뉴질랜드 정부 정보 보안 및 개인 정보 고려 사항

  • 아티클

2023년 4월, 뉴질랜드 정부는 새로 고친 클라우드 첫 번째 정책에 합의했습니다. 이 정책 및 이전 결정에 따라 뉴질랜드 정부 조직은 퍼블릭 클라우드 서비스를 사용하기 전에 다음 작업을 수행해야 합니다.

  • 온-프레미스 시스템 및 인프라에서 벗어나기
  • 안전하게 정보 저장
  • 클라우드 계획 사용 및 사용
  • Te Ao Máori 관점 고려
  • 지속 가능성 원칙 채택
  • 위험 평가

뉴질랜드 정부는 특정 조직이 뉴질랜드 정부 정보 보안 및 개인 정보 보호 고려 사항을 준수하도록 요구합니다. 이 요구 사항은 공공 및 비공개 서비스 부서, 지구 보건 위원회 및 크라운 법인을 포함하여 정부 GCIO(최고 디지털 책임자) 명령에 속하는 조직에 적용됩니다. 이러한 조직은 클라우드 서비스 사용을 결정할 때 프레임워크를 준수해야 합니다. 프레임워크의 몇 가지 질문은 개인 정보 보호법 2020과 관련이 있습니다. 이러한 질문에 대한 Microsoft의 응답은 해당하는 경우 뉴질랜드 개인 정보 보호법 2020을 기반으로 합니다.

또한 클라우드 서비스를 채택하는 방법에 대한 기관에 대한 일련의 지침을 발표했습니다. 이 프레임워크에는 다음 단계가 포함됩니다.

  • 정보를 올바르게 분류
  • 퍼블릭 클라우드 서비스 사용의 이점 파악
  • organization 클라우드 계획 사용
  • 퍼블릭 클라우드 서비스를 구입하는 방법 보기
  • 위험 검색 도구 사용
  • 위험을 평가하기 위해 organization 프로세스 사용

뉴질랜드 정부는 클라우드 서비스를 평가하고 채택할 때 모든 주 서비스 기관이 이 프레임워크 내에서 작동할 것으로 기대합니다. 클라우드 컴퓨팅에 대한 요구 사항은 정부 클라우드 정책의 기록에 대한 개요와 함께 클라우드 서비스를 채택할 때 기관이 수행해야 하는 작업을 간략하게 설명합니다.

필수 위험 평가

뉴질랜드 정부 기관이 잠재적인 클라우드 솔루션에 대한 일관되고 강력한 실사를 수행할 수 있도록 지원하기 위해 GCIO는 퍼블릭 Cloud Services 위한 위험 검색 도구를 게시했습니다. 이 도구에는 데이터 주권, 개인 정보 보호, 보안, 거버넌스, 기밀성, 데이터 무결성, 가용성 및 인시던트 대응 및 관리에 초점을 맞춘 약 100개의 질문이 포함되어 있습니다. 이 도구는 클라우드 서비스 공급자가 공식적인 규정 준수를 입증해야 하는 뉴질랜드 정부 표준을 정의하지 않습니다. 그러나 문서에 명시된 많은 질문은 클라우드 서비스 공급자가 다양한 관련 표준을 준수하는 방법을 이해하는 것의 중요성을 가리킵니다.

위험 평가에 대한 Microsoft의 응답

기관이 Microsoft 엔터프라이즈 클라우드 서비스에 대한 분석 및 평가를 수행할 수 있도록 Microsoft는 엔터프라이즈 클라우드 서비스가 Microsoft 클라우드 서비스가 인증된 표준에 연결하여 위험 평가 도구에 명시된 질문을 해결하는 방법을 보여주는 문서를 생성하고 있습니다. 이러한 인증은 Microsoft가 개인 정보 보호 및 보안 위험을 효과적으로 완화하고 데이터 주권 문제를 해결하기 위해 클라우드 서비스가 설계, 구축 및 운영되도록 공공 및 민간 부문 고객에게 보장하는 방법의 핵심입니다.

기관이 뉴질랜드 정보 보안 매뉴얼에 따라 ICT(정보 통신 기술) 시스템의 인증 및 인증을 받아야 하는 경우 이러한 응답을 분석의 일부로 사용할 수 있습니다.

참고

Microsoft는 Azure, Dynamics 365, Microsoft 365 및 Microsoft Fabric에 대한 업데이트된 콘텐츠를 게시하기 위해 노력하고 있습니다. 최신 정보는 곧 다시 확인하세요.

리소스