Programa de assessor registrado em segurança de informações do governo australiano (IRAP)

O IRAP (Programa de Assessor Registrado em Segurança da Informação) fornece um processo abrangente para a avaliação independente da segurança de um sistema em relação às políticas e diretrizes do governo australiano. O objetivo do IRAP é maximizar a segurança dos dados do governo federal, estadual e local australianos, concentrando-se na infraestrutura de tecnologia de informação e comunicação que armazena, processa e comunica.

Visão geral do IRAP

O IRAP (Programa de Assessores Registrados em Segurança da Informação) é governado e administrado pelo Centro australiano de Segurança Cibernética (ACSC). O IRAP fornece a estrutura para endossar indivíduos dos setores privado e público para fornecer serviços de avaliação de segurança cibernética ao governo australiano. Os assessores do IRAP endossados podem fornecer uma avaliação independente da segurança de TIC, sugerir mitigações e realçar riscos residuais. O IRAP fornece um processo abrangente para a avaliação independente da segurança de um sistema contra políticas e diretrizes do governo australiano. O objetivo do IRAP é maximizar a segurança dos dados do governo federal, estadual e local australianos, concentrando-se na infraestrutura de tecnologia de informação e comunicação que armazena, processa e comunica.

  • Em 2014, o Azure foi lançado como o primeiro serviço de nuvem avaliado pelo IRAP na Austrália, hospedado de datacenters em Melbourne e Sydney. Esses dois datacenters dão aos clientes australianos controle sobre onde seus dados de cliente são armazenados, ao mesmo tempo em que fornecem maior durabilidade de dados em que há desastres por meio de backups em ambos os locais.
  • No início de 2015, Office 365 se tornou o primeiro serviço de produtividade na nuvem a concluir essa avaliação.
  • Em abril de 2015, o ASD anunciou a certificação CCSL do Azure e Office 365 e, em novembro de 2015, de Dynamics 365.
  • Em junho de 2017, a ASD anunciou a recertificação do Microsoft Azure e Office 365 para um conjunto de serviços muito expandido.
  • Em abril de 2018, o ACSC anunciou a certificação do Azure e Office 365 na classificação PROTECTED. A Microsoft é o primeiro e único provedor público de nuvem a alcançar esse nível de certificação.
  • Em setembro de 2019, o escopo de avaliação do IRAP atualizado da Microsoft expandiu-se para incluir 113 serviços na classificação PROTECTED.
  • Em dezembro de 2020, a Microsoft lançou duas avaliações incrementais do IRAP para o Azure e Office 365. Esses relatórios utilizaram as novas diretrizes após a interrupção da CCSL (Lista de Serviços de Nuvem Certificada). Os relatórios contêm uma avaliação da Microsoft como um CSP (Provedor de Serviços de Nuvem) e outros serviços incrementais para os relatórios de 2019 no Azure, Dynamics e Office 365.

Microsoft e IRAP

Em dezembro de 2020, a Microsoft concluiu duas avaliações incrementais do Azure & Dynamics e Office 365. Essas avaliações adicionaram mais serviços avaliados ao nível de classificação de PROTECTED. Além disso, essas avaliações foram realizadas sob as novas diretrizes de segurança na nuvem do CCSL, conforme descrito nas diretrizes anatomia de uma avaliação e autorização de nuvem do ACSC.

Para cada avaliação, a Microsoft contratou um assessor do IRAP credenciado pela ACSC que examinou os controles e processos de segurança usados pela equipe de operações de TI da Microsoft, datacenters físicos, detecção de intrusões, criptografia, segurança entre domínios e rede, controle de acesso e gerenciamento de risco de segurança de informações de serviços no escopo. As avaliações do IRAP descobriram que a arquitetura do sistema microsoft é baseada em princípios de segurança sólidos e que os controles ISM (Manual de Segurança de Informações do Governo Australiano) aplicáveis estão em vigor e totalmente eficazes em nossos serviços avaliados.

A estrutura de gerenciamento de riscos usada pelo ISM é extraída do National Institute of Standards and Technology (NIST) Special Publication (SP) 800-37 Rev. 2. Nessa estrutura de gerenciamento de riscos, a identificação de riscos e a seleção de controles de segurança podem ser realizadas usando vários padrões de gerenciamento de riscos, como ISO (Organização Internacional para Padronização) 31000:2018, Gerenciamento de riscos – Diretrizes. Amplamente, a estrutura de gerenciamento de riscos usada pelo ISM tem seis etapas:

  • Definir o sistema
  • Selecionar controles de segurança
  • Implementar controles de segurança
  • Avaliar controles de segurança
  • Autorizar o sistema
  • Monitorar o sistema

Como sempre, controles compensadores adicionais podem ser implementados em uma base gerenciada por risco por agências individuais antes da autorização da agência e do uso subsequente desses serviços de nuvem.

A avaliação irap dos serviços e operações de nuvem da Microsoft ajuda a fornecer garantia aos clientes do setor público no governo e seus parceiros de que a Microsoft tem controles de segurança apropriados e eficazes em vigor para o processamento, armazenamento e transmissão de dados classificados até e incluindo o nível de PROTECTED. Esta avaliação inclui a maioria dos dados governamentais, de saúde e de educação na Austrália.

Plataformas e serviços em nuvem no escopo da Microsoft

Azure, Dynamics 365 e IRAP

Para obter mais informações sobre o Azure, Dynamics 365 e outras serviços online conformidade, consulte a oferta do IRAP do Azure.

Office 365 e IRAP

ambientes Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Esta seção aborda os seguintes ambientes de Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
Comercial Exchange Online, Proteção do Exchange Online, Formulários, Microsoft Teams, Office 365 Portal do Cliente, Office Online, Infraestrutura de Serviço do Office, OneDrive for Business, Planner, SharePoint Online, Skype for Business, Quadro de Dados, Viva Engage

Perguntas frequentes

A quem o IRAP se aplica?

O IRAP se aplica a todas as agências governamentais federais, estaduais e locais australianas que usam serviços de nuvem. As agências governamentais da Nova Zelândia exigem conformidade com um padrão semelhante ao ISM do governo australiano, portanto, também podem usar as avaliações do IRAP.

Posso usar a conformidade da Microsoft no processo de avaliação e aprovação de risco da minha organização?

Sim. Se sua organização exigir ou estiver buscando uma aprovação para operar de acordo com o ISM, você poderá usar as avaliações de segurança do IRAP do Azure, Dynamics 365, Microsoft Managed Desktop e Office 365 em sua avaliação de risco. No entanto, você é responsável por contratar um assessor para avaliar sua implementação como implantada nas plataformas da Microsoft e para os controles e processos em sua própria organização.

Por onde começo com a avaliação de risco e a aprovação da minha organização para operar?

É recomendável que você leia as diretrizes de Avaliações de Segurança na Nuvem do ACSC.

Use o Microsoft Purview Compliance Manager para avaliar seu risco

O Microsoft Purview Compliance Manager é um recurso no portal de conformidade do Microsoft Purview para ajudá-lo a entender a postura de conformidade da sua organização e tomar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos