오스트레일리아 정부 정보 보안 등록 평가자 프로그램(IRAP)

IRAP(정보 보안 등록 평가자 프로그램)는 오스트레일리아 정부 정책 및 지침에 대한 시스템 보안의 독립적인 평가를 위한 포괄적인 프로세스를 제공합니다. IRAP 목표는 정보를 저장, 처리 및 전달하는 정보 및 통신 기술 인프라에 중점을 두어 오스트레일리아 연방, 주 및 지방 정부 데이터의 보안을 최대화하는 것입니다.

IRAP 개요

IRAP(정보 보안 등록 평가자 프로그램)는 오스트레일리아 ACSC(사이버 보안 센터)에서 관리하고 관리합니다. IRAP는 개인 및 공공 부문의 개인이 오스트레일리아 정부에 사이버 보안 평가 서비스를 제공할 수 있도록 보장하는 프레임워크를 제공합니다. 인정된 IRAP 평가자는 ICT 보안에 대한 독립적인 평가를 제공하고, 완화를 제안하고, 잔류 위험을 강조할 수 있습니다. IRAP는 오스트레일리아 정부 정책 및 지침에 대한 시스템 보안에 대한 독립적인 평가를 위한 포괄적인 프로세스를 제공합니다. IRAP 목표는 정보를 저장, 처리 및 전달하는 정보 및 통신 기술 인프라에 중점을 두어 오스트레일리아 연방, 주 및 지방 정부 데이터의 보안을 최대화하는 것입니다.

  • 2014년, Azure는 오스트레일리아의 첫 번째 IRAP 평가 클라우드 서비스로 시작된 것으로, Melbourne 및 Sydney의 데이터 센터에서 호스팅됩니다. 이 두 데이터 센터는 오스트레일리아 고객에게 고객 데이터가 저장되는 위치를 제어할 수 있도록 하지만 두 위치 모두에 백업을 통해 재해가 발생하면 향상된 데이터 지속성을 제공합니다.
  • 2015년 Office 365 이 평가를 완료하기 위한 첫 번째 클라우드 생산성 서비스가 되었습니다.
  • 2015년 4월, ASD는 Azure 및 Office 365, 2015년 11월 Dynamics 365의 CCSL 인증을 발표했습니다.
  • 2017년 6월 ASD는 서비스 Microsoft Azure Office 365 대한 재인증을 발표했습니다.
  • 2018년 4월 ACSC는 보호된 분류에서 Azure 및 Office 365 인증을 발표했습니다. Microsoft는 이 수준의 인증을 획득한 첫 번째이자 유일한 공용 클라우드 공급자입니다.
  • 2019년 9월 Microsoft의 업데이트된 IRAP 평가 범위가 보호된 분류에 113개 서비스를 포함하기 위해 확장되었습니다.
  • 2020년 12월 Microsoft는 Azure 및 2013에 대한 두 가지 증분 IRAP 평가를 Office 365. 이러한 보고서는 CCSL(인증된 클라우드 서비스 목록) 중단 후의 새로운 지침을 활용했습니다. 이 보고서에는 Azure, Dynamics 및 Microsoft에서 2019 보고서로 증분되는 CSP(클라우드 서비스 공급자)로 Microsoft에 대한 평가와 기타 서비스가 Office 365.

Microsoft 및 IRAP

2020년 12월 Microsoft는 Dynamics 및 & 두 개의 증분 Azure Office 365 완료했습니다. 이러한 평가는 PROTECTED의 분류 수준에 평가된 더 많은 서비스를 추가했습니다. 또한 이러한 평가는 ACSC의 클라우드 평가 및 승인 지침의 구조에 설명된 새로운 CCSL 클라우드 보안 지침에 따라 수행됩니다.

Microsoft는 각 평가에 대해 Microsoft의 IT 운영 팀, 실제 데이터 센터, 침입 감지, 암호화, 도메인 간 및 네트워크 보안, 액세스 제어 및 범위 내 서비스의 정보 보안 위험 관리에서 사용하는 보안 제어 및 프로세스를 검사한 ACSC 공인 IRAP 평가자에 참여했습니다. IRAP 평가에서는 Microsoft 시스템 아키텍처가 건전한 보안 원칙을 기반으로 하여 적용 가능한 오스트레일리아 정부 정보 보안 설명서(ISM) 제어가 적용되어 있으며 평가된 서비스 내에서 완벽하게 유효하다는 것을 발견했습니다.

ISM에서 사용하는 위험 관리 프레임워크는 NIST(National Institute of Standards and Technology) SP(National Institute of Standards and Technology) SP(National Institute of Standards and Technology) 800-37 Rev. 2에서그릴 수 있습니다. 이 위험 관리 프레임워크 내에서 ISO(국제 표준화 기구) 31000:2018,위험 관리 - 지침과 같은 다양한 위험 관리 표준을 사용하여 위험을 식별하고 보안 제어를 선택해야 할 수 있습니다. 광범위하게 ISM에서 사용하는 위험 관리 프레임워크에는 다음 6단계가 있습니다.

  • 시스템 정의
  • 보안 컨트롤 선택
  • 보안 제어 구현
  • 보안 제어 평가
  • 시스템에 승인
  • 시스템 모니터링

항상 그와 같은 추가 보완 제어는 기관의 승인 및 이후 이러한 클라우드 서비스를 사용하기 전에 개별 기관에서 위험을 관리하여 구현할 수 있습니다.

Microsoft의 서비스 및 클라우드 운영에 대한 IRAP 평가는 정부 및 해당 파트너에게 Microsoft가 보호된 수준을 포함하여 분류된 데이터의 처리, 저장 및 전송에 대해 적절하고 효과적인 보안 제어를 적용하고 있는 공공 부문 고객에게 보장하는 데 도움이 됩니다. 이 평가에는 오스트레일리아의 대부분의 정부, 의료 및 교육 데이터가 포함됩니다.

Microsoft 범위 내 클라우드 플랫폼 및 서비스

Azure, Dynamics 365 및 IRAP

Azure, Dynamics 365 및 기타 온라인 서비스 규정 준수에 대한 자세한 내용은 Azure IRAP 서비스를 참조하세요.

Office 365 및 IRAP

Office 365 클라우드 환경

Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.

이 섹션에서는 다음 Office 365 클라우드 환경에 대해 설명합니다.

  • 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
  • Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
  • Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
  • Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
  • Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.

이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.

조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.

Office 365 적용 가능성 및 범위 내 서비스

다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.

적용 가능성 범위 내 서비스
상업용 Exchange Online, Exchange Online Protection, Forms, Microsoft Teams, Office 365 Customer Portal, Office Online, Office Service Infrastructure, 비즈니스용 OneDrive, Planner, SharePoint Online, 비즈니스용 Skype, Whiteboard, Yammer

자주 묻는 질문

IRAP는 누구에게 적용하나요?

IRAP는 클라우드 서비스를 사용하는 모든 오스트레일리아 연방, 주 및 지방 정부 기관에 적용됩니다. 뉴질랜드 정부 기관은 오스트레일리아 정부 ISM과 유사한 표준을 준수해야 하여 IRAP 평가를 사용할 수도 있습니다.

조직의 위험 평가 및 승인 프로세스에서 Microsoft의 규정 준수를 사용할 수 있나요?

예. 조직에서 ISM에 따라 운영하기 위한 승인을 요구하거나 요청하는 경우 위험 평가에서 Azure, Dynamics 365, Microsoft Managed Desktop Office 365 IRAP 보안 평가를 사용할 수 있습니다. 그러나 Microsoft의 플랫폼에 배포된 구현을 평가하기 위해 평가자 참여 및 자체 조직 내의 제어 및 프로세스에 대한 책임은 사용자에게 있습니다.

조직의 자체 위험 평가 및 운영 승인부터 시작해야 하나요?

ACSC의 클라우드 보안 평가 지침을 읽어보는 것이 좋습니다.

Microsoft 준수 관리자를 사용하여 위험 평가

Microsoft 준수 관리자는 조직의 준수 입장을 이해하고 위험을 줄이기 위한 조치를 취하도록 돕는 Microsoft 365 규정 준수 센터의 기능입니다. 준수 관리자는 이 규제에 대한 평가를 빌드하기 위한 프리미엄 서식 파일을 제공합니다. 준수 관리자의 평가 서식 파일 페이지에서 서식 파일을 찾습니다. 준수 관리자의 평가 빌드 방법에 대해 알아봅니다.

리소스