Événements
Relevez le défi Microsoft Learn
19 nov., 23 h - 10 janv., 23 h
Ignite Edition - Créez des compétences dans les produits de sécurité Microsoft et gagnez un badge numérique d’ici le 10 janvier !
S’inscrire maintenantCe navigateur n’est plus pris en charge.
Effectuez une mise à niveau vers Microsoft Edge pour tirer parti des dernières fonctionnalités, des mises à jour de sécurité et du support technique.
Le Programme d’évaluateurs enregistrés pour la sécurité de l’information (IRAP) fournit un processus complet pour l’évaluation indépendante de la sécurité d’un système par rapport aux politiques et directives du gouvernement australien. L’objectif de l’IRAP est de maximiser la sécurité des données gouvernementales fédérales, étatiques et locales australiennes en se concentrant sur l’infrastructure des technologies de l’information et des communications qui les stocke, les traite et les communique.
L’Information Security Registered Assessors Program (IRAP) est régi et administré par l’Australian Cyber Security Centre (ACSC). Le PARI fournit le cadre permettant d’approuver les individus des secteurs privé et public afin de fournir des services d’évaluation de la cybersécurité au gouvernement australien. Les évaluateurs approuvés de l’IRAP peuvent fournir une évaluation indépendante de la sécurité des TIC, suggérer des mesures d’atténuation et mettre en évidence les risques résiduels. L’IRAP fournit un processus complet pour l’évaluation indépendante de la sécurité d’un système par rapport aux politiques et directives du gouvernement australien. L’objectif de l’IRAP est de maximiser la sécurité des données gouvernementales fédérales, étatiques et locales australiennes en se concentrant sur l’infrastructure des technologies de l’information et des communications qui les stocke, les traite et les communique.
En décembre 2020, Microsoft a effectué deux évaluations azure & Dynamics et Office 365 incrémentielles. Ces évaluations ont ajouté d’autres services évalués au niveau de classification de PROTECTED. En outre, ces évaluations ont été effectuées dans le cadre du nouveau guide de sécurité du cloud de la CCSL, tel qu’il est décrit dans les conseils sur l’anatomie d’une évaluation et d’autorisation cloud de l’ACSC.
Pour chaque évaluation, Microsoft a engagé un évaluateur IRAP accrédité acSC qui a examiné les contrôles et les processus de sécurité utilisés par l’équipe des opérations informatiques de Microsoft, les centres de données physiques, la détection des intrusions, le chiffrement, la sécurité inter-domaines et réseau, le contrôle d’accès et la gestion des risques de sécurité des informations des services dans l’étendue. Les évaluations de l’IRAP ont révélé que l’architecture du système Microsoft est basée sur des principes de sécurité solides et que les contrôles applicables du Manuel de sécurité des informations du gouvernement australien (ISM) sont en place et pleinement efficaces dans nos services évalués.
Le cadre de gestion des risques utilisé par l’ISM s’appuie sur la publication spéciale du National Institute of Standards and Technology (NIST) 800-37 Rev. 2. Dans ce cadre de gestion des risques, l’identification des risques et la sélection des contrôles de sécurité peuvent être effectuées à l’aide de diverses normes de gestion des risques, telles que l’Organisation internationale de normalisation (ISO) 31000 :2018, Risk management - Guidelines. Globalement, le cadre de gestion des risques utilisé par l’ISM comprend six étapes :
Comme toujours, des contrôles de compensation supplémentaires peuvent être implémentés sur une base gérée par les risques par des agences individuelles avant l’autorisation de l’agence et l’utilisation ultérieure de ces services cloud.
L’évaluation IRAP des services et des opérations cloud de Microsoft permet d’assurer aux clients du secteur public dans le secteur public et à leurs partenaires que Microsoft a mis en place des contrôles de sécurité appropriés et efficaces pour le traitement, le stockage et la transmission des données classifiées jusqu’au niveau protégé et y compris. Cette évaluation inclut la plupart des données gouvernementales, médicales et éducatives en Australie.
Pour plus d’informations sur azure, Dynamics 365 et d’autres services en ligne conformité, consultez l’offre Azure IRAP.
Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.
Cette section couvre les environnements Office 365 suivants :
Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .
Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.
Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :
l’applicabilité | Les Services dans l’étendue |
---|---|
Commerciale | Exchange Online, Exchange Online Protection, Formulaires, Microsoft Teams, Office 365 Portail client, Office Online, Infrastructure de service Office, OneDrive Entreprise, Planificateur, SharePoint Online, Skype Entreprise, Tableau blanc, Viva Engage |
À qui le PARI s’applique-t-il ?
IRAP s’applique à toutes les agences gouvernementales fédérales, d’État et locales australiennes qui utilisent des services cloud. Les agences gouvernementales néo-zélandaises exigent le respect d’une norme similaire à celle de l’ISM du gouvernement australien, de sorte qu’elles peuvent également utiliser les évaluations de l’IRAP.
Puis-je utiliser la conformité de Microsoft dans le processus d’évaluation des risques et d’approbation de mon organization ?
Oui. Si votre organization nécessite ou recherche une approbation pour fonctionner conformément à l’ISM, vous pouvez utiliser les évaluations de sécurité IRAP d’Azure, Dynamics 365, Microsoft Managed Desktop et Office 365 dans votre évaluation des risques. Toutefois, vous devez faire appel à un évaluateur pour évaluer votre implémentation telle qu’elle est déployée sur les plateformes de Microsoft, ainsi que pour les contrôles et les processus au sein de votre propre organization.
Par où commencer par l’évaluation des risques et l’approbation de mon organization pour fonctionner ?
Il est recommandé de lire les conseils sur les évaluations de sécurité cloud de l’ACSC.
Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité de la portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.
Événements
Relevez le défi Microsoft Learn
19 nov., 23 h - 10 janv., 23 h
Ignite Edition - Créez des compétences dans les produits de sécurité Microsoft et gagnez un badge numérique d’ici le 10 janvier !
S’inscrire maintenant