紐西蘭政府資訊安全性和隱私權考慮

  • 發行項

在 2023 年 4 月,紐西蘭政府同意重新整理 的雲端優先原則。 此原則和先前的決策要求紐西蘭政府組織在使用公用雲端服務之前,先採取下列動作:

  • 離開內部部署系統和基礎結構
  • 安全地儲存資訊
  • 擁有和使用雲端方案
  • 考慮 Te Ao Māori 檢視方塊
  • 採用永續性原則
  • 評估風險

紐西蘭政府要求特定組織遵守紐西蘭政府資訊安全性和隱私權考慮。 這項需求適用於受政府首席數字長 (GCIO) 授權的組織,包括公用和非公用服務部門、行政區健全狀況委員會和部落實體。 這些組織在決定使用雲端服務時,必須遵守架構。 架構中的幾個問題與隱私權法案 2020 有關。 Microsoft 對這些問題的回應是以適用的紐西蘭隱私法 2020 為基礎。

他們也針對如何採用雲端服務的機構發佈了一組指導方針。 此架構包含下列步驟:

  • 正確分類資訊
  • 瞭解使用公用雲端服務的優點
  • 使用組織的雲端計劃
  • 瞭解如何購買公用雲端服務
  • 使用風險探索工具
  • 使用貴組織的程式來評估風險

紐西蘭政府預期在評估和採用雲端服務時,所有 State Service 機構都會在此架構中運作。 雲端運算的需求 概述採用雲端服務時,機構必須執行的動作,以及政府雲端原則歷程記錄的概觀。

必要的風險評估

為了協助紐西蘭政府機關對潛在的雲端解決方案進行一致且健全的盡責調查,GCIO 發佈了「公用風險探索工具」雲端服務。 此工具包含大約 100 個問題,著重於數據主權、隱私權、安全性、治理、機密性、數據完整性、可用性,以及事件回應和管理。 此工具不會定義紐西蘭政府標準,雲端服務提供者必須針對該標準示範正式合規性。 不過,檔中所設定的許多問題都指向瞭解雲端服務提供者如何符合各種相關標準的重要性。

Microsoft 對風險評估的回應

為了協助機構進行 Microsoft 企業雲端服務的分析和評估,Microsoft 正在製作檔,說明其企業雲端服務如何將它們連結至 Microsoft 雲端服務通過認證的標準,以解決風險評估工具中所設定的問題。 這些認證是 Microsoft 如何確保公用和私人部門客戶,其雲端服務的設計、建置和操作,以有效降低隱私權和安全性風險,並解決數據主權考慮的核心。

如果您的機構需要在 紐西蘭資訊安全手冊下進行資訊與通訊技術 (ICT) 系統的認證和認證,則您可以使用這些回應做為分析的一部分。

注意事項

Microsoft 正致力於發佈 Azure、Dynamics 365、Microsoft 365 和 Microsoft Fabric 的更新內容。 請儘快回來查看最新資訊。

資源