Überlegungen zur Informationssicherheit und zum Datenschutz der neuseeländischen Regierung
Im April 2023 stimmte die neuseeländische Regierung einer aktualisierten Cloud first-Richtlinie zu. Diese Richtlinie und frühere Entscheidungen erfordern neuseeländische Regierungsorganisationen, die folgenden Maßnahmen zu ergreifen, bevor sie öffentliche Clouddienste verwenden:
- Weg von lokalen Systemen und Infrastrukturen
- Sicheres Speichern von Informationen
- Verwenden und Verwenden eines Cloudplans
- Überlegungen zu Te Ao Māori Perspektiven
- Übernehmen von Nachhaltigkeitsgrundsätzen
- Bewerten der Risiken
Die neuseeländische Regierung verlangt, dass bestimmte Organisationen die Überlegungen zur Informationssicherheit und zum Datenschutz der neuseeländischen Regierung einhalten. Diese Anforderung gilt für Organisationen, die unter das Government Chief Digital Officer-Mandat (GCDO) fallen, einschließlich der öffentlichen und nicht öffentlichen Dienstabteilungen, te Whatu Ora Health New Zealand, Te Aka Whai Ora Māori Health Authority und Crown-Entitäten. Diese Organisationen müssen sich an das Framework halten, wenn sie sich für die Verwendung eines Clouddiensts entscheiden. Mehrere Fragen im Rahmen betreffen das Datenschutzgesetz 2020. Die Antworten von Microsoft auf diese Fragen basieren gegebenenfalls auf dem New Zealand Privacy Act 2020.
Sie veröffentlichten auch eine Reihe von Richtlinien für Behörden zur Einführung von Clouddiensten. Dieses Framework umfasst die folgenden Schritte:
- Informationen ordnungsgemäß klassifizieren
- Kennenlernen der Vorteile der Verwendung öffentlicher Clouddienste
- Verwenden des Cloudplans Ihrer Organisation
- Erfahren Sie, wie Sie öffentliche Clouddienste erwerben.
- Verwenden des Risikoermittlungstools
- Verwenden des Prozesses Ihrer Organisation zum Bewerten von Risiken
Die neuseeländische Regierung erwartet, dass alle Staatlichen Dienststellen bei der Bewertung und Einführung von Clouddiensten innerhalb dieses Rahmens arbeiten. Anforderungen für Cloud Computing beschreiben, was Behörden bei der Einführung von Clouddiensten tun müssen, sowie einen Überblick über den Verlauf der Cloudrichtlinie der Regierung.
Erforderliche Risikobewertung
Um neuseeländische Regierungsbehörden bei der Durchführung einer konsistenten und robusten Due Diligence für potenzielle Cloudlösungen zu unterstützen, hat der GCIO das Risk Discovery Tool for Public Cloud Services veröffentlicht. Dieses Tool enthält rund 100 Fragen, die sich auf Datenhoheit, Datenschutz, Sicherheit, Governance, Vertraulichkeit, Datenintegrität, Verfügbarkeit sowie Reaktion und Verwaltung von Vorfällen konzentrieren. Dieses Tool definiert keinen neuseeländischen Regierungsstandard, anhand dessen Clouddienstanbieter formale Konformität nachweisen müssen. Viele der in diesem Dokument dargelegten Fragen weisen jedoch darauf hin, wie wichtig es ist, zu verstehen, wie Clouddienstanbieter eine Vielzahl relevanter Standards einhalten.
Antworten von Microsoft auf die Risikobewertung
Um Agenturen bei der Analyse und Bewertung von Microsoft-Clouddiensten für Unternehmen zu unterstützen, erstellt Microsoft Dokumente, die zeigen, wie seine Unternehmensclouddienste die im Risikobewertungstool beschriebenen Fragen beantworten, indem sie sie mit den Standards verknüpfen, nach denen Microsoft-Clouddienste zertifiziert sind. Diese Zertifizierungen sind von zentraler Bedeutung dafür, wie Microsoft sowohl kunden aus dem öffentlichen als auch dem privaten Sektor versichert, dass seine Clouddienste entworfen, erstellt und betrieben werden, um Datenschutz- und Sicherheitsrisiken effektiv zu mindern und Bedenken hinsichtlich der Datenhoheit anzugehen.
Wenn Ihre Agentur die Zertifizierung und Akkreditierung ihres Informations- und Kommunikationstechnologiesystems (ICT) gemäß dem New Zealand Information Security Manual durchführen muss, können Sie diese Antworten als Teil Ihrer Analyse verwenden.
Hinweis
Microsoft arbeitet daran, aktualisierte Inhalte für Microsoft Fabric zu veröffentlichen. Schauen Sie in Kürze zurück, um die neuesten Informationen zu finden.