Australias Department of Education, Skills and Employment (DESE) opprettet RFFR (Right Fit for Risk) på slutten av 2019. Dette sertifiseringsprogrammet har som mål å sikre at tilbydere, som utdanningsinstitusjoner, oppfyller DESEs kontraktsmessige krav til informasjonssikkerhet.
RFFR-ordningen tar sikte på å supplere ISO/IEC 27001s grunnlinjekrav med ytterligere kontroller fastsatt av den australske regjeringens Informasjonssikkerhetsmanual (ISM) med de utviklende juridiske, sikkerhets- og tekniske kravene til styringssystem for informasjonssikkerhet (ISMS) for leverandører.
Du bør også utvikle en Anvendelseserklæring (SoA) som vurderer bedriftens unike sikkerhetsrisikoer og -krav og anvendeligheten av sikkerhetstiltak som er beskrevet i Australian Information Security Manual. RFFR kjerneelementer bør tas i betraktning, som Australian Cyber Security Centres Essential Eight teknikker, datasuverenitet og personellsikkerhet.
DESE har gitt mandat at organisasjoner må være i samsvar med deres informasjonssikkerhetsstyringssystem (ISMS), og dermed bli anerkjent som et DESE ISMS.
Et ISMS gir verktøyene du trenger for å sikre og administrere bedriftens informasjon gjennom effektiv risikostyring.
Den muliggjør overholdelse av mange lover, forskrifter og sertifiseringsordninger og fokuserer på å beskytte tre nøkkelaspekter ved informasjon; Konfidensialitet, integritet og tilgjengelighet.
ISO 27001 er en globalt anerkjent, universell standard. Den ble opprettet for å hjelpe organisasjoner med å beskytte informasjonen sin effektivt og systematisk.
Det gir enhver organisasjon, uavhengig av størrelse eller sektor, et rammeverk for cybersikkerhet og en tilnærming til å beskytte dine viktigste informasjonsressurser.
Vårt integrerte styringssystem inkluderer risikostyringsverktøy og en forhåndsutfylt risikobank, som lar deg ta i bruk, tilpasse og legge til ISO 27001 vedlegg A i henhold til bedriftens krav.
ISMS.online risikokartverktøyet gir en fullstendig ovenfra og ned oversikt over organisasjonsrisiko. Den kartlegger risikofaktorene og mulighetene i organisasjonens strategiske mål og mål. Gir deg mulighet til å gjennomføre en grundig gapanalyse.
I tillegg tillater ISMS.online overvåking av organisasjonens informasjonssikkerhetsrisikoer, holdning og ISO 27001-samsvar. Det intelligente dashbordet er intuitivt og tilgjengelig via en nettleser, slik at du kan se informasjonssikkerhetsstatusen din når som helst og hvor som helst.
Under RFFR ISMS-sertifiseringsprosessen vil revisorer undersøke systemene dine og støttedokumentasjonen. Dermed må organisasjoner sjekke inn ved tre viktige milepæler gjennom akkrediteringsprosessen.
Leverandører kan bruke milepælene til å bestemme organisasjonens nåværende cybersikkerhetsnivå og identifisere områder for forbedring.
Leverandører og underleverandører er klassifisert i kategorier for å oppnå akkreditering ved hjelp av Right Fit For Risk (RFFR) tilnærmingen.
Å finne ut hvilken kategori som gjelder for deg vil bety at du må vurdere følgende risikofaktorer (blant andre):
| Kategori | Kategori 1 | Kategori 2A | Kategori 2B |
|---|---|---|---|
| Årlig saksbelastning | 2,000 eller mer | Under 2,000 | Under 2,000 |
| Risikoprofil | Større risiko | Middels risiko | Lav risiko |
| Grunnlag for akkreditering | ISO 27001 i samsvar med ISMS (Information Security Management System) – uavhengig sertifisert | ISO 27001 i samsvar med ISMS – selvvurdert | Ledelsens påstandsbrev |
| Vedlikehold av akkreditering | Årlig overvåkingsrevisjon og treårig resertifisering | Årlig egenvurdering | Årlig ledelsespåstandsbrev |
| Milepæler å fullføre | 1, 2 og 3 | 1,2 og 3 | 1 og 3 |
Den første milepælen og trinnet bør alltid være en vurdering av forretningsmodenhet. Australian Signals Directorate (ASD) Essential Eight modenhetsmodell bestemmer hvordan organisasjonen din bruker informasjon og administrerer sikkerhet. Organisasjonens innledende informasjonssikkerhetsmodenhet vurderes mot ASD Essential Eight-modenhetsmodellen.
For å nå milepæl 2 trenger du et tilpasset styringssystem for informasjonssikkerhet i tillegg til full ISO 27001-overholdelse og akkreditering.
Du vil også trenge en erklæring om anvendelighet (SoA) under milepæl 2. ISO 27001 klausul 6.1.3 bemerker behovet for SoA, som løst kan forstås som en sjekkliste for de 114 sikkerhetskontrollene designet for å adressere spesifikke risikoer for en organisasjon.
Du må demonstrere at ISMS og ISO 27001 kontrollerer (der det er relevant for organisasjonen) har blitt implementert effektivt for å passere milepæl 3.
Finn ut hvor enkelt det er å administrere din
samsvar med RFFR på ISMS.online
Bestill demoen din
En organisasjon og alle dens underleverandører som er RFFR-akkreditert må beholde sin sertifiseringsstatus ved å sende inn årsrapporter og overvåkes for overholdelse av RFFR-standarder.
En organisasjon med eksisterende akkreditering må gjennomføre de årlige og treårige revisjonene i henhold til datoene da akkrediteringen ble tildelt.
| Akkrediteringstype | Årlig | Hvert 3. år |
|---|---|---|
| Sertifisert ISMS (Kategori 1-leverandører og tredjeparts leverandører av sysselsetting og ferdigheter) | Overvåkingsrevisjon eller endring av omfangsrevisjon av sertifiserende vurderingsorgan (CAB) som dekker leverandørens eller TPES-leverandørens oppdaterte SoA | Resertifisering av CAB (Konformitetsvurderingsorganer)
Reakkreditering av leverandør eller TPES-leverandør av DESE |
| Selvvurdert ISMS (Kategori 2A-leverandører) | Egenvurderingsrapport (inkl. beskrivelse av endringer siden forrige rapport) som dekker Leverandørens oppdaterte SoA
DESE avgjør om det er nødvendig å oppskalere til en sertifisert ISMS | Egenvurderingsrapport Reakkreditering av DESE |
| Administrasjonsattest (kategori 2B-leverandører) | Årlig Management Assertion Letter (inkl. beskrivelse av endringer siden siste attestasjon)
DESE avgjør om det er nødvendig å oppskalere til et selvvurdert ISMS | Ledelsens påstandsbrev Reakkreditering av DESE |
RFFR-tilnærmingen krever at du etablerer og vedlikeholder et sett med kjernesikkerhetsstandarder for å opprettholde og forbedre din sikkerhetsstilling.
De australske Essential Eight Cyber Security-strategiene og kjerneforventningene vil hjelpe organisasjonen din med å skape et robust sikkerhetsrammeverk.
Under RFFR-kravene har du visse prosesser du må følge når du ansetter nye personer:
Organisasjoner må sørge for at fysiske sikkerhetstiltak minimerer risikoen for at informasjon og fysiske eiendeler blir:
Alle organisasjoner må oppfylle fysiske sikkerhetskrav. Fasilitetene må være av kommersiell kvalitet og lokalisert i Australia. Å jobbe hjemmefra krever at organisasjoner sikrer at hjemmemiljøet er like sikkert som kontormiljøet når det gjelder å beskytte ansatte, programdata og IT-maskinvare.
Organisasjoner må implementere sikkerhetstiltak for å sikre cybersikkerhet, inkludert "Essential Eight" cybersikkerhetsstrategier, informasjonssikkerhetsrisikostyring, informasjonssikkerhetsovervåking, håndtering av cybersikkerhetshendelser og begrenset tilgangskontroll.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
For å hjelpe organisasjoner med å få orden på informasjonssikkerheten har The Australian Cyber Security Center (ACSC) utviklet «Essential Eight»-strategiene for å beskytte bedrifter.
En organisasjons cybersikkerhetsrisikoprofil må bestemmes, og det må utvikles planer for å oppnå målnivåer for hver av de Essential Eight cybersikkerhetsstrategiene.
Det er viktig å merke seg at Essential Eight vil være obligatorisk for alle australske føderale myndigheter og avdelinger.
Uautoriserte programmer forhindres fra å kjøre på systemet ditt ved å kontrollere kjøringen. Dette forhindrer ukjente og potensielt skadelige programmer fra å kjøre på systemet ditt.
Apper kan utnyttes til å kjøre skadelig kode hvis de har kjente sikkerhetssårbarheter. Å holde miljøet ditt sikkert krever at du bruker den nyeste versjonen av applikasjoner og installerer oppdateringer umiddelbart etter at sårbarheter er identifisert.
Bare makroer fra klarerte steder med begrenset skrivetilgang eller de som er signert med et klarert sertifikat vil tillates å kjøre. Denne strategien blokkerer ondsinnet kode levert av Microsoft Office-makroer.
Sårbar funksjonalitet må beskyttes ved å fjerne unødvendige funksjoner i Microsoft Office, nettlesere og PDF-lesere. Flash, annonser og Java-innhold er vanlige midler for å levere ondsinnet kode.
Administratorkontoer har nøklene til IT-infrastrukturen din og krever derfor begrenset tilgang. Antallet administratorkontoer og rettighetene som er gitt til hver enkelt, bør minimeres.
Operativsystemer kan bli ytterligere kompromittert gjennom kjente sikkerhetssårbarheter. Det er viktig å utbedre disse problemene så snart de er identifisert. Du kan begrense omfanget av cybersikkerhetsbrudd ved å bruke de nyeste operativsystemene og bruke sikkerhetsoppdateringer så snart de er identifisert. Unngå å bruke utdaterte operativsystemer.
Sterk brukerautentisering gjør det vanskeligere for angripere å få tilgang til informasjon og systemer. MFA krever en kombinasjon av to eller flere faktorer, inkludert hemmelig informasjon (som passord og ID-kombinasjon), en databundet fysisk enhet (som en fingeravtrykkbasert autentiseringsapp på en registrert smarttelefon eller en engangs-SMS-kode) , og en databundet fysisk person (som ansiktsgjenkjenning eller fingeravtrykk).
En backup-strategi brukes for å bevare kritiske data og systemer. Denne strategien sikrer at informasjon er tilgjengelig etter en cybersikkerhetshendelse.
Data, programvare og konfigurasjonsinnstillinger sikkerhetskopieres og lagres separat fra hovedmiljøet ditt. Sikkerhetskopiene testes rutinemessig for å sikre at de kan gjenopprettes og at alle kritiske data er inkludert i sikkerhetskopieringsprogrammet.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
En organisasjon må utvikle en formell tilnærming til hendelseshåndtering av informasjonssikkerhet som følger anbefalingene fra Information Security Manual (ISM).
En organisasjons Chief Information Security Officer, Chief Information Officer, cybersikkerhetsekspert eller informasjonsteknologisjef kan bruke ISM til å utvikle et cybersikkerhetsrammeverk for å beskytte informasjonen og systemene deres mot cybertrusler.
Hensiktsmessige hendelsesdeteksjons- og responsmekanismer bør implementeres for å registrere og rapportere cyberhendelser til interne og eksterne interessenter.
Det er viktig for organisasjoner å huske at de fortsatt er ansvarlige for å sikre at eventuelle underleverandører som yter tjenester på deres vegne, oppfyller, overholder og opprettholder organisasjonens sikkerhetsstandarder.
En organisasjon bør erkjenne at eksterne parter som leverer tjenester til eller på vegne av organisasjonen kan ha potensial til å få tilgang til lokaler, systemer eller informasjon som krever beskyttelse. Organisasjoner må sørge for at RFFR-sikkerhetskravene er på plass og fungerer som de skal i hele forsyningskjeden.
Ethvert selskap som bruker en tredjepartsapplikasjon eller skytjeneste til å behandle, lagre eller spre konfidensielle data, må sørge for at systemet er sikkert før det tas i bruk. Før du bruker tredjepartsprogramvare eller -tjenester, må organisasjoner vurdere risikoen selv og implementere passende sikkerhetskontroller.
ISMS.online kan hjelpe deg med å oppfylle organisasjonens informasjonssikkerhetskrav og samsvarskrav ved å hjelpe deg med implementeringen av informasjonssikkerheten for å vurdere sikkerhetshull og sikkerhetsprosesser.
Våre viktigste fordeler hjelper deg med å nå dine RFFR ISMS-mål:
Finn ut hvor enkelt det er med ISMS.online – bestill en demo.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Siden migreringen har vi vært i stand til å redusere tiden brukt på administrasjon.
