新西兰政府信息安全和隐私注意事项

  • 项目

2023 年 4 月,新西兰政府同意刷新 云优先政策。 此策略和先前的决定要求新西兰政府组织在使用公有云服务之前执行以下操作:

  • 远离本地系统和基础结构
  • 安全存储信息
  • 拥有和使用云计划
  • 考虑 Te Ao Māori 观点
  • 采用可持续发展原则
  • 评估风险

新西兰政府要求某些组织遵守新西兰政府的信息安全和隐私注意事项。 此要求适用于属于政府首席数字官 (GCIO) 授权的组织,包括公共和非公共服务部门、地区卫生委员会和皇冠实体。 这些组织在决定使用云服务时必须遵守框架。 框架中的几个问题与《2020年隐私法》有关。 Microsoft 对这些问题的答案基于 2020 年新西兰隐私法案(如果适用)。

他们还为机构发布了一套有关如何采用云服务的指南。 此框架包括以下步骤:

  • 正确分类信息
  • 了解使用公有云服务的好处
  • 使用组织的云计划
  • 了解如何购买公有云服务
  • 使用风险发现工具
  • 使用组织的流程来评估风险

新西兰政府希望所有国家服务机构在评估和采用云服务时都在此框架内工作。 云计算的要求 概述了机构在采用云服务时必须执行的操作,并概述了政府云策略的历史。

所需的风险评估

为了协助新西兰政府机构对潜在的云解决方案进行一致和强有力的尽职调查,GCIO 发布了公共云服务风险发现工具。 此工具包含大约 100 个问题,侧重于数据主权、隐私、安全性、治理、机密性、数据完整性、可用性以及事件响应和管理。 此工具未定义新西兰政府标准,云服务提供商必须针对该标准证明其正式符合性。 但是,本文档中列出的许多问题都指向了解云服务提供商如何遵守各种相关标准的重要性。

Microsoft 对风险评估的响应

为了帮助机构对 Microsoft 企业云服务进行分析和评估,Microsoft 正在制作一些文档,说明其企业云服务如何通过将其链接到 Microsoft 云服务认证标准来解决风险评估工具中提出的问题。 这些认证是 Microsoft 如何向公共和私营部门客户保证其云服务的设计、构建和运营的核心,以有效缓解隐私和安全风险并解决数据主权问题。

如果你的机构需要根据 《新西兰信息安全手册》对其信息与通信技术 (ICT) 系统进行认证和认证,则可以将这些响应用作分析的一部分。

注意

Microsoft 正在努力发布 Azure、Dynamics 365、Microsoft 365 和 Microsoft Fabric 的更新内容。 请稍后返回查看最新信息。

资源