CyberGRX
Die CyberGRX-Bewertungsmethodik identifiziert sowohl das inhärente als auch das Restrisiko und verwendet eine Bedrohungsanalyse nahezu in Echtzeit und unabhängige Beweisvalidierung, um Kunden eine ganzheitliche Sicht auf ihren Cyberrisikostatus von Drittanbietern zu bieten.
CyberGRX ist der weltweit erste und größte gemeinsame Risikoaustausch. Die analytische Methodik von CyberGRX erstellt Threat Intelligence und komplexe Risikomodelle aus nur einer validierten Bewertung. Mit Erkenntnissen zu Risiken in Bezug auf Datensicherheit und Datenschutz bietet die CyberGRX-Bewertung nicht nur detaillierte Einblicke in das Restrisiko, sondern kombiniert die Modellierung von Angriffsszenarien und die MITRE ATT&CK Kill Chain , um sich entwickelnde Taktiken und Techniken in der Bedrohungslandschaft zu überwachen.
Microsoft und CyberGRX
CyberGRX hat unter Verwendung seiner strategischen Partner Deloitte and Touche und KPMG die Bewertung der Microsoft-Cloud überprüft und berichtet, die aus über 1.000 Sicherheitsfragen und entsprechenden Microsoft-Antworten besteht. CyberGRX behandelt inhärente Risiken, branchenspezifische Threat Intelligence und reale Angriffsszenarien. Auf diese Weise haben Kunden die Möglichkeit, den Sicherheitsstatus von Microsoft mit externen Beweisen zu überprüfen, um Ergebnisse zu generieren, die sich auf Risiken konzentrieren, im Gegensatz zur einfachen Compliance.
Microsoft ist sich der Notwendigkeit bewusst, dass unsere Kunden effiziente Fahrzeuge verwenden müssen, die ihren organization dabei helfen, Risiken schnell zu bewerten, um potenzielle Risiken einzuschließen, die sie aufgrund der Verwendung eines Drittanbieters für wichtige Dienste wie uns annehmen können. Als einer der größten Clouddienstanbieter der Welt versteht Microsoft, dass unser Kundenstamm groß und vielfältig ist und dass diese Kunden unterschiedliche Prioritäten haben und aus verschiedenen Branchen stammen. Die Skalierung auf diese unterschiedlichen Anforderungen erfordert, dass Microsoft nach effektiven Methoden sucht, um unsere Fähigkeit zu erweitern und zu verstärken, wichtige Kenntnisse zu teilen, die allen Kunden bei ihren Sicherheitsprioritäten und unabhängig davon helfen, welche Microsoft Cloud-Dienste sie verwenden. Die Zusammenarbeit mit externen Bewertungsfirmen wie CyberGRX ist eine Möglichkeit, wie wir unseren Kunden helfen, bei ihrer Risikobewertung flink zu sein.
Das CyberGRX-Modell bietet Organisationen, die an der Implementierung der Sicherheitskontrolle der Microsoft Cloud interessiert sind, die Möglichkeit, die Steuerelemente auszuwählen, an deren Interessen sie am meisten interessiert sind, und bietet überprüfte Antworten für ihre Überprüfung. Microsoft profitiert von diesem Modell, da wir auch in der Lage sein können, Updates bereitzustellen, und unsere Antworten sind für jedes Mitglied der CyberGRX-Börse verfügbar, sodass wir mehr Kundenzugriff auf diese wichtigen Informationen erhalten. Kurz gesagt, CyberGRX hilft Microsoft, mehr Kunden mit Risikobewertungsanforderungen zu erreichen und unterstreicht unser Engagement für Transparenz und Sicherheit.
Darüber hinaus können Kunden das Framework Mapper-Feature von CyberGRX verwenden, um unsere Bewertungssteuerelemente und Antworten auf bekannte Branchenstandards und Frameworks wie NIST 800-53, NIST Cybersecurity Framework (CSF),ISO 27001, PCI DSS und HIPAA zuzuordnen.
Bereichsinterne Microsoft-Cloudplattformen & Diensten im Gültigkeitsbereich
- Azure
- Dynamics 365
- Microsoft 365
- Power Platform
Eine vollständige Liste der Microsoft-Onlinedienste im CyberGRX-Überwachungsbereich finden Sie unter:
- Microsoft Azure-Complianceangebote oder der Azure SOC 2 Type 2-Nachweisbericht.
- Azure DevOps Services,
- Office 365 SOC 2-Dokumentation.
Office 365 und CyberGRX
Office 365 Umgebungen
Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.
In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:
- Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
- Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
- Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
- Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
- Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.
Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.
Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.
Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste
Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:
| Anwendbarkeit | Im Leistungsumfang enthaltene Dienste |
|---|---|
| Kommerziell | Cortana, Kunden-Lockbox, Exchange Online-Archivierung, Exchange Online Protection, Exchange Online, Kaizala Pro, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream, Microsoft Teams (einschließlich Bookings, Listen und Schichten), Microsoft To-Do, Microsoft Defender for Office 365, Office 365 Video, Office für das Web, OneDrive for Business, Project, SharePoint Online, Skype for Business Online, Sway, Whiteboard, Viva Engage |
Prüfungen, Berichte und Zertifikate
Füllen Sie dieses Formular aus, um Zugriff auf einen kostenlosen CyberGRX-Bewertungsbericht der Microsoft Cloud zu erhalten.
Implementierung
- Finanzielle Anwendungsfälle: Anwendungsfallübersichten, Tutorials und andere Ressourcen zum Erstellen von Microsoft Cloud-Lösungen für Finanzdienstleistungen.
- Vorschriften für Finanzdienstleistungen in den USA: Inwiefern Microsoft-Onlinedienste wichtigen Vorschriften für US-Finanzdienstleister entsprechen.
Häufig gestellte Fragen
Ausführliche Informationen zur Validierungsmethodik, zum Reifegradbewertungsmodell und zu anderen verwandten Bereichen von CyberGRX finden Sie in den häufig gestellten Fragen zur Sicherheitsbewertung.
Ressourcen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für