Australian koulutus-, taito- ja työllisyysministeriö (DESE) perustettiin RFFR (Right Fit for Risk) vuoden 2019 lopulla. Tämän sertifiointiohjelman tavoitteena on varmistaa, että palveluntarjoajat, kuten oppilaitokset, täyttävät DESE:n tietoturvasopimusvaatimukset.
RFFR-järjestelmän tarkoituksena on täydentää ISO/IEC 27001 -standardin perusvaatimuksia Australian hallituksen asettamilla lisävalvontatoimilla. Tietoturvakäsikirja (ISM) kehittyvien laki-, turvallisuus- ja teknisten vaatimusten kanssa tietoturvan hallintajärjestelmä (ISMS) palveluntarjoajille.
Sinun tulisi myös kehittää a SoA (SoA) joka ottaa huomioon yrityksesi ainutlaatuiset turvallisuusriskit ja -vaatimukset sekä Australian tietoturvakäsikirjassa kuvattujen suojatoimien sovellettavuuden. RFFR-ydinelementit tulee ottaa huomioon, kuten Australian kyberturvallisuuskeskuksen Essential Eight tekniikat, tietosuvereniteetit ja henkilöstön turvallisuus.
DESE on velvoittanut organisaatiot noudattamaan tietoturvallisuuden hallintajärjestelmänsä (ISMS) -järjestelmää, jolloin ne tunnustetaan DESE ISMS:ksi.
ISMS tarjoaa työkalut, joita tarvitset yrityksesi tietojen suojaamiseen ja hallintaan tehokkaan riskienhallinnan avulla.
Se mahdollistaa monien lakien, asetusten ja sertifiointijärjestelmien noudattamisen ja keskittyy kolmen tiedon suojaamiseen. Luottamuksellisuus, eheys ja saatavuus.
ISO 27001 on maailmanlaajuisesti tunnustettu, yleinen standardi. Se luotiin auttamaan organisaatioita suojaamaan tietojaan tehokkaasti ja järjestelmällisesti.
Se tarjoaa mille tahansa organisaatiolle koosta tai toimialasta riippumatta kyberturvallisuuskehyksen ja lähestymistavan tärkeimpien tietoresurssien suojaamiseen.
Integroitu hallintajärjestelmämme sisältää riskienhallintatyökalut ja valmiiksi määritetyn riskipankin, jonka avulla voit ottaa käyttöön, mukauttaa ja täydentää ISO 27001 -standardin liitteen A yrityksesi vaatimusten mukaisesti.
ISMS.online-riskikarttatyökalu tarjoaa täydellisen ylhäältä alas -näkymän organisaatioriskeistä. Se kartoittaa riskitekijät ja mahdollisuudet organisaatiosi strategisiin päämääriin ja tavoitteisiin. Mahdollistaa perusteellisen aukkoanalyysin tekemisen.
Lisäksi ISMS.online mahdollistaa organisaatiosi tietoturvariskien, asennon ja ISO 27001 -yhteensopivuuden seurannan. Älykäs kojelauta on intuitiivinen ja käytettävissä verkkoselaimen kautta, joten voit tarkastella tietoturvatilannettasi milloin tahansa ja missä tahansa.
RFFR ISMS -sertifiointiprosessin aikana auditoijat tutkivat järjestelmäsi ja sitä tukevat asiakirjat. Organisaatioiden on siis kirjauduttava sisään kolmessa keskeisessä akkreditointiprosessissa.
Palveluntarjoajat voivat käyttää virstanpylväitä määrittääkseen organisaationsa nykyisen kyberturvallisuuden tason ja tunnistaakseen kehittämiskohteita.
Palveluntarjoajat ja alihankkijat luokitellaan luokkiin saadakseen akkreditoinnin käyttämällä Right Fit For Risk (RFFR) -lähestymistapaa.
Kun tiedät, mikä luokka koskee sinua, sinun on otettava huomioon seuraavat riskitekijät (muiden joukossa):
| Kategoria | Luokka 1 | Luokka 2A | Luokka 2B |
|---|---|---|---|
| Vuotuinen tapausmäärä | 2,000 tai useamman | alle 2,000 | alle 2,000 |
| Riskiprofiili | Suurempi riski | Keskiriski | Pieni riski |
| Akkreditoinnin perusteet | ISO 27001 -standardin mukainen ISMS (Information Security Management System) – itsenäisesti sertifioitu | ISO 27001 -standardin mukainen ISMS – itsearvioitu | Johdon väitekirje |
| Akkreditoinnin ylläpito | Vuosittainen valvonta-auditointi ja kolmivuotinen uudelleensertifiointi | Vuosittainen itsearviointi | Vuotuinen johdon vahvistuskirje |
| Virstanpylväät suoritettavana | 1, 2 ja 3 | 1,2 ja 3 | 1 ja 3 |
Ensimmäinen virstanpylväs ja askel tulisi aina olla liiketoiminnan kypsyysarviointi. Australian Signals Directorate (ASD) Essential Eight -kypsyysmalli määrittää, kuinka organisaatiosi käyttää tietoja ja hallitsee turvallisuutta. Organisaatiosi tietoturvan alkukypsyys arvioidaan ASD Essential Eight -kypsyysmallilla.
Toisen virstanpylvään saavuttamiseksi tarvitset mukautetun tietoturvan hallintajärjestelmän täyden ISO 2 -yhteensopivuuden ja akkreditoinnin lisäksi.
Tarvitset myös soveltuvuusselvityksen (SoA) virstanpylväässä 2. ISO 27001 -lauseke 6.1.3 huomauttaa SoA:n tarpeellisuudesta, joka voidaan tulkita löyhästi tarkistuslistaksi 114-suojauksen valvontaa varten, joka on suunniteltu käsittelemään tiettyjä organisaatioon kohdistuvia riskejä.
Sinun on osoitettava, että ISMS ja ISO 27001 ohjaavat (soveltuvin osin organisaatioon) on otettu tehokkaasti käyttöön virstanpylvään 3 saavuttamiseksi.
Ota selvää, kuinka helppoa sinun on hallita
RFFR:n noudattaminen ISMS.online-sivustolla
Varaa esittelysi
Organisaation ja kaikkien sen alihankkijoiden, joilla on RFFR-akkreditointi, on säilytettävä sertifiointiasemansa toimittamalla vuosiraportit ja valvottava RFFR-standardien noudattamista.
Organisaation, jolla on olemassa oleva akkreditointi, on suoritettava vuosi- ja kolmivuotistarkastukset akkreditoinnin myöntämispäivien mukaan.
| Akkreditointityyppi | Vuosittain | 3 vuoden välein |
|---|---|---|
| Sertifioitu ISMS (luokan 1 palveluntarjoajat ja kolmannen osapuolen työllisyys- ja taitojärjestelmän toimittajat) | Sertifioivan arviointielimen (CAB) suorittama valvontatarkastus tai laajuuden muutostarkastus, joka kattaa palveluntarjoajan tai TPES-toimittajan päivitetyn SoA:n | Vaatimustenmukaisuuden arviointielinten (CAB) uudelleensertifiointi
Palveluntarjoajan tai TPES-toimittajan uudelleenakkreditointi DESE:ltä |
| Itsearvioitu ISMS (luokan 2A tarjoajat) | Itsearviointiraportti (mukaan lukien kuvaus viimeisimmän raportin jälkeen tehdyistä muutoksista), joka kattaa Palveluntarjoajan päivitetyn SoA:n
DESE määrittää, onko tarpeen skaalata sertifioituun ISMS:ään | Itsearviointiraportti DESE:n uudelleenakkreditointi |
| Johdon todistus (luokan 2B tarjoajat) | Vuosittainen johdon vakuutuskirje (sisältää kuvaus viimeisimmän todistuksen jälkeen tehdyistä muutoksista)
DESE määrittää, onko tarvetta skaalata itsearvioituun ISMS:ään | Johdon väitekirje DESE:n uudelleenakkreditointi |
RFFR-lähestymistapa edellyttää, että luot ja ylläpidät joukon ydinturvastandardeja, jotta voit ylläpitää ja parantaa turva-asentasi.
Australian Essential Eight Cyber Security -strategiat ja keskeiset odotukset auttavat organisaatiotasi luomaan vankan tietoturvakehyksen.
RFFR-vaatimusten mukaan sinulla on tiettyjä prosesseja, joita sinun on noudatettava, kun palkkaat uusia ihmisiä:
Organisaatioiden on varmistettava, että fyysiset turvatoimenpiteet minimoivat riskin, että tiedot ja fyysiset omaisuudet ovat:
Kaikkien organisaatioiden on täytettävä fyysiset turvallisuusvaatimukset. Tilojen on oltava kaupallisia ja sijaittava Australiassa. Kotoa työskentely edellyttää, että organisaatiot varmistavat, että kotiympäristö on yhtä turvallinen kuin toimistoympäristö, kun se suojaa henkilöstöä, ohjelmatietoja ja IT-laitteita.
Organisaatioiden tulee toteuttaa tietoturvatoimenpiteitä kyberturvallisuuden varmistamiseksi, mukaan lukien "Essential Eight" -kyberturvallisuusstrategiat, tietoturvariskien hallinta, tietoturvan seuranta, kyberturvallisuushäiriöiden hallinta ja rajoitettu pääsy.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Auttaakseen organisaatioita saamaan tietoturvansa kuntoon, The Australian Cyber Security Center (ACSC) kehitti "Essential Eight" -strategiat suojellakseen yrityksiä.
Organisaation kyberturvallisuusriskiprofiili on määritettävä ja suunnitelmat on laadittava tavoitetasojen saavuttamiseksi jokaiselle Essential Eight -kyberturvallisuusstrategialle.
On tärkeää huomata, että Essential Eight on pakollinen kaikille Australian liittovaltion virastoille ja osastoille.
Luvattomien ohjelmien suorittaminen järjestelmässäsi estetään hallitsemalla niiden suoritusta. Tämä estää tuntemattomia ja mahdollisesti haitallisia ohjelmia suorittamasta järjestelmässäsi.
Sovelluksia voidaan käyttää hyväksi haitallisen koodin suorittamiseen, jos niissä on tunnettuja tietoturva-aukkoja. Ympäristön suojaaminen edellyttää uusimpien sovellusten versioiden käyttöä ja korjaustiedostojen asentamista heti haavoittuvuuksien havaitsemisen jälkeen.
Vain luotetuista sijainneista, joilla on rajoitettu kirjoitusoikeus, tai ne, jotka on allekirjoitettu luotetulla varmenteella, saa suorittaa makroja. Tämä strategia estää Microsoft Office -makrojen toimittaman haitallisen koodin.
Haavoittuvat toiminnot on suojattava poistamalla tarpeettomat ominaisuudet Microsoft Officesta, verkkoselaimista ja PDF-katseluohjelmista. Flash, mainokset ja Java-sisältö ovat yleisiä välineitä haitallisen koodin toimittamiseen.
Järjestelmänvalvojatileillä on avaimet IT-infrastruktuuriisi, ja siksi niihin on rajoitettu pääsy. Järjestelmänvalvojatilien lukumäärä ja kullekin tilille myönnetyt oikeudet tulisi minimoida.
Käyttöjärjestelmät voivat edelleen vaarantua tunnettujen tietoturva-aukkojen vuoksi. On tärkeää korjata nämä ongelmat heti, kun ne havaitaan. Voit rajoittaa kyberturvaloukkausten laajuutta käyttämällä uusimpia käyttöjärjestelmiä ja asentamalla tietoturvakorjauksia heti, kun ne havaitaan. Vältä vanhentuneiden käyttöjärjestelmien käyttöä.
Vahva käyttäjän todennus vaikeuttaa hyökkääjien pääsyä tietoihin ja järjestelmiin. MFA vaatii kahden tai useamman tekijän yhdistelmän, mukaan lukien salaiset tiedot (kuten salasanan ja tunnuksen yhdistelmä), tietoihin sidotun fyysisen laitteen (kuten sormenjälkipohjaisen todennussovelluksen rekisteröidyssä älypuhelimessa tai kertaluonteisen tekstiviestikoodin) ja tietoihin sidottu fyysinen henkilö (kuten kasvojentunnistus tai sormenjälki).
Varmuuskopiointistrategiaa käytetään kriittisten tietojen ja järjestelmien säilyttämiseen. Tämä strategia varmistaa, että tietoihin pääsee käsiksi kyberturvallisuushäiriön jälkeen.
Tiedot, ohjelmistot ja kokoonpanoasetukset varmuuskopioidaan ja tallennetaan erillään pääympäristöstäsi. Varmuuskopiot testataan rutiininomaisesti sen varmistamiseksi, että ne voidaan palauttaa ja että kaikki tärkeät tiedot sisältyvät varmuuskopiointiohjelmaan.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Organisaation tulee kehittää tietoturvaloukkausten hallintaan muodollinen lähestymistapa, joka noudattaa Information Security Manual (ISM) -suosituksia.
Organisaation tietoturvapäällikkö, tietoturvapäällikkö, kyberturvallisuuden ammattilainen tai tietotekniikkapäällikkö voi ISM:n avulla kehittää kyberturvallisuuden viitekehyksen, joka suojaa tietojaan ja järjestelmiään kyberuhkilta.
Asianmukaiset vaaratilanteiden havaitsemis- ja reagointimekanismit tulisi ottaa käyttöön kybervälikohtausten kirjaamiseksi ja raportoimiseksi sisäisille ja ulkoisille sidosryhmille.
Organisaatioiden on tärkeää muistaa, että ne ovat edelleen vastuussa siitä, että heidän puolestaan palveluja tarjoavat alihankkijat täyttävät, noudattavat ja ylläpitävät organisaation turvallisuusstandardeja.
Organisaation tulee tiedostaa, että organisaatiolle tai sen puolesta palveluja tarjoavilla ulkopuolisilla osapuolilla voi olla mahdollisuus päästä käsiksi tiloihin, järjestelmiin tai tietoihin, jotka vaativat suojaa. Organisaatioiden on varmistettava, että RFFR-turvavaatimukset ovat paikoillaan ja toimivat oikein koko toimitusketjussa.
Yrityksen, joka käyttää kolmannen osapuolen sovellusta tai pilvipalvelua luottamuksellisten tietojen käsittelyyn, tallentamiseen tai levittämiseen, on varmistettava, että järjestelmä on suojattu ennen sen käyttöönottoa. Ennen minkään kolmannen osapuolen ohjelmiston tai palvelun käyttöä organisaatioiden on arvioitava riskit itse ja otettava käyttöön asianmukaiset suojaustoimenpiteet.
ISMS.online voi auttaa sinua täyttämään organisaatiosi tietoturva- ja vaatimustenmukaisuusvaatimukset auttamalla sinua tietoturvan toteutuksessa ja arvioimaan tietoturvapuutteitasi ja tietoturvaprosessejasi.
Autamme sinua saavuttamaan RFFR ISMS -tavoitteesi, ja tärkeimpiä etujamme ovat:
Ota selvää kuinka helppoa se on ISMS.onlinen avulla – varaa esittely.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Siirron jälkeen olemme pystyneet vähentämään hallintoon käytettyä aikaa.
