ENISA Information Assurance Framework

  • Artikel

Informationen über das ENISA Information Assurance Framework

Die Europäische Agentur für Netzwerk- und Internetsicherheit (ENISA, European Network and Information Security ) ist ein Zentrum für Netzwerk- und Informations-Expertise. Sie arbeitet eng mit Mitgliedsstaaten der EU und dem privaten Sektor zusammen, um Ratschläge und Empfehlungen zu guten Verfahren im Bereich der Internetsicherheit zu geben. Die ENISA unterstützt zudem die Entwicklung und Umsetzung von EU-Richtlinien und -Gesetzen zur nationalen Informationssicherheit.

Das Information Assurance Framework (IAF) umfasst eine Reihe von Sicherheitskriterien, die Organisationen gemeinsam mit Cloud-Dienstanbietern überprüfen können, um sicherzustellen, dass ihre Kundendaten hinreichend geschützt sind. Das IAF soll Organisationen dabei helfen, das Risiko der Einführung von Cloud-Diensten zu bestimmen, die Angebote unterschiedlicher Cloud-Dienste besser zu vergleichen und die Versicherungsbelastung für Cloud-Dienstanbieter zu verringern.

Microsoft und die das ENISA IAF

Das ENISA Information Assurance Framework basiert auf den umfassenden Kontrollelementen des ISO/IEC 27001, dem International Information Security Management Standard und der Cloud Controls Matrix (CCM) v 3.0.1 der Cloud Security Alliance (CSA). Die CCM
ist ein Kontrollrahmen, der grundlegende Sicherheitsprinzipien in 16 Bereichen abdeckt, um Cloudkunden bei der Bewertung des Gesamtsicherheitsrisikos eines Cloud-Dienstanbieters (CSPs) zu unterstützen.

Im Hinblick auf die CSA-STAR-Selbstbewertung hat Microsoft einen Bericht über die Compliance von Microsoft Azure mit der CCM der CSA eingereicht. (Microsoft veröffentlicht auch einen vollständigen Consensus Assessments Initiative Questionnaire (CAIQ) für Azure.) Diese Selbsteinschätzung
der Compliance entspricht dem ENISA IAF.

Die Azure-Compliance ist im CSA STAR-Register aufgeführt, einem kostenlosen und öffentlich zugänglichen Register, in dem Cloud-Dienstanbieter ihre CSA-bezogenen Bewertungen veröffentlichen. Dort ist außerdem eine formelle CSA STAR-Zertifizierung und die CSA STAR-Bescheinigung für Azure enthalten.

Da diese Eigenbewertungsberichte öffentlich zugänglich sind, erhalten Azure-Kunden Einblick in die Microsoft-Sicherheitsmethoden und können verschiedene CSP auf derselben Grundlage vergleichen.

Zu Microsoft gehörende Cloudplattformen und -dienste

  • Azure
  • Office 365

Azure, Dynamics 365 und ENISA IAF

Weitere Informationen zur Compliance mit Azure, Dynamics 365 und anderen Onlinediensten finden Sie im Azure ENISA IAF-Angebot.

Office 365 und ENSIA IAF

Office 365 Umgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
Kommerziell Microsoft Entra ID, Azure Information Protection, Bookings, Compliance Manager, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender for Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do für Web, MyAnalytics, Office 365 Advanced Compliance Add-On, Office 365 Cloud App Security, Office 365 Groups, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Viva Engage

Ressourcen