Considerações sobre Segurança de Informações e Privacidade do Governo da Nova Zelândia
Em abril de 2023, o governo da Nova Zelândia concordou com uma primeira política de cloud atualizada. Esta política e decisões anteriores exigem que as organizações governamentais da Nova Zelândia tomem as seguintes ações antes de utilizarem os serviços cloud públicos:
- Afastar-se dos sistemas e da infraestrutura no local
- Armazenar informações em segurança
- Ter e utilizar um plano na cloud
- Considerar as perspetivas do Te Ao Māori
- Adotar princípios de sustentabilidade
- Avaliar os riscos
O governo da Nova Zelândia exige que certas organizações cumpram as Considerações de Segurança de Informação e Privacidade do Governo da Nova Zelândia. Este requisito aplica-se a organizações que se inserem no mandato do Diretor-Geral do Governo Digital (GCDO), incluindo os departamentos de serviço público e não público, a Te Whatu Ora Health New Zealand, a Te Aka Whai Ora Māori Health Authority e as entidades Crown. Estas organizações têm de cumprir a arquitetura quando estão a decidir a utilização de um serviço cloud. Várias perguntas no quadro estão relacionadas com a Lei de Privacidade de 2020. As respostas da Microsoft a estas perguntas baseiam-se na Lei de Privacidade da Nova Zelândia de 2020, quando aplicável.
Também publicaram um conjunto de diretrizes para as agências sobre como adotar serviços cloud. Esta arquitetura inclui os seguintes passos:
- Classificar as informações corretamente
- Conhecer os benefícios da utilização de serviços cloud públicos
- Utilizar o plano de cloud da sua organização
- Veja como comprar serviços cloud públicos
- Utilizar a ferramenta de deteção de riscos
- Utilizar o processo da sua organização para avaliar riscos
O governo da Nova Zelândia espera que todas as agências de Serviços Estatais trabalhem neste quadro ao avaliar e adotar serviços cloud. Os requisitos da Computação na Cloud descrevem o que as agências têm de fazer ao adotar serviços cloud, juntamente com uma descrição geral do histórico da política de cloud do governo.
Avaliação de risco necessária
Para ajudar as agências governamentais da Nova Zelândia a realizarem diligências consistentes e robustas em potenciais soluções na cloud, o GCIO publicou a Ferramenta de Deteção de Riscos para Serviços Cloud Públicos. Esta ferramenta contém cerca de 100 perguntas focadas na soberania de dados, privacidade, segurança, governação, confidencialidade, integridade dos dados, disponibilidade e gestão e resposta a incidentes. Esta ferramenta não define uma norma governamental da Nova Zelândia em relação à qual os fornecedores de serviços cloud têm de demonstrar conformidade formal. Muitas das perguntas apresentadas no documento apontam, no entanto, para a importância de compreender como os fornecedores de serviços cloud cumprem um vasto leque de normas relevantes.
Respostas da Microsoft à avaliação de riscos
Para ajudar as agências a realizar a análise e avaliação dos serviços cloud empresariais da Microsoft, a Microsoft está a produzir documentos que mostram como os seus serviços cloud empresariais abordam as questões definidas na ferramenta de avaliação de riscos ao ligá-las às normas em relação às quais os serviços cloud da Microsoft são certificados. Estas certificações são centrais na forma como a Microsoft assegura aos clientes do setor público e privado que os seus serviços cloud são concebidos, construídos e operados para mitigar eficazmente os riscos de privacidade e segurança e abordar as preocupações de soberania dos dados.
Se a sua agência for obrigada a realizar a certificação e acreditação do respetivo sistema de Tecnologias de Informação e Comunicações (TIC) no Manual de Segurança de Informações da Nova Zelândia, pode utilizar estas respostas como parte da sua análise.
Observação
A Microsoft está a trabalhar na publicação de conteúdos atualizados para o Microsoft Fabric. Volte em breve para obter as informações mais recentes.