澳大利亞政府資訊安全性註冊 Assessor 程式 (IRAP)
Information Security 已註冊的 Assessor 程式 (IRAP) 針對澳大利亞政府原則和指導方針,針對系統的安全性進行獨立評估,提供完整的處理常式。 IRAP 目標是著重于儲存、處理及通訊的資訊及通訊技術基礎結構,以最大化澳大利亞聯邦、州及地方政府資料的安全性。
IRAP 概述
(IRAP) 的資訊安全性註冊的評估者程式由澳大利亞網路安全性中心 (ACSC) 加以管轄和管理。 IRAP 提供的架構可認可私人及公開部門的個人,以提供網路安全性評估服務給澳大利亞政府。 「認可的 IRAP 評估者」可以提供對 ICT 安全性的獨立評估、建議緩解和反白顯示殘留風險。 IRAP 針對澳大利亞政府原則和指導方針,針對系統的安全性進行獨立評估,提供完整的處理常式。 IRAP 目標是著重于儲存、處理及通訊的資訊及通訊技術基礎結構,以最大化澳大利亞聯邦、州及地方政府資料的安全性。
- 在2014中,Azure 已啟動為澳大利亞第一個 IRAP 評估的雲端服務,以和悉尼的資料中心主控。 這兩個資料中心可讓澳大利亞客戶控制其客戶資料的儲存位置,同時也會透過兩個位置的備份來提供增強的資料耐用性。
- 在2015年初,Office 365 成為第一個雲端生產力服務,以完成這項評估。
- 在4月2015,該 .asd 宣佈 Azure 和 Office 365 的 CCSL 憑證,以及 Dynamics 365 的11月2015。
- 在2017年6月,.asd 會宣佈 recertification Microsoft Azure 和 Office 365,以尋找一組極大地擴充的服務。
- 在2018年4月,ACSC 會在受保護的分類上宣告 Azure 和 Office 365 的憑證。 Microsoft 是第一個也是唯一一個可達成這種認證等級的公用雲端提供者。
- 在2019年9月,已擴充 Microsoft 的 IRAP 評估範圍,以包含受保護分類的113服務。
- 在2020年12月,Microsoft 已發行兩個針對 Azure 和 Office 365 的增量 IRAP 評估。 這些報告利用新的指引,cessation 已認證的雲端服務清單的 CCSL) (。 報告包含為雲端服務提供者所做的 Microsoft 評估, (CSP) 和其他以所有 Azure、Dynamics 和 Office 365 增量到2019報告的服務。
Microsoft 和 IRAP
在12月2020,Microsoft 已完成兩個增量 Azure & Dynamics 和 Office 365 評估。 這些評估會新增更多的服務,評估至受保護的分類層級。 此外,這些評估是以新的 CCSL 雲端安全性指導方針進行,如您在 ACSC 中 剖析的雲端評估和 Authorisation 指引 所述。
針對每個評估,Microsoft 共同致力於以 ACSC 認證的 IRAP assessor,檢查 Microsoft IT 運作小組所用的安全性控制和程式、實體資料中心、入侵偵測、密碼編譯、跨網域和網路安全性、存取控制,以及範圍內服務的資訊安全性風險管理。 IRAP 評估發現 Microsoft 系統架構是以合理的安全性原則為基礎,且適用的澳大利亞政府資訊安全性手冊 (ISM) 控制項已到位,且在我們評估的服務內完全有效。
ISM 所用的風險管理架構會從 本國標準和技術研究院 (NIST) 特殊出版物 (SP) 800-37 Rev。 2。 在此風險管理架構中,您可以使用各種風險管理標準(例如 國際標準組織 (ISO) 31000:2018、風險管理-指導方針)來識別安全性控制風險及選擇。 ISM 所用的風險管理架構廣泛,包含六個步驟:
- 定義系統
- 選取安全性控制
- 實施安全性控制
- 評估安全性控制措施
- 授權系統
- 監視系統
如往常所述,其他補償控制項可以在授權代理程式之前,由個別的原則實施,也可以在後續使用這些雲端服務時,由個別機構實施。
Microsoft 的服務和雲端作業的 IRAP 評估,可協助為政府及其合作夥伴提供擔保,讓 Microsoft 有適當且有效的安全性控制,以用於處理、儲存及傳輸已分類的資料,並包含受保護的層級。 此項評估包含澳大利亞大多數政府、醫療保健及教育版資料。
Microsoft 範圍內雲端平台與服務
- Azure
- Dynamics 365
- Microsoft 受管理的電腦
- Office 365
Azure、Dynamics 365 和 IRAP
如需 Azure、Dynamics 365 及其他線上服務規範的詳細資訊,請參閱 AZURE IRAP 服務。
Office 365 和 IRAP
Office 365 雲端環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋下列 Office 365 雲端環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
| 適用性 | 範圍內服務 |
|---|---|
| 商業 | Exchange Online,Exchange Online Protection,Forms,Microsoft Teams,Office 365 客戶入口網站,Office 線上,Office 服務基礎結構,商務用 OneDrive,Planner,SharePoint 線上,商務用 Skype,白板,Yammer |
常見問題集
IRAP 適用于哪些專案?
IRAP 適用于所有使用雲端服務的澳大利亞聯邦、州及地方政府機構。 新的紐西蘭政府機關必須符合標準類似的澳大利亞政府 ISM,所以他們也可以使用 IRAP 評估。
我是否可以在組織的風險評估與核准程式中使用 Microsoft 的符合性?
是。 如果您的組織需要或正在尋求核准,以與 ISM 一起運作,您可以在風險評估中使用 Azure、Dynamics 365、Microsoft 受管理的電腦及 Office 365 的 IRAP 安全性評估。 不過,您已負責接洽 assessor,以評估 Microsoft 平臺上部署的實施,以及您自己組織中的控制項和流程。
從組織自身的風險評估和核准開始,我要從何處開始?
建議您閱讀 ACSC 中的 雲端安全性評估 指導方針。
使用 Microsoft 合規性管理員來評估風險
Microsoft 合規性管理員是 Microsoft 365 合規性中心的功能,可協助您了解組織的合規性狀況,並採取行動以協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。