澳大利亞政府資訊安全註冊評估人員計劃 (IRAP)

發行項
01/31/2024

資訊安全性註冊評估者計劃 (IRAP) 提供針對澳大利亞政府原則和指導方針獨立評估系統安全性的完整程式。 IRAP 的目標是要將焦點放在儲存、處理和通訊的資訊和通訊技術基礎結構，將澳大利亞聯邦、州和本地政府數據的安全性最大化。

IRAP 概觀

資訊安全性註冊評估人員計劃 (IRAP) 是由澳大利亞網路安全中心 (ACSC) 管理。 IRAP 提供架構來背書來自私人和公共部門的個人，以提供網路安全性評估服務給澳大利亞政府。背書的 IRAP 評估者可以提供 ICT 安全性的獨立評估、建議緩和措施，並醒目提示剩餘的風險。 IRAP 提供針對澳大利亞政府原則和指導方針獨立評估系統安全性的完整程式。 IRAP 的目標是要將焦點放在儲存、處理和通訊的資訊和通訊技術基礎結構，將澳大利亞聯邦、州和本地政府數據的安全性最大化。

在 2014 年，Azure 已啟動為澳洲的第一個 IRAP 評估雲端服務，裝載自墨爾本和雪梨的數據中心。這兩個數據中心可讓澳大利亞客戶控制其客戶數據的儲存位置，同時透過這兩個位置的備份，在發生災害時提供增強的數據持久性。
在 2015 年初，Office 365 成為完成此評量的第一個雲端生產力服務。
在 2015 年 4 月，ASD 宣佈 Azure 和 Office 365 的 CCSL 認證，以及 2015 年 11 月的 Dynamics 365。
2017年6月，ASD宣佈重新認證 Microsoft Azure，並 Office 365一組大幅擴充的服務。
在 2018 年 4 月，ACSC 宣佈在 PROTECTED 分類上認證 Azure 和 Office 365。 Microsoft 是第一個也是唯一達到此認證層級的公用雲端提供者。
在 2019 年 9 月，Microsoft 更新的 IRAP 評估範圍已擴充為包含受保護分類的 113 項服務。
在 2020 年 12 月，Microsoft 發行了兩個適用於 Azure 和 Office 365 的累加式 IRAP 評定。這些報告利用CCSL) 的認證雲端服務清單 (後的新指導方針。這些報告同時包含 Microsoft 作為雲端服務提供者 (CSP) 和其他服務的評量，這些服務會累加至 Azure、Dynamics 和 Office 365 的 2019 年報告。

Microsoft 和 IRAP

在 2020 年 12 月，Microsoft 已完成兩個累加式 Azure & Dynamics 和 Office 365 評定。這些評量已將更多評估的服務新增至 PROTECTED 的分類層級。此外，這些評量是根據新的CCSL雲端安全性指引後進行，如ACSC的雲端評定和授權指引結構中所述。

針對每個評量，Microsoft 都與 ACSC 認證的 IRAP 評估員合作，該評估員會檢查 Microsoft IT 作業小組、實體數據中心、入侵檢測、密碼編譯、跨網域和網路安全性、訪問控制，以及範圍內服務的資訊安全性風險管理所使用的安全性控制和程式。 IRAP 評估發現 Microsoft 系統架構是以健全的安全策略為基礎，而且適用的澳大利亞政府資訊安全手冊 (ISM) 控件在我們的評估服務中已就緒且完全有效。

ISM 所使用的風險管理架構，取自美國國家標準與技術局 (NIST) Special Publication (SP) 800-37 Rev. 2。在此風險管理架構中，可以使用各種風險管理標準來識別風險和選擇安全性控制，例如國際標準化組織 (ISO) 31000：2018、風險管理 - 指導方針。大致而言，ISM 所使用的風險管理架構有六個步驟：

定義系統
選取安全性控制件
實作安全性控制
評估安全性控制
授權系統
監視系統

一如往常，個別機構可以在機構授權和後續使用這些雲端服務之前，以風險管理為基礎來實作額外的補償控制。

Microsoft 服務和雲端作業的 IRAP 評估可協助向政府及其合作夥伴中的公用部門客戶保證 Microsoft 有適當且有效的安全性控制，可處理、儲存和傳輸分類為受保護層級的數據。這項評估包含澳洲大部分的政府、醫療保健和教育數據。

Microsoft 範圍內雲端平台與服務

Azure
Dynamics 365
Microsoft 受管理的電腦
Office 365
Windows 365

Azure、Dynamics 365 和 IRAP

如需 Azure、Dynamics 365 和其他線上服務合規性的詳細資訊，請參閱 Azure IRAP 供應專案。

Office 365和 IRAP

Office 365環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台，也是全球數個區域客戶可用的應用程式和服務整合式體驗。大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如，美國) 以復原資料，但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列 Office 365 環境：

用戶端軟體 (用戶端)：客戶裝置上執行的商業用戶端軟體。
Office 365 (商業)：全球都可使用的商業公用 Office 365 雲端服務。
Office 365 政府社群雲端 (GCC)：Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
Office 365 政府社群雲端 - High (GCC High)：Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計，嚴格控制和支援受監管的聯邦和國防資訊。此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
Office 365 DoD (DoD)：Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計，控制和支援嚴格的聯邦和國防法規。此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。若要了解哪些地區提供哪些服務，請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。如需 Office 365 政府版雲端環境的詳細資訊，請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。本節中提供的資訊不構成法律建議，如果您對組織的法規合規性有任何疑問，您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性：

適用性	範圍內服務
商業	Exchange Online、Exchange Online Protection、Forms、Microsoft Teams、Office 365 Customer Portal、Office Online、Office Service Infrastructure、商務用 OneDrive、Planner、SharePoint Online、商務用 Skype、Whiteboard、Viva Engage

常見問題集

IRAP 套用至誰？

IRAP 適用於所有使用雲端服務的澳大利亞聯邦、州和本地政府機關。紐西蘭政府機關需要符合類似澳大利亞政府 ISM 的標準，因此也可以使用 IRAP 評定。

我可以在組織的風險評估和核准程式中使用 Microsoft 的合規性嗎？

是的。如果您的組織需要或尋求核准才能與 ISM 一起運作，您可以在風險評估中使用 Azure、Dynamics 365、Microsoft 受控桌面和 Office 365 的 IRAP 安全性評估。不過，您必須負責讓評估人員將實作評估為部署在 Microsoft 的平臺上，以及針對您組織內的控件和程式進行評估。

我該從組織自己的風險評估和核准開始操作的位置？

建議您從 ACSC 閱讀雲端安全性評定指引。

使用 Microsoft Purview 合規性管理員來評估您的風險

Microsoft Purview 合規性管理員是 Microsoft Purview 合規性入口網站中的一項功能，可協助您了解組織的合規性狀態，並採取動作來協助降低風險。合規性管理員會提供特優範本以為此法規建立評定。可在合規性管理員的 [評定範本] 頁面尋找範本。瞭解如何在合規性管理員中建立評估。