Considerações sobre segurança e privacidade de informações do governo da Nova Zelândia

  • Artigo

Em abril de 2023, o governo da Nova Zelândia concordou com uma política de primeira nuvem atualizada. Essa política e as decisões anteriores exigem que as organizações governamentais da Nova Zelândia tomem as seguintes ações antes de usar serviços de nuvem pública:

  • Afastar-se dos sistemas locais e da infraestrutura
  • Armazenar informações com segurança
  • Ter e usar um plano de nuvem
  • Considere as perspectivas de Te Ao Māori
  • Adotar princípios de sustentabilidade
  • Avaliar os riscos

O governo da Nova Zelândia exige que certas organizações cumpram as Considerações de Segurança e Privacidade do Governo da Nova Zelândia. Esse requisito se aplica a organizações que se enquadram no mandato do Diretor Digital do Governo (GCIO), incluindo os departamentos de serviços públicos e não públicos, os conselhos de saúde distritais e as entidades Crown. Essas organizações devem aderir à estrutura quando estão decidindo sobre o uso de um serviço de nuvem. Várias perguntas na estrutura dizem respeito à Lei de Privacidade 2020. As respostas da Microsoft a essas perguntas baseiam-se na Lei de Privacidade da Nova Zelândia 2020, quando aplicável.

Eles também publicaram um conjunto de diretrizes para agências sobre como adotar serviços de nuvem. Essa estrutura inclui as seguintes etapas:

  • Classificar as informações corretamente
  • Conheça os benefícios do uso de serviços de nuvem pública
  • Usar o plano de nuvem da sua organização
  • Veja como comprar serviços de nuvem pública
  • Usar a ferramenta de descoberta de risco
  • Usar o processo da sua organização para avaliar riscos

O governo da Nova Zelândia espera que todas as agências do Serviço de Estado trabalhem nessa estrutura ao avaliar e adotar serviços de nuvem. Os requisitos para Computação em Nuvem descrevem o que as agências devem fazer ao adotar serviços de nuvem, juntamente com uma visão geral do histórico da política de nuvem do governo.

Avaliação de risco necessária

Para ajudar as agências governamentais da Nova Zelândia a realizar uma diligência consistente e robusta em possíveis soluções de nuvem, o GCIO publicou a Ferramenta de Descoberta de Riscos para Serviços de Nuvem Públicas. Essa ferramenta contém cerca de 100 perguntas focadas em soberania de dados, privacidade, segurança, governança, confidencialidade, integridade de dados, disponibilidade e resposta a incidentes e gerenciamento. Essa ferramenta não define um padrão do governo da Nova Zelândia em relação ao qual os provedores de serviços de nuvem devem demonstrar conformidade formal. Muitas das perguntas definidas no documento, no entanto, apontam para a importância de entender como os provedores de serviços de nuvem estão em conformidade com uma ampla gama de padrões relevantes.

Respostas da Microsoft à avaliação de risco

Para ajudar as agências a realizar sua análise e avaliação dos serviços de nuvem corporativos da Microsoft, a Microsoft está produzindo documentos mostrando como seus serviços de nuvem corporativa abordam as questões definidas na ferramenta de avaliação de risco vinculando-as aos padrões nos quais os serviços de nuvem da Microsoft são certificados. Essas certificações são centrais para como a Microsoft garante aos clientes do setor público e privado que seus serviços de nuvem são projetados, criados e operados para mitigar efetivamente os riscos de privacidade e segurança e resolver preocupações de soberania de dados.

Se sua agência for obrigada a realizar a certificação e o credenciamento de seu sistema de Tecnologia de Informações e Comunicações (ICT) sob o Manual de Segurança da Informação da Nova Zelândia, você poderá usar essas respostas como parte de sua análise.

Observação

A Microsoft está trabalhando na publicação de conteúdo atualizado para o Azure, Dynamics 365, Microsoft 365 e Microsoft Fabric. Verifique em breve as últimas informações.

Recursos