Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

IRAP-naleving | Australische cyberbeveiligingsstandaard

Startpagina Woordenlijst IRAP | Australische Cybersecurity-norm

Wat is het Information Security Registered Assessors Program? Wat betekent het om te voldoen aan IRAP? Lees verder om erachter te komen.

Wat is IRAP? Information Security Registered Assessors Program (IRAP)-beoordelaars ondersteunen bedrijven die werkzaamheden uitvoeren voor de Australische overheid door onafhankelijk hun beveiligingsstatus te beoordelen, risico’s te identificeren en maatregelen ter beperking voor te stellen. Dit helpt ervoor te zorgen dat deze bedrijven over de juiste beleidsmaatregelen en controles beschikken om te voldoen aan de vereisten van het Australian Government Information Security Manual.

IRAP | Australische Cybersecurity-norm

Wat is IRAP?

Australië heeft, net als andere landen, belangrijke wetten en regelgeving op het gebied van cyberbeveiliging geïmplementeerd om de toenemende uitdagingen van hacking, fraude en door staten gesponsorde aanvallen aan te pakken. Zoals bij elke set regels moeten gekwalificeerde organisaties deze regelgeving beoordelen, zodat zij de wet en de toepassing ervan in de praktijk begrijpen.

Het Information Security Registered Assessors Program is een uniek complianceprogramma dat aantoont dat zowel private als publieke organisaties aan cyberbeveiligingsvereisten kunnen voldoen. Onafhankelijke beoordelaars hanteren twee verschillende sets richtlijnen:

  • De Information Security ManualEen richtlijnendocument dat organisaties helpt interne beveiligingskaders op te bouwen op basis van risicobeoordeling.
  • Het Protective Security Policy Framework (PSPF): Een set regelgeving die geldt voor Australische overheidsinstanties en de nadruk legt op uniforme beveiligingsnormen.

IRAP stelt beleid en procedures vast voor het beoordelen van de beoordelaars aan de hand van deze beveiligingsnormen, zodat er een standaard is voor auditing die hoogwaardige beveiliging waarborgt.

Om IRAP-certificeringen te behalen, moeten aanvragers aan diverse kwalificaties voldoen:

  • Australisch staatsburger zijn
  • Ethisch handelen
  • Voldoen aan alle vereisten om te kunnen solliciteren voor Negative Vetting Level 1 (NV1), wat een “secret”-niveau van clearance biedt

Bovendien moet elke aanvrager kwalificaties kunnen aantonen uit twee verschillende categorieën, één per categorie:

Categorie A Categorie B
Certified Information Systems Security Professional (CISSP) Certified Information Systems Auditor (CISA)
Certified Information Security Manager (CISM) Payment Card Industry Qualified Security Assessor (PCI QSA)
GIAC Security Leader Certification (GSLC) ISO 27001 Lead Auditor
  GIAC Systems and Network Auditor (GSNA)
  Certified in Risk and Information Systems Control (CRISC)

Tot slot moet de beoordelaar vijf jaar ervaring hebben met technische informatie- en communicatietechnologie, waarvan twee jaar ervaring met het beveiligen van systemen volgens de Australische overheidsvoorschriften voor informatiebeveiliging. Daarna moet de beoordelaar de IRAP New Starter Training en de bijbehorende examens afronden.

Zoals uit de tabel blijkt, moet een potentiële IRAP-beoordelaar goed thuis zijn in diverse beoordelingstechnieken en certificeringen. Daarnaast vereist de standaard, naast kennis van de Australische cyberbeveiligingswetgeving, ook inzicht in CISSP, ISO-beoordelingsrichtlijnen, Payment Card Industry (PCI)-beoordelingsnormen en andere kaders.

Compliance and Certification Table

Kiteworks beschikt over een lange lijst van compliance- en certificeringsprestaties.

Voordelen van IRAP-accreditatie

IRAP is een programma dat certificering en accreditatie op het gebied van cyberbeveiliging biedt aan organisaties die met gevoelige informatie werken. IRAP-accreditatie biedt diverse voordelen, waaronder:

1. Meer geloofwaardigheid en vertrouwen met IRAP

IRAP-accreditatie is een erkende en vertrouwde standaard voor cyberbeveiliging. Organisaties die geaccrediteerd zijn, worden erkend als organisaties die hoge normen voor informatiebeveiliging hanteren.

2. Naleving van regelgeving met IRAP

IRAP-accreditatie helpt organisaties te voldoen aan overheidsregelgeving en industrienormen, zoals de Australian Government Information Security Manual (ISM) of de Payment Card Industry Data Security Standard (PCI DSS).

3. Beter risicobeheer met IRAP

IRAP-accreditatie omvat een grondig risicobeoordelingsproces dat organisaties helpt potentiële cyberbeveiligingsrisico’s te identificeren en te beheren.

4. Verbeterde beveiligingsstatus met IRAP

IRAP-accreditatie helpt organisaties hun beveiligingsstatus te verbeteren door zwakke plekken te identificeren en beveiligingsmaatregelen aan te bevelen en te implementeren.

5. Competitief voordeel met IRAP

IRAP-accreditatie kan organisaties een competitief voordeel geven bij het inschrijven op contracten die een hoog niveau van informatiebeveiliging vereisen. Het toont ook aan klanten en partners aan dat een organisatie databeveiliging serieus neemt.

6. Kostenbesparing met IRAP

IRAP-accreditatie kan op de lange termijn tot kostenbesparingen leiden door beveiligingsincidenten te voorkomen en de bijbehorende kosten van datalekken te vermijden.

7. Toegang tot overheidsopdrachten met IRAP

IRAP-accreditatie is een vereiste voor organisaties die willen samenwerken met de Australische overheid of met organisaties die ISM-naleving vereisen.

Al met al kan IRAP-accreditatie organisaties helpen een sterk cyberbeveiligingskader op te bouwen, vertrouwen te creëren bij stakeholders en te voldoen aan regelgeving en industrienormen.

Wat is de Information Security Manual?

Een belangrijk onderdeel waar een IRAP-beoordelaar op let, is de naleving van de ISM. De kern van de ISM is organisaties te helpen een cyberbeveiligingskader te implementeren op basis van risicobeheerpraktijken.

De ISM is vastgelegde cyberbeveiligingsadvies van het Australian Cyber Security Centre, onderdeel van de Australian Signals Directorate, gericht op chief information security officers en chief information officers in bedrijven en andere organisaties. ISM is niet wettelijk verplicht, tenzij de organisatie samenwerkt met de overheid of in een andere hoedanigheid waarbij de wet hen verplicht zich aan de ISM-richtlijnen te houden.

De ISM biedt richtlijnen voor een breed scala aan IT- en cyberbeveiligingsinfrastructuur. Net als het National Institute of Standards and Technology in de Verenigde Staten, behandelt de ISM richtlijnen voor beveiliging op de volgende gebieden:

Rollen in ISM

Behandelt hoe organisaties functies op het gebied van cyberbeveiliging invullen en onderhouden—vooral de CISO.

Incident Response in ISM

Gaat over hoe de organisatie hacks of datalekken detecteert, beheert en rapporteert.

Uitbesteding in ISM

Behandelt hoe een organisatie externe diensten zoals cloudinfrastructuur en applicaties veilig selecteert en implementeert.

Documentatie in ISM

Heeft betrekking op hoe een organisatie beveiligingsplannen, beleid en implementaties documenteert.

Fysieke beveiliging in ISM

Behandelt hoe organisaties fysieke middelen zoals datacenters, werkplekken, kantoren en IT-apparatuur fysiek beveiligen.

Personeelsbeveiliging in ISM

Behandelt hoe veilig en zorgvuldig personeel wordt aangenomen, ingewerkt, getraind, toegang krijgt en uit dienst treedt.

Communicatie-infrastructuur in ISM

Heeft betrekking op hoe de organisatie communicatietechnologie installeert en beschermt, met name bekabeling en Wi-Fi/RF-communicatie.

Communicatiesystemen in ISM

Behandelt hoe organisaties communicatietechnologie zoals telefoons, videoconferencing, faxapparaten en digitale VoIP-diensten beveiligen.

Enterprise Mobility in ISM

Geeft aan hoe organisaties het gebruik van IT-systemen op mobiele apparaten beveiligen, hoe die apparaten beveiligd zijn en hoe deze worden ingericht.

Systeembeheer in ISM

Behandelt hoe een organisatie gebeurtenissen in een systeem logt, waaronder incidenten, en logs veilig bewaart voor rapportage en forensisch onderzoek.

Databasesystemen in ISM

Gaat over het beheer en de beveiliging van databases en de selectie van databaseplatforms.

E-mail in ISM

Heeft betrekking op het gebruik van beveiligde e-mailplatforms, beveiligde e-mail met encryptie en het vermijden van het delen van gevoelige informatie via e-mail.

Cryptografie in ISM

Behandelt de minimaal goedgekeurde vereisten voor cryptografie, inclusief het gebruik van Transport Layer Security (TLS), Secure Shell en S/MIME.

Voor een volledige lijst van richtlijnen, bekijk de kern-ISM-documentatie.

Wat is een IRAP-beoordeling?

Een IRAP-beoordeling is verplicht en toegestaan onder de ISM voor organisaties die 1) wettelijk verplicht zijn om ISM-certificering te behalen of 2) als een organisatie certificering wil behalen buiten wettelijke vereisten om.

Over het algemeen zijn IRAP-beoordelingen opgedeeld in twee fasen:

Fase 1 in een IRAP-beoordeling

De beoordelaar overlegt met de beoordeelde partij om de scope van de beoordeling te bepalen, hun IT-systemen te begrijpen en een reeks documenten te beoordelen die relevant zijn voor de beoordeling, waaronder:

  • Een overkoepelend Information Security Policy en Threat Risk Assessment
  • Een Systeembeveiligingsplan
  • Een Beheerplan voor beveiligingsrisico’s
  • Een Incident Response Plan
  • Een document met standaard operationele procedures

Bovendien onderzoekt de beoordelaar de IT-infrastructuur van de organisatie in relatie tot deze documenten en de scope van de beoordeling, waarbij naleving of het ontbreken daarvan wordt benadrukt en manieren worden gedocumenteerd om systemen die niet aan de vereisten voldoen te verbeteren.

Fase 2 in een IRAP-beoordeling

Hoewel Fase 1 vrij grondig is, gaat Fase 2 nog dieper in op de IT-systemen van de organisatie. Dit omvat een locatiebezoek waarbij de beoordelaar personeel interviewt, de daadwerkelijke systeemimplementatie onderzoekt, fysieke beveiligingsmaatregelen controleert en in het algemeen bepaalt of de feitelijke situatie overeenkomt met de documentatie uit Fase 1. Daarnaast levert de beoordelaar een Fase 2 Security Assessment-rapport op dat de status van het systeem beschrijft en verdere suggesties voor herstel bevat.

Verschillende categorieën gegevens vereisen grondigere beoordelingen op basis van hun classificatie.

Laatste wijzigingen in IRAP

De Australian Signals Directorate (ASD) heeft een onafhankelijk onderzoek naar het programma uitgevoerd en op 15 december 2020 een bijgewerkt beleid en nieuwe IRAP Assessor Training uitgebracht. De wijzigingen zijn doorgevoerd om de kwaliteit van het cyberbeveiligingsadvies van IRAP-beoordelaars te verbeteren en het bestuur te versterken, zodat er extra zekerheid is dat beoordelaars hun rol als onafhankelijke derde partij goed uitvoeren.

Een van de belangrijkste wijzigingen is de eis dat IRAP-beoordelaars hun kennis van cyberbeveiliging up-to-date moeten houden en aantonen. Dit zorgt ervoor dat het advies van beoordelaars accuraat, relevant en een weerspiegeling is van de nieuwste dreigingen en trends in de sector. Daarnaast moeten IRAP-beoordelaars beschikken over een Negative Vetting Level 1-beveiligingsverklaring, wat hun geschiktheid voor de rol verder waarborgt.

De vernieuwde vijfdaagse IRAP-training behandelt zowel IRAP- als ISM-basisprincipes en biedt een compleet overzicht van het programma en de vereiste normen. Het bijgewerkte IRAP-beleid en de training zijn samen met de overheid en vertegenwoordigers uit het bedrijfsleven ontworpen via een reeks consultatieve forums om de cultuur en het bestuur van het programma te verbeteren.

Tegelijk met de introductie van het bijgewerkte beleid en de IRAP Assessor Training accepteert ASD nu aanmeldingen voor IRAP-beoordelaars. Huidige IRAP-beoordelaars krijgen 24 maanden de tijd om aan de nieuwe vereisten uit het bijgewerkte beleid te voldoen.

Kiteworks IRAP-naleving volgens de Australische cyberbeveiligingsnorm

De Australische overheid erkent de dreigingen voor de toeleveringsketen van federale en deelstaatagentschappen, en IRAP speelt een belangrijke rol om ervoor te zorgen dat technologieaanbieders en leveranciers technologieën gebruiken die voldoen aan strikte governance- en beveiligingsnormen. Kiteworks is de enige wereldwijde leverancier in de markt voor gevoelige contentcommunicatie die IRAP-beoordeeld is op PROTECTED-niveau controles.

Voor federale en deelstaatagentschappen in Australië, evenals bedrijven die zaken doen met de Australische overheid, helpt Kiteworks ervoor te zorgen dat zij controle houden over de privacy van hun data die wordt gehost in single-tenant clouds. Het resultaat is dat er geen vermenging is van data, metadata of gedeelde applicatiebronnen. Kiteworks maakt ook risicobeheer door derden (TPRM) mogelijk door ervoor te zorgen dat gevoelige contentcommunicatie met derden wordt beschermd en beheerd volgens voorgeschreven beleidsregels.

IRAP-naleving is slechts één van de vele wereldwijde compliance-standaarden waaraan Kiteworks voldoet, waaronder FedRAMP, General Data Protection Regulation (GDPR), SOC 2, Cybersecurity Maturity Model Certification (CMMC), Federal Information Processing Standard (FIPS), en meer. Het single pane of glass van Kiteworks via het CISO Dashboard biedt organisaties realtime inzicht in welke vertrouwelijke content wordt geraadpleegd en door wie, met wie het wordt gedeeld en overgedragen, via welke communicatiekanalen, en wanneer dit plaatsvindt.

Plan een aangepaste demo van Kiteworks om te zien hoe het werkt en meer te weten te komen over de IRAP-beoordeling van Kiteworks op PROTECTED-niveau controles.

Terug naar Risk & Compliance Glossary

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks