, l'ASD ha annunciato la certificazione CCSL di Azure e Office 365 e, nel novembre 2015, di Dynamics 365.In April 2015, the ASD announced the CCSL certification of both Azure and Office 365, and in November 2015, of Dynamics 365.
  • Nel giugno 2017, ASD annuncia la ricertificazione di Microsoft Azure e Office 365 per una serie di servizi notevolmente espansa.In June 2017, ASD announced the recertification of Microsoft Azure and Office 365 for a greatly expanded set of services.
  • Nell'aprile 2018, la ACSC ha annunciato la certificazione di Azure e Office 365 alla classificazione protetta.In April 2018, the ACSC announced the certification of Azure and Office 365 at the PROTECTED classification. Microsoft è il primo e unico provider cloud pubblico a raggiungere questo livello di certificazioneMicrosoft is the first and only public cloud provider to achieve this level of certification
  • Nel settembre 2019, l'ambito di valutazione aggiornato di IRAP di Microsoft è stato espanso fino a includere 113 servizi alla classificazione protetta.In September 2019, Microsoft's updated IRAP assessment scope expanded to include 113 services at the PROTECTED classification.

Panoramica di CCSLCCSL overview

L'elenco dei servizi cloud certificati (CCSL) identifica i servizi cloud che hanno completato con successo una valutazione di IRAP da parte del governo australiano e hanno ricevuto la certificazione dall'Australian Cyber Security Centre (ACSC).The Certified Cloud Services List (CCSL) identifies cloud services that have successfully completed an IRAP assessment by the Australian Government, and have been awarded certification by the Australian Cyber Security Centre (ACSC). La certificazione riconosce l'esito positivo, la revisione e l'accettazione di una valutazione completa effettuata da un valutatore registrato per la sicurezza delle informazioni, in modo che tutti gli enti governativi australiani possano utilizzarlo.The certification recognizes the successful completion, review, and acceptance of a comprehensive assessment undertaken by an Information Security Registered Assessor, so all Australian Government agencies can use it. È inoltre possibile fare riferimento alle organizzazioni governative neozelandesi nell'esecuzione delle loro valutazioni dei rischi, in quanto l'ISM e il governo australiano ISM di CCSL sono allineati.The CCSL can also be referenced by New Zealand Government organizations in conducting their risk assessments as the NZ ISM and Australian Government ISM are aligned.

Microsoft Azure, Dynamics 365 CRM e Office 365 continuano a essere inclusi in CCSL per entrambi i non classificati: Dissemination limiting markers (DLM) (ora ufficiale: sensibili) e dati protetti basati sulla precedente valutazione e certificazione di IRAP da parte dell'Australian Cyber Security Centre (ACSC).Microsoft's Azure, Dynamics 365 CRM, and Office 365 continue to be included on the CCSL for both Unclassified: Dissemination Limiting Markers (DLM) (now OFFICIAL: Sensitive) and PROTECTED data based on the previous IRAP assessment and certification by the Australian Cyber Security Centre (ACSC).

Microsoft e IRAPMicrosoft and IRAP

Nel settembre 2019 Microsoft ha completato l'aggiornamento annuale alle valutazioni di sicurezza di IRAP per l'impegno dei clienti di Azure, Office 365 e Dynamics 365.In September 2019 Microsoft completed its annual update to the IRAP security assessments of Azure, Office 365, and Dynamics 365 Customer Engagement. Per 2019, l'ambito della valutazione di Azure include sia Dynamics 365 Customer Engagement che Azure DevOps.For 2019, the scope of the Azure assessment includes both Dynamics 365 Customer Engagement and Azure DevOps.

La valutazione dei servizi Microsoft in Australia copre le quattro aree di Azure disponibili.The assessment of Microsoft's services in Australia covers the four available Azure regions. Per le infrastrutture governative e critiche, sono state distribuite due aree progettate appositamente per le proprie esigenze che vengono recapitate dai data center CDC di Canberra. Australia centrale e Australia centrale 2.For Government and critical infrastructure, we've deployed two regions designed specifically for your needs that are delivered from CDC Data Centres in Canberra; Australia Central and Australia Central 2. Le differenze tra le aree australiane sono descritte in dettaglio nel rapporto di valutazione di Azure IRAP, disponibile nella pagina specifica Australia di Microsoft Service Trust Portal.The differences between the Australian regions are covered in detail in the Azure IRAP Assessment report, which is available on the Australia-specific page of Microsoft Service Trust Portal.

Per ogni valutazione, Microsoft ha ingaggiato un valutatore IRAP accreditato da ACSC che ha esaminato i controlli di sicurezza e i processi utilizzati dal team IT Operations di Microsoft, dai data center fisici, dal rilevamento delle intrusioni, dalla crittografia, dalla sicurezza tra domini e di rete, il controllo di accesso e la gestione dei rischi per la sicurezza delle informazioni di servizi nell'ambito.For each assessment, Microsoft engaged an ACSC-accredited IRAP assessor who examined the security controls and processes used by Microsoft's IT operations team, physical datacenters, intrusion detection, cryptography, cross-domain and network security, access control, and information security risk management of in-scope services. Le valutazioni di IRAP hanno rilevato che l'architettura di sistema di Microsoft si basa su principi di sicurezza sani e che i controlli del manuale di sicurezza delle informazioni sul governo australiano sono disponibili e sono pienamente efficaci all'interno dei servizi valutati.The IRAP assessments found that the Microsoft system architecture is based on sound security principles, and that the applicable Australian Government Information Security Manual (ISM) controls are in place and fully effective within our assessed services.

Il Framework di gestione dei rischi utilizzato dall'ISM attinge dal National Institute of Standards and Technology (NIST) Special Publication (SP) 800-37 Rev. 2, "Risk Management Framework per sistemi informativi e organizzazioni: un approccio del ciclo di vita del sistema per la sicurezza e la privacy".The risk management framework used by the ISM draws from National Institute of Standards and Technology (NIST) Special Publication (SP) 800-37 Rev. 2, 'Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy.' All'interno di questo framework di gestione dei rischi, l'identificazione dei rischi e la selezione dei controlli di sicurezza possono essere intraprese usando una serie di standard di gestione dei rischi, come l' organizzazione internazionale per la standardizzazione (ISO) 31000:2018, la gestione del rischio-linee guida.Within this risk management framework, the identification of risks and selection of security controls can be undertaken using a variety of risk management standards, such as International Organization for Standardization (ISO) 31000:2018, Risk management - Guidelines. In generale, il Framework di gestione dei rischi utilizzato dall'ISM ha sei passaggi:Broadly, the risk management framework used by the ISM has six steps:

  • Definire il sistemaDefine the system
  • Selezionare controlli di sicurezzaSelect security controls
  • Implementare i controlli di sicurezzaImplement security controls
  • Valutare i controlli di sicurezzaAssess security controls
  • Autorizzare il sistemaAuthorize the system
  • Monitorare il sistemaMonitor the system

Come sempre, i controlli di compensazione aggiuntivi possono essere implementati in base a rischio dalle singole agenzie prima dell'autorizzazione dell'Agenzia e del conseguente utilizzo di questi servizi cloud.As always, additional compensating controls can be implemented on a risk-managed basis by individual agencies prior to agency authorization and subsequent use of these cloud services.

La valutazione di IRAP dei servizi di Microsoft contribuisce a garantire ai clienti del settore pubblico nel governo e ai loro partner che Microsoft dispone di controlli di sicurezza adeguati ed efficaci per il trattamento, l'archiviazione e la trasmissione di informazioni riservate e protette.The IRAP assessment of Microsoft's services helps provide assurance to public sector customers in government and their partners that Microsoft has appropriate and effective security controls in place for the processing, storage, and transmission of PROTECTED and below classified information. Ciò include la maggior parte dei dati governativi, sanitari e di istruzione in Australia.This includes the majority of government, healthcare, and education data in Australia.

Servizi cloud Microsoft in ambitoMicrosoft in-scope cloud services

Domande frequentiFrequently asked questions

A chi si applica il IRAP?To whom does the IRAP apply?

IRAP si applica a tutti gli enti governativi australiani federali, statali e locali che utilizzano i servizi cloud.IRAP applies to all Australian federal, state, and local government agencies that use cloud services. Gli enti governativi neozelandesi richiedono la conformità con una norma molto simile al governo australiano ISM, in modo che possano anche utilizzare le valutazioni IRAP.New Zealand government agencies require compliance with a standard very similar to the Australian Government ISM, so they may also use the IRAP assessments.

È possibile utilizzare la conformità di Microsoft nel processo di valutazione e approvazione del rischio dell'organizzazione?Can I use Microsoft's compliance in my organization's risk assessment and approval process?

Sì.Yes. Se l'organizzazione richiede o sta cercando un'approvazione per operare in linea con l'ISM, è possibile utilizzare le valutazioni di sicurezza di IRAP di Azure e Office 365 nella valutazione dei rischi.If your organization requires or is seeking an approval to operate in line with the ISM, you can use the IRAP security assessments of Azure and Office 365 in your risk assessment. Sei; Tuttavia, è responsabile dell'utilizzo di un valutatore per valutare l'implementazione come distribuita nelle piattaforme Microsoft e per i controlli e i processi all'interno della propria organizzazione.You are; however, responsible for engaging an assessor to evaluate your implementation as deployed on Microsoft's platforms, and for the controls and processes within your own organization.

Dove si inizia con la valutazione dei rischi e l'approvazione dell'organizzazione per l'utilizzo?Where do I start with my organization's own risk assessment and approval to operate?

Iniziare con cos'è IRAP? e seguirlo con le informazioni riportate di seguito:Start with What is IRAP? and follow it with the information below:

Utilizzo di Microsoft Compliance Manager per valutare i rischiUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager è una funzionalità del centro conformità di Microsoft 365 che consente di comprendere la posizione di conformità dell'organizzazione e di intraprendere azioni per contribuire alla riduzione dei rischi.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance Manager offre un modello Premium per la creazione di una valutazione per questo regolamento.Compliance Manager offers a premium template for building an assessment for this regulation. Individuare il modello nella pagina modelli di valutazione in Compliance Manager.Find the template in the assessment templates page in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.Learn how to build assessments in Compliance Manager.

RisorseResources