澳大利亚政府信息安全注册评估员计划 (IRAP)

信息安全注册评估程序计划 (IRAP) 提供了一个全面的过程,用于根据澳大利亚政府政策和指南独立评估系统的安全性。 IRAP 的目标是通过专注于存储、处理和通信数据的信息和通信技术基础结构,最大程度地提高澳大利亚联邦、州和地方政府数据的安全性。

IRAP 概述

信息安全注册评估师计划 (IRAP) 由澳大利亚网络安全中心 (ACSC) 管理。 IRAP提供了一个框架,以认可来自私营和公共部门的个人,为澳大利亚政府提供网络安全评估服务。 认可的 IRAP 评估人员可以提供对 ICT 安全性的独立评估、建议缓解措施并突出显示剩余风险。 IRAP 根据澳大利亚政府的政策和准则,为系统安全性的独立评估提供了一个全面的过程。 IRAP 的目标是通过专注于存储、处理和通信数据的信息和通信技术基础结构,最大程度地提高澳大利亚联邦、州和地方政府数据的安全性。

  • 2014 年,Azure 作为澳大利亚第一个 IRAP 评估的云服务推出,该服务从墨尔本和悉尼的数据中心托管。 这两个数据中心使澳大利亚客户可以控制其客户数据的存储位置,同时通过在两个位置进行备份来增强数据持续性。
  • 2015 年初,Office 365成为第一个完成此评估的云生产力服务。
  • 2015 年 4 月,ASD 宣布对 Azure 和 Office 365 进行 CCSL 认证,并在 2015 年 11 月Dynamics 365。
  • 2017 年 6 月,ASD 宣布重新认证 Microsoft Azure 和 Office 365,以大大扩展一组服务。
  • 2018 年 4 月,ACSC 宣布在 PROTECTED 分类中对 Azure 和Office 365进行认证。 Microsoft 是第一个也是唯一获得此级别认证的公有云提供商。
  • 2019 年 9 月,Microsoft 更新的 IRAP 评估范围扩展为受保护分类中的 113 项服务。
  • 2020 年 12 月,Microsoft 发布了两个针对 Azure 和 Office 365 的增量 IRAP 评估。 这些报告利用了停止认证云服务名单 (CCSL) 后的新指南。 这些报告包含对 Microsoft 作为云服务提供商的评估 (CSP) 和其他服务,这些服务在 Azure、Dynamics 和 Office 365 的 2019 年报告中是增量的。

Microsoft 和 IRAP

2020 年 12 月,Microsoft 完成了两个增量 Azure & Dynamics 和Office 365评估。 这些评估添加了更多评估到 PROTECTED 分类级别的服务。 此外,这些评估是按照 ACSC 云 评估和授权指南剖析 中所述,根据新的 CCSL 云安全指南后进行的。

对于每次评估,Microsoft 都聘请了 ACSC 认可的 IRAP 评估员,该评估员检查了 Microsoft IT 运营团队、物理数据中心、入侵检测、加密、跨域和网络安全、访问控制以及范围内服务的信息安全风险管理所使用的安全控制和流程。 IRAP 评估发现,Microsoft 系统体系结构基于健全的安全原则,并且适用的澳大利亚政府信息安全手册 (ISM) 控制措施已到位,在我们的评估服务中完全有效。

ISM 使用的风险管理框架取自 美国国家标准与技术研究院 (NIST) 特别出版物 (SP) 800-37 Rev. 2。 在此风险管理框架内,可以使用各种风险管理标准(如 国际标准化组织 (ISO) 31000:2018、风险管理 - 指南)来识别风险和选择安全控制措施。 概括而言,ISM 使用的风险管理框架有六个步骤:

  • 定义系统
  • 选择安全控件
  • 实现安全控制
  • 评估安全控制
  • 授权系统
  • 监视系统

与往常一样,在机构授权和后续使用这些云服务之前,可以由各个机构在风险管理的基础上实施其他补偿控制措施。

对 Microsoft 服务和云运营的 IRAP 评估有助于向政府中的公共部门客户及其合作伙伴提供保证,即 Microsoft 已为处理、存储和传输分类到受保护级别的数据(包括 PROTECTED 级别)提供了适当且有效的安全控制措施。 此评估包括澳大利亚的大多数政府、医疗保健和教育数据。

Microsoft 范围内的云平台和云服务

Azure、Dynamics 365和 IRAP

有关 Azure、Dynamics 365和其他联机服务合规性的详细信息,请参阅 Azure IRAP 产品/服务

Office 365和 IRAP

Office 365环境

Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。

本部分介绍以下Office 365环境:

  • 客户端软件(客户端):客户设备上运行的商业客户端软件。
  • Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
  • Office 365 政府社区云 (GCC)Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
  • Office 365 政府社区云 - 高 (GCC High)Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
  • Office 365 DoD (DoD)Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。

使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。

你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。

Office 365 适用性和范围内的服务

使用下表确定 Office 365 服务和订阅的适用性:

适用性 范围内服务
商业 Exchange Online、Exchange Online Protection、Forms、Microsoft Teams、Office 365客户门户、Office Online、Office 服务基础结构、OneDrive for Business、Planner、SharePoint Online、Skype for Business、Whiteboard、Viva Engage

常见问题解答

IRAP 适用于谁?

IRAP 适用于所有使用云服务的澳大利亚联邦、州和地方政府机构。 新西兰政府机构要求遵守类似于澳大利亚政府 ISM 的标准,因此它们也可以使用 IRAP 评估。

是否可以在组织的风险评估和审批过程中使用 Microsoft 的合规性?

能。 如果你的组织需要或正在寻求批准才能按照 ISM 进行操作,则可以在风险评估中使用 Azure、Dynamics 365、Microsoft 托管桌面和Office 365的 IRAP 安全评估。 但是,你负责让评估员评估部署在 Microsoft 平台上的实现,以及你自己组织中的控制和流程。

从何处开始执行组织自己的风险评估和运营审批?

建议从 ACSC 阅读 云安全评估 指南。

使用 Microsoft Purview 合规性管理器评估风险

Microsoft Purview 合规性管理器Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况,并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估

资源