Microsoft 365-Richtlinien zur Informationssicherheit kennenlernen

  • 5 Minuten

Geschäftsbereiche und Produktgruppen bei Microsoft sind verantwortlich für die Implementierung von Sicherheitsrichtlinien, Standards und Anforderungen des Microsoft Security Policy and Standards-Programms. Microsoft 365 dokumentiert diese Sicherheitsimplementierungen in der Microsoft 365-Informationssicherheitsrichtlinie. Diese Richtlinie richtet sich nach der Microsoft-Sicherheitsrichtlinie und steuert das Microsoft 365-Informationssystem, einschließlich aller Microsoft 365-Umgebungen und aller Ressourcen, die mit der Sammlung, Verarbeitung, Wartung, Nutzung, Freigabe, Verbreitung und Entsorgung von Daten verbunden sind.

Umfang

Der Zweck der Microsoft 365-Richtlinien zur Informationssicherheit besteht darin, es Microsoft 365 zu ermöglichen, bewährte Methoden anzuwenden, das Unternehmensziel des Aufbaus und Aufrechterhaltens des Kundenvertrauens zu erreichen, gesetzliche Bestimmungen und Kundenverpflichtungen einzuhalten und öffentliche Zusagen hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit von Microsoft 365-Diensten zu unterstützen.

Das Microsoft 365-Informationssystem umfasst die folgenden Komponenten, die in den Microsoft 365-Richtlinien zur Informationssicherheit geregelt sind:

  • Infrastruktur: physische und Hardwarekomponenten von Microsoft 365-Systemen (Einrichtungen, Geräte und Netzwerke)
  • Software: Programme und Betriebssoftware von Microsoft 365-Systemen (Systeme, Anwendungen und Dienstprogramme)
  • Personen: Mitarbeiter, die an dem Betrieb und der Verwendung von Microsoft 365-Systemen beteiligt sind (Entwickler, Operatoren, Benutzer und Manager)
  • Verfahren: programmierte und manuelle Verfahren, die für den Betrieb von Microsoft 365-Systemen erforderlich sind
  • Daten: Informationen, die von Microsoft 365-Systemen generiert, gesammelt und verarbeitet werden (Transaktionsstreams, Dateien, Datenbanken und Tabellen)

Alle Microsoft 365-Informationssystemkomponenten werden in den Microsoft 365-Richtlinien zur Informationssicherheit geregelt.

Microsoft 365 Control Framework

Die Microsoft 365-Richtlinien zur Informationssicherheit werden durch das Microsoft 365 Control Framework ergänzt. Das Microsoft 365 Control Framework regelt die Details zu den minimalen Sicherheitsanforderungen für alle Microsoft 365-Dienste und -Informationssystemkomponenten und verweist auf die rechtlichen und geschäftlichen Anforderungen hinter den einzelnen Regelungen. Das Framework umfasst Kontrollaktivitätsnamen, Beschreibungen und Anleitungen zur Sicherstellung effektiver Kontrollimplementierungen durch Serviceteams. Microsoft 365 verwendet das Control Framework zum Nachverfolgen von Nachweisen von Kontrollimplementierungen für interne und externe Berichte.

Das Microsoft 365 Control Framework besteht aus 18 Zielen in den folgenden zentralen Bereichen:

  • Zugriffssteuerung
  • Sensibilisierung und Schulung
  • Überwachung und Haftung
  • Sicherheitsbewertung
  • Konfigurationsverwaltung
  • Notfallplanung
  • Identifikation und Authentifizierung
  • Reaktion auf Vorfälle
  • Wartung
  • Medienschutz
  • Physischer Zugang
  • Sicherheitsplanung
  • Programmverwaltung
  • Sicherheit des Personals
  • Risikobewertung
  • Beschaffung von System und Diensten
  • Schutz von System und Kommunikation
  • System- und Informationsintegrität

Rollen und Zuständigkeiten

Jedes Serviceteam innerhalb von Microsoft 365 benennt Personen, die für die Einhaltung der Sicherheitsrichtlinien von Microsoft 365 verantwortlich sind, relevante Sicherheitskontrollen implementieren und überprüfen, ob die Kontrollen ordnungsgemäß implementiert wurden. In der nachstehenden Tabelle werden die Rollen mit wichtigen Verantwortlichkeiten für die Ausrichtung an den Microsoft 365-Richtlinien zur Informationssicherheit zusammengefasst.

Rolle Beschreibung der Zuständigkeiten
Information System Security Officer Person, die für die Aufrechterhaltung der betrieblichen Sicherheit des Informationssystems verantwortlich ist.
GRC Compliance Officer (Richtlinienbeauftragter) Person, die für die Festlegung der minimalen Sicherheitsanforderungen und der Überprüfung der Erfüllung dieser Anforderungen durch Microsoft 365 verantwortlich ist.
EVP, Erfahrung + Geräte Topmanager, der für die strategische Ausrichtung der Engineeringgruppe verantwortlich ist, einschließlich der Sicherheits- und Complianceziele.
Compliance-Champs der Serviceteams Experten in den einzelnen Serviceteams, die den Serviceteammitgliedern beim Implementieren von Richtlinien und Standardanforderungen helfen.
Serviceteammitglieder Mitglieder des Serviceteams, die für das Implementieren von Richtlinien und Standardanforderungen verantwortlich sind.

Microsoft 365 Control Framework – Updates

Das Microsoft 365 Trust-Team arbeitet daran, das interne Microsoft 365 Control Framework kontinuierlich zu verwalten. Mehrere Szenarien erfordern möglicherweise, dass das Trust-Team das Kontrollframework aktualisiert, einschließlich: Änderungen an relevanten Vorschriften oder Gesetzen, aufkommende Bedrohungen, Penetrationstestergebnisse, Sicherheitsvorfälle, Überwachungsfeedback und neue Complianceanforderungen. Wenn eine Frameworkänderung erforderlich ist, identifiziert das Trust-Team wichtige Projektbeteiligte, die für die Genehmigung und Implementierung der Änderung verantwortlich sind, um sicherzustellen, dass dies möglich ist und keine unbeabsichtigten Probleme mit Microsoft 365-Diensten verursacht. Sobald sich das Vertrauensteam und die relevanten Projektbeteiligten darauf einigen, was die Änderung erfordert, legen die Workloads, die für die Implementierung der Datumsangaben für den Abschluss der Änderung verantwortlich sind, fest und arbeiten daran, die Änderung in ihren jeweiligen Diensten zu implementieren. Nachdem die Implementierungsziele erreicht wurden, aktualisiert das Trust-Team das Steuerungsframework mit den neuen oder aktualisierten Steuerelementen.

Ausnahmeprozess

Alle Ausnahmen von den Microsoft 365-Richtlinien zur Informationssicherheit müssen eine berechtigte geschäftliche Begründung aufweisen und von einer geeigneten Governance-Entität innerhalb von Microsoft 365 genehmigt werden. Für Ausnahmen müssen auch die Genehmigung des Serviceteammanagements und die Dokumentation im Microsoft 365-Risikomanagementtool vorhanden sein. Abhängig vom Umfang der Ausnahme und des potenziellen Risikos, das sie darstellt, muss die Genehmigung für Ausnahmen möglicherweise bei der Unternehmensleitung eingeholt werden. Ausnahmen werden in das Microsoft 365-Risikomanagementtool eingegeben, wo sie hinsichtlich der weiteren Relevanz überprüft und genehmigt werden.