Esquema Nacional de Seguridad (ENS) Spaniens – Sicherheitsmaßnahmen
Übersicht über das ENS Spanien
2007 verabschiedete die spanische Regierung das Gesetz 11/2007, das eine Rechtsrahmen schuf, um Bürgern elektronischen Zugriff auf Systeme der Regierung und der öffentlichen Verwaltung bereitzustellen. Dieses Gesetz ist die Basis für das Esquema Nacional de Seguridad (National Security Framework), das dem Royal Decree (RD) 3/2010 unterliegt. Das Ziel des Rahmens ist der Aufbau von Vertrauen im Hinblick auf die Bereitstellung von elektronischen Diensten und sowie die Sicherstellung von Zugriff, Integrität, Verfügbarkeit, Authentizität, Vertraulichkeit, Nachverfolgbarkeit und Datenaufbewahrung, Informationen und Dienste.
Der Rahmen gilt für alle öffentlichen Organisationen und Regierungsstellen in Spanien, die Cloud Services in Anspruch nehmen sowie für Anbieter von Informations- und Kommunikationstechnologien (ICT). Der Rahmen leitet diese Stellen und Unternehmen bei der Implementierung effektiver Kontrollen für die Sicherheit in der Cloud und lokal an, und zwar unter Wahrung der Compliance mit spanischen und europäischen Sicherheits- und Datenschutzstandards.
Der Rahmen legt Kernrichtlinien und obligatorische Anforderungen fest, die sowohl Regierungsstellen als auch ihre Dienstanbieter erfüllen müssen. Er definiert eine Reihe von spezifischen Sicherheitskontrollen, von denen viele direkt auf ISO/IEC 27001 abgestimmt sind, in Bezug auf Verfügbarkeit, Authentizität, Integrität, Vertraulichkeit und Nachverfolgbarkeit. Die Vertraulichkeit der Daten – niedrig, mittel und hoch – bestimmt die Sicherheitsmaßnahmen, die zu ihrem Schutz ergriffen werden müssen.
Jede Regierungsstelle muss ein Risikomanagementansatz für die Sicherheit verfolgen, wobei sie Risiken identifizieren und bewerten und anschließend entsprechende Sicherheitskontrollen übernehmen. Dienstanbieter müssen ebenfalls die strengen Anforderungen des Rahmenwerks erfüllen, um sicherzustellen, dass ihre Verfahren, technischen Kapazitäten und Betriebsabläufe sicher sind und den Regierungsstellen ermöglichen, die Bestimmungen zu erfüllen.
Der Rahmen schreibt einen Akkreditierungsprozess vor, der für Systeme, die Daten mit niedriger Vertraulichkeitsstufe verarbeiten, freiwillig und für Systeme mit Daten mit mittlerer und hoher Vertraulichkeitsstufe obligatorisch ist. Von einem akkreditierten unabhängigen Auditor wird eine Prüfung durchgeführt. Der Bericht wird anschließend in einem Zertifizierungsprozess geprüft, bevor die Kontrollen zum Risikomanagement in der letzten Akkreditierungsstufe angenommen werden.
Sicherheitsmaßnahmen auf hoher Ebene von Microsoft und Spanien
Microsoft Azure und Microsoft Office 365 wurden einer strengen Bewertung durch BDO unterzogen, einen unabhängigen Auditor, der ihre Compliance offiziell bestätigte. BDO berichtet, dass die Sicherheitsmaßnahmen bei beiden Diensten und deren Informationssysteme und Datenverarbeitungseinrichtungen auf hohem Niveau mit RD 3/2010 übereinstimmen und keine Korrekturmaßnahmen zu ergreifen sind. Microsoft war der erste Anbieter hyperskalierter Clouddienste, der diese Zertifizierung in Spanien erhielt.
In Microsoft eingeschlossene Cloudplattformen und -Dienste
- Azure
- Office 365
Office 365 und ENS High
Office 365 Umgebungen
Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.
In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:
- Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
- Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
- Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
- Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
- Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.
Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.
Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.
Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste
Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:
| Anwendbarkeit | Im Leistungsumfang enthaltene Dienste |
|---|---|
| Kommerziell | Exchange Online, Exchange Online Protection, Microsoft Teams, MyAnalytics, Office 365-Kundenportal, Office Online, Office-Dienstinfrastruktur, Outlook Mobile, SharePoint Online, Skype for Business |
Prüfungen, Berichte und Zertifikate
Die Zertifizierung ist zwei Jahre gültig, wobei eine jährliche Kontrollprüfung durchgeführt wird.
Azure
- Azure National Security Framework ENS-Zertifikat
- Azure Spanish National Security Framework (ENS)-Prüfbericht
- Azure-Prüfbericht ENS (Spanisch)
- Azure National Security Framework Certificate ENS (Spanisch)
Office 365
- Office 365 National Security Framework ENS-Zertifikat
- Office 365 Spanish National Security Framework (ENS)-Prüfbericht
- Office 365-Prüfbericht ENS (Spanisch)
- Office 365 National Security Framework Certificate ENS (Spanisch)
Häufig gestellte Fragen
Wie erhalte ich Kopien der Prüfberichte und Zertifizierungen?
Das Service Trust Portal stellt die Prüfberichte und Zertifizierungen sowohl in spanischer als auch in englischer Sprache zur Verfügung. Anhand der Berichte können Ihre Prüfer die Ergebnisse der Microsoft Cloud Services mit Ihren eigenen gesetzlichen Anforderungen vergleichen.
Wo beginne ich mit dem Complianceprozess für meine eigene Organisation?
Wenn Ihre Organisation Azure oder Office 365 verwendet, können Sie die ENS-Prüfberichte und Akkreditierung von Microsoft für Ihren eigenen Akkreditierungsprozess verwenden. Sie sind jedoch dafür verantwortlich, einen Auditor mit der Bewertung Ihrer Implementierung im Hinblick auf die Compliance zu beauftragen. Außerdem müssen Sie sicherstellen, dass die Kontrollen und Prozesse in Ihrer Organisation dem Rahmenwerk entsprechen.
Ressourcen
- Esquema Nacional de Seguridad of Spain(Spanisch and Englisch)
- Microsoft Online Services-Nutzungsbedingungen
- Compliance im Microsoft Trust Center
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für