Australiens Department of Education, Skills and Employment (DESE) skapades RFFR (Right Fit for Risk) i slutet av 2019. Detta certifieringsprogram syftar till att säkerställa att leverantörer, såsom utbildningsinstitutioner, uppfyller DESE:s avtalskrav för informationssäkerhet.
RFFR-schemat syftar till att komplettera ISO/IEC 27001:s baslinjekrav med ytterligare kontroller fastställda av den australiensiska regeringens Informationssäkerhetsmanual (ISM) med de föränderliga juridiska, säkerhets- och tekniska kraven för ledningssystem för informationssäkerhet (ISMS) för leverantörer.
Du bör också utveckla en Statement of Applicability (SoA) som tar hänsyn till ditt företags unika säkerhetsrisker och -krav och tillämpligheten av säkerhetsåtgärder som beskrivs i Australian Information Security Manual. RFFR kärnelement bör beaktas, såsom Australian Cyber Security Centres Essential Eight tekniker, datasuveränitet och personalsäkerhet.
DESE har mandat att organisationer måste vara kompatibla med deras informationssäkerhetshanteringssystem (ISMS) och därmed erkänns som ett DESE ISMS.
Ett ISMS tillhandahåller de verktyg du behöver för att skydda och hantera ditt företags information genom effektiv riskhantering.
Det möjliggör efterlevnad av många lagar, förordningar och certifieringssystem och fokuserar på att skydda tre nyckelaspekter av information; Sekretess, integritet och tillgänglighet.
ISO 27001 är en globalt erkänd, universell standard. Det skapades för att hjälpa organisationer att skydda sin information effektivt och systematiskt.
Det ger alla organisationer, oavsett storlek eller sektor, ett ramverk för cybersäkerhet och ett tillvägagångssätt för att skydda dina viktigaste informationstillgångar.
Vårt integrerade ledningssystem inkluderar riskhanteringsverktyg och en förifylld riskbank, som låter dig anta, anpassa och lägga till ISO 27001 bilaga A enligt ditt företags krav.
Riskkartaverktyget ISMS.online ger en komplett uppifrån-och-ned-vy av organisatoriska risker. Den kartlägger riskfaktorer och möjligheter i din organisations strategiska mål och mål. Så att du kan genomföra en grundlig gapanalys.
Dessutom möjliggör ISMS.online övervakning av din organisations informationssäkerhetsrisker, hållning och ISO 27001-efterlevnad. Den intelligenta instrumentpanelen är intuitiv och tillgänglig via en webbläsare så att du kan se din informationssäkerhetsstatus när som helst och var som helst.
Under RFFR ISMS-certifieringsprocessen kommer revisorer att granska dina system och stödjande dokumentation. Därför måste organisationer checka in vid tre viktiga milstolpar under hela ackrediteringsprocessen.
Leverantörer kan använda milstolparna för att fastställa sin organisations nuvarande cybersäkerhetsnivå och identifiera områden för förbättringar.
Leverantörer och underleverantörer klassificeras i kategorier för att erhålla ackreditering med RFFR-metoden (Right Fit For Risk).
Att ta reda på vilken kategori som gäller för dig innebär att du måste överväga följande riskfaktorer (bland andra):
| Kategori | Kategori 1 | Kategori 2A | Kategori 2B |
|---|---|---|---|
| Årlig ärendebelastning | 2,000 eller flera | enligt 2,000 | enligt 2,000 |
| Riskprofil | Större risk | Medelrisk | Låg risk |
| Grund för ackreditering | ISO 27001 överensstämmer med ISMS (Information Security Management System) – oberoende certifierad | ISO 27001 överensstämmer med ISMS – självutvärderad | Management Assertion Letter |
| Ackrediteringsunderhåll | Årlig övervakningsrevision och treårig omcertifiering | Årlig självutvärdering | Årligt ledningspåståendebrev |
| Milstolpar att slutföra | 1, 2 och 3 | 1,2 och 3 | 1 och 3 |
Den första milstolpen och steget bör alltid vara en affärsmognadsbedömning. Mognadsmodellen från Australian Signals Directorate (ASD) Essential Eight avgör hur din organisation använder information och hanterar säkerheten. Din organisations initiala informationssäkerhetsmognad bedöms mot ASD Essential Eight-mognadsmodellen.
För att nå milstolpe 2 behöver du ett skräddarsytt ledningssystem för informationssäkerhet utöver full ISO 27001-efterlevnad och ackreditering.
Du kommer också att behöva en Statement of Applicability (SoA) under milstolpe 2. ISO 27001 klausul 6.1.3 noterar behovet av SoA, vilket löst kan förstås som en checklista för de 114 säkerhetskontroller som är utformade för att hantera specifika risker för en organisation.
Du måste visa att ISMS- och ISO 27001-kontrollerna (i tillämpliga fall för organisationen) har implementerats effektivt för att klara milstolpe 3.
Ta reda på hur enkelt det är att hantera din
efterlevnad av RFFR på ISMS.online
Boka din demo
En organisation och alla dess underleverantörer som är RFFR-ackrediterade måste behålla sin certifieringsstatus genom att lämna in årsrapporter och övervakas med avseende på efterlevnad av RFFR-standarder.
En organisation med en befintlig ackreditering måste genomföra de årliga och treåriga revisionerna enligt de datum då ackrediteringen tilldelades.
| Ackrediteringstyp | Årligen | Vartannat år |
|---|---|---|
| Certifierat ISMS (Kategori 1-leverantörer och tredjepartsleverantörer av sysselsättnings- och kompetenssystem) | Övervakningsrevision eller revision av omfattningsändring av certifierande bedömningsorgan (CAB) som täcker leverantörens eller TPES-leverantörens uppdaterade SoA | Omcertifiering av CAB (Konformitetsbedömningsorgan)
Återackreditering av leverantör eller TPES-leverantör av DESE |
| Självutvärderad ISMS (Kategori 2A-leverantörer) | Självutvärderingsrapport (inkl. beskrivning av förändringar sedan senaste rapport) som täcker Leverantörens uppdaterade SoA
DESE avgör om behovet av att uppgradera till ett certifierat ISMS | Självutvärderingsrapport Återackreditering av DESE |
| Hanteringsbevis (kategori 2B-leverantörer) | Årligt Management Assertion Letter (inkl. beskrivning av förändringar sedan senaste attest)
DESE avgör om behovet av att uppgradera till ett självutvärderat ISMS | Management Assertion Letter Återackreditering av DESE |
RFFR-metoden kräver att du upprättar och underhåller en uppsättning kärnsäkerhetsstandarder för att upprätthålla och förbättra din säkerhetsställning.
Australian Essential Eight Cyber Security-strategier och kärnförväntningar hjälper din organisation att skapa ett robust säkerhetsramverk.
Under RFFR-kraven har du vissa processer du måste följa när du anställer nya personer:
Organisationer måste säkerställa att fysiska säkerhetsåtgärder minimerar risken för att information och fysiska tillgångar:
Alla organisationer måste uppfylla fysiska säkerhetskrav. Anläggningar måste vara av kommersiell kvalitet och belägna i Australien. Att arbeta hemifrån kräver att organisationer ser till att hemmiljön är lika säker som kontorsmiljön när det gäller att skydda personal, programdata och IT-hårdvara.
Organisationer måste implementera säkerhetsåtgärder för att säkerställa cybersäkerhet, inklusive "Essential Eight" cybersäkerhetsstrategier, informationssäkerhetsriskhantering, informationssäkerhetsövervakning, hantering av cybersäkerhetsincidenter och begränsade åtkomstkontroller.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
För att hjälpa organisationer att få ordning på sin informationssäkerhet har The Australian Cyber Security Center (ACSC) utvecklat "Essential Eight"-strategierna för att skydda företag.
En organisations cybersäkerhetsriskprofil måste fastställas och planer måste utvecklas för att uppnå målnivåer för var och en av de Essential Eight cybersäkerhetsstrategierna.
Det är viktigt att notera att Essential Eight kommer att vara obligatoriskt för alla australiska federala myndigheter och avdelningar.
Otillåtna program förhindras från att köras på ditt system genom att kontrollera deras exekvering. Detta förhindrar att okända och potentiellt skadliga program körs på ditt system.
Applikationer kan utnyttjas för att exekvera skadlig kod om de har kända säkerhetsbrister. Att hålla din miljö säker kräver att du använder den senaste versionen av applikationer och applicerar patchar omedelbart efter att sårbarheter har identifierats.
Endast makron från betrodda platser med begränsad skrivåtkomst eller de som är signerade med ett betrodd certifikat kommer att tillåtas att köras. Denna strategi blockerar skadlig kod som levereras av Microsoft Office-makron.
Sårbar funktionalitet måste skyddas genom att ta bort onödiga funktioner i Microsoft Office, webbläsare och PDF-läsare. Flash, annonser och Java-innehåll är vanliga redskap för att leverera skadlig kod.
Administratörskonton har nycklarna till din IT-infrastruktur och kräver därför begränsad åtkomst. Antalet administratörskonton och de privilegier som beviljas var och en bör minimeras.
Operativsystem kan äventyras ytterligare genom kända säkerhetsbrister. Det är viktigt att åtgärda dessa problem så snart de har identifierats. Du kan begränsa omfattningen av cybersäkerhetsintrång genom att använda de senaste operativsystemen och tillämpa säkerhetskorrigeringar så snart de har identifierats. Undvik att använda inaktuella operativsystem.
Stark användarautentisering gör det svårare för angripare att komma åt information och system. MFA kräver en kombination av två eller flera faktorer, inklusive hemlig information (som en kombination av lösenord och ID), en databunden fysisk enhet (som en fingeravtrycksbaserad autentiseringsapp på en registrerad smartphone eller en engångs-SMS-kod) , och en databunden fysisk person (som ansiktsigenkänning eller fingeravtryck).
En säkerhetskopieringsstrategi används för att bevara kritiska data och system. Denna strategi säkerställer att information kan nås efter en cybersäkerhetsincident.
Data, programvara och konfigurationsinställningar säkerhetskopieras och lagras separat från din huvudmiljö. Säkerhetskopiorna testas rutinmässigt för att säkerställa att de kan återställas och att all kritisk data ingår i säkerhetskopieringsprogrammet.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
En organisation måste utveckla ett formellt tillvägagångssätt för hantering av informationssäkerhetsincidenter som följer rekommendationerna i Information Security Manual (ISM).
En organisations Chief Information Security Officer, Chief Information Officer, cybersäkerhetsexpert eller informationsteknikchef kan använda ISM för att utveckla ett ramverk för cybersäkerhet för att skydda sin information och sina system från cyberhot.
Lämpliga mekanismer för upptäckt av incidenter och svarsmekanismer bör implementeras för att registrera och rapportera cyberincidenter till interna och externa intressenter.
Det är viktigt för organisationer att komma ihåg att de förblir ansvariga för att säkerställa att alla underleverantörer som tillhandahåller tjänster för deras räkning uppfyller, följer och upprätthåller organisationens säkerhetsstandarder.
En organisation bör inse att externa parter som tillhandahåller tjänster till eller på uppdrag av organisationen kan ha potential att få tillgång till lokaler, system eller information som kräver skydd. Organisationer måste se till att RFFR-säkerhetskraven är på plats och fungerar korrekt genom hela deras leveranskedja.
Alla företag som använder en tredjepartsapplikation eller molntjänst för att bearbeta, lagra eller sprida konfidentiell data måste se till att systemet är säkert innan det tas i bruk. Innan de använder programvara eller tjänster från tredje part måste organisationer själva bedöma risken och implementera lämpliga säkerhetskontroller.
ISMS.online kan hjälpa dig att uppfylla din organisations informationssäkerhetskrav och efterlevnadskrav genom att hjälpa dig med din implementering av informationssäkerhet för att bedöma dina säkerhetsluckor och säkerhetsprocesser.
Våra viktigaste fördelar hjälper dig att uppnå dina RFFR ISMS-mål:
Ta reda på hur enkelt det är med ISMS.online – boka en demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Sedan migreringen har vi kunnat minska tiden för administration.
