Considerazioni sulla sicurezza e la privacy delle informazioni del governo della Nuova Zelanda

  • Articolo

Nell'aprile 2023, il governo della Nuova Zelanda ha accettato una politica aggiornata per la prima volta sul cloud. Questo criterio e le decisioni precedenti richiedono alle organizzazioni governative della Nuova Zelanda di eseguire le azioni seguenti prima di usare i servizi cloud pubblici:

  • Allontanarsi dai sistemi e dall'infrastruttura locali
  • Archiviare in modo sicuro le informazioni
  • Avere e usare un piano cloud
  • Considerare le prospettive di Te Ao Māori
  • Adottare i principi di sostenibilità
  • Valutare i rischi

Il governo della Nuova Zelanda richiede che alcune organizzazioni siano conformi alle considerazioni sulla sicurezza e la privacy delle informazioni del governo della Nuova Zelanda. Questo requisito si applica alle organizzazioni che rientrano nel mandato di Chief Digital Officer (GCIO) del governo, inclusi i dipartimenti di servizi pubblici e non pubblici, i consigli sanitari distrettuali e le entità Crown. Queste organizzazioni devono rispettare il framework quando decidono l'uso di un servizio cloud. Diverse domande nel quadro riguardano il Privacy Act 2020. Le risposte di Microsoft a queste domande si basano sul New Zealand Privacy Act 2020, ove applicabile.

Hanno inoltre pubblicato una serie di linee guida per le agenzie su come adottare i servizi cloud. Questo framework include i passaggi seguenti:

  • Classificare correttamente le informazioni
  • Conoscere i vantaggi dell'uso dei servizi cloud pubblici
  • Usare il piano cloud dell'organizzazione
  • Informazioni su come acquistare servizi cloud pubblici
  • Usare lo strumento di individuazione dei rischi
  • Usare il processo dell'organizzazione per valutare i rischi

Il governo della Nuova Zelanda si aspetta che tutte le agenzie del servizio statale funzionino all'interno di questo quadro durante la valutazione e l'adozione dei servizi cloud. I requisiti per il cloud computing illustrano cosa devono fare le agenzie quando adottano i servizi cloud insieme a una panoramica della cronologia dei criteri cloud del governo.

Valutazione dei rischi necessaria

Per aiutare le agenzie governative della Nuova Zelanda a condurre una due diligence coerente e solida su potenziali soluzioni cloud, il GCIO ha pubblicato il Risk Discovery Tool for Public Servizi cloud.To assist New Zealand government agencies in conducting consistent and robust due diligence on potential cloud solutions, the GCIO published the Risk Discovery Tool for Public Servizi cloud. Questo strumento contiene circa 100 domande incentrate sulla sovranità dei dati, la privacy, la sicurezza, la governance, la riservatezza, l'integrità dei dati, la disponibilità e la gestione e la risposta agli eventi imprevisti. Questo strumento non definisce uno standard governativo della Nuova Zelanda rispetto al quale i provider di servizi cloud devono dimostrare la conformità formale. Molte delle domande illustrate nel documento, tuttavia, indicano l'importanza di comprendere come i provider di servizi cloud siano conformi a un'ampia gamma di standard pertinenti.

Risposte di Microsoft alla valutazione dei rischi

Per aiutare le agenzie a intraprendere l'analisi e la valutazione dei servizi cloud aziendali Microsoft, Microsoft sta producendo documenti che illustrano come i servizi cloud aziendali affrontano le domande definite nello strumento di valutazione dei rischi collegandoli agli standard in base ai quali i servizi cloud Microsoft sono certificati. Queste certificazioni sono fondamentali per il modo in cui Microsoft assicura ai clienti del settore pubblico e privato che i suoi servizi cloud sono progettati, creati e gestiti per attenuare efficacemente i rischi per la privacy e la sicurezza e risolvere i problemi di sovranità dei dati.

Se la tua agenzia è tenuta a effettuare la certificazione e l'accreditamento del suo sistema ICT (Information and Communications Technology) ai sensi del Manuale sulla sicurezza delle informazioni della Nuova Zelanda, puoi usare queste risposte come parte dell'analisi.

Nota

Microsoft sta lavorando alla pubblicazione di contenuto aggiornato per Azure, Dynamics 365, Microsoft 365 e Microsoft Fabric. Controllare di nuovo presto per le informazioni più recenti.

Risorse