Center for Financial Industry Information Systems (FISC)Center for Financial Industry Information Systems (FISC)

FISC – ÜbersichtFISC overview

Das Center for Financial Industry Information Systems (FISC) ist eine gemeinnützige Organisation, die vom japanischen Finanzministerium 1984 eingerichtet wurde, um die Sicherheit von Bankcomputersystemen in Japan zu unterstützen.The Center for Financial Industry Information Systems (FISC) is a not-for-profit organization established by the Japanese Ministry of Finance in 1984 to promote security in banking computer systems in Japan. Etwa 700 Unternehmen in Japan sind unterstützende Mitglieder, einschließlich großer Finanzinstitute, Versicherungen und Kreditunternehmen, Wertpapierunternehmen, Computerhersteller und Telekommunikationsunternehmen.Some 700 corporations in Japan are supporting members, including major financial institutions, insurance and credit companies, securities firms, computer manufacturers, and telecommunications enterprises.

In Zusammenarbeit mit seinen Mitgliedsinstitutionen, der Bank of Japan und Financial Services Agency (eine Finanzdienstleistungsaufsichtsbehörde, die für die Bereiche Bank, Wertpapiere und Börse sowie Versicherung in Japan zuständig ist) schuf das FISC Richtlinien für die Sicherheit von Bankeninformationssystemen.In collaboration with its member institutions, the Bank of Japan, and the Financial Services Agency (a government organization responsible for overseeing banking, securities and exchange, and insurance in Japan), the FISC created guidelines for the security of banking information systems. Diese enthalten grundlegende Prüfstandards für Computersystemkontrollen, Kontingentplanung im Notfall und die Entwicklung von Sicherheitsrichtlinien und -standards, die über 300 Kontrollen umfassen.These include basic auditing standards for computer system controls, contingency planning in the event of a disaster, and the development of security policies and standards encompassed in more than 300 controls.

Obwohl die Anwendung dieser Richtlinien in einer Cloud Computing-Umgebung gesetzlich nicht vorgeschrieben ist, haben die meisten Finanzinstitute in Japan, die Cloud Services implementieren, Informationssysteme entwickelt, die diese Sicherheitsstandards erfüllen, und es kann schwierig sein, ein Abweichen von diesen Standards zu rechtfertigen.Although the application of these guidelines in a cloud computing environment is not required by regulation, most financial institutions in Japan that implement cloud services have built information systems that satisfy these security standards, and it can be difficult to justify diverging from them. (Die aktuellen Richtlinien aus dem Jahr 2015, Version 8 Supplemental Revised, enthalten zwei zusätzliche Revisionen zur Verwendung von Clouddiensten durch Finanzinstitute und Gegenmaßnahmen bei Cyberangriffen.)(The latest guidelines, Version 8 Supplemental Revised, issued in 2015, added two revisions relating to the use of cloud services by financial institutions and countermeasures against cyberattack.)

Die Konformität mit diesem Rahmenwerk ist gesetzlich nicht vorgeschrieben und wird vom FISC weder geprüft noch anderweitig validiert.Conformance with this framework is not required by regulation, and not audited or otherwise validated by the FISC.

Microsoft und FISCMicrosoft and FISC

Microsoft beauftragte externe Prüfer, zu überprüfen, ob Microsoft Azure, Dynamics 365 und Microsoft Office 365 die Anforderungen der FISC-Sicherheitsrichtlinien für Computersysteme für Finanzinstitute 9. Auflage überarbeitet erfüllen.Microsoft engaged outside assessors to validate that Microsoft Azure, Dynamics 365, and Microsoft Office 365 meet requirements of the FISC Security Guidelines on Computer Systems for Financial Institutions 9th Edition Revised. Microsoft legte Compliancenachweise in den folgenden Bereichen vor:Microsoft provided evidence of compliance in each of the following areas:

  • Datencenterrichtlinien für Gebäude und Computerräume, Stromversorgung, Klimatisierung, Datencenter- und Einrichtungsüberwachung.Datacenter guidelines for buildings and computer rooms, power, air conditioning, datacenter, and facilities monitoring.
  • Betriebliche Richtlinien für Organisationen, Schulung, Zugriffssteuerung, Systementwicklung und Prüfung.Operational guidelines for organizations, training, access control, system development, and auditing.
  • Technische Richtlinien für Maßnahmen zur Verbesserung der Zuverlässigkeit von Hardware und Software und für Gegenmaßnahmen bei Sicherheitsrisiken, einschließlich Datensicherheit, Prävention im Hinblick auf nicht autorisierte Nutzung, Bedrohungserkennung und Notfallwiederherstellung.Technical guidelines for measures to improve the reliability of hardware and software, and for countermeasures against security risks including data protection, prevention against unauthorized use, threat detection, and disaster recovery.

Finanzinstitute können sich auf diese Evaluierung der Compliance in diesen drei Bereichen für die relevanten Infrastruktur- und Plattformdienste von Azure, Dynamics 365, Office 365 und Microsoft Cloud App Security verlassen.Financial institutions can rely on this evaluation of the compliance of these three areas for the in-scope infrastructure and platform services of Azure, Dynamics 365, Office 365, and Microsoft Cloud App Security.

Erfahren Sie mehr über die Bewertung externer Prüfer und Links zu den Websites der Prüfer (nur Japanisch).Learn more about validation of external assessors and links to assessor’s sites (Japanese Only.

In-Scope-Cloud-Dienste von MicrosoftMicrosoft in-scope cloud services

  • AzureAzure
  • Microsoft Cloud App SecurityMicrosoft Cloud App Security
  • IntuneIntune
  • Office 365Office 365
  • Power BI-Clouddienst entweder als eigenständiger Dienst oder als Bestandteil eines Office 365 Markenplans oder einer Office 365 SuitePower BI cloud service either as a standalone service or as included in an Office 365 branded plan or suite

Häufig gestellte FragenFrequently asked questions

Für wen gelten die FISC-Richtlinien?To whom do the FISC guidelines apply?

Die FISC-Richtlinien gelten für Banken und andere Finanzinstitute in Japan, die ihren Ansatz für Systemsicherheit, Zuverlässigkeit und Prüfung validieren und auf die in Japan etablierten bewährten Verfahren ausrichten möchten.Banks and other financial institutions in Japan that want to validate their approach to system security, reliability, and auditing, and align with established best practices in Japan, follow the FISC guidelines.

Wo erhalte ich Informationen über Version 8 der FISC-Anforderungen?Where can I get more information on Version 8 of the FISC requirements?

Das FISC hat zwei Berichte seines Expertenrats veröffentlicht:The FISC has published two reports from its Council of Experts:

Wo erhalte ich Details der Antworten von Microsoft auf das FISC-Rahmenwerk?Where can I get the details of Microsoft's responses to the FISC framework?

Sie können auch Sicherheitsempfehlungen (in Japanisch) von Drittparteien sehen, welche die FISC-Compliance von Microsoft Cloud Services evaluiert haben.You can also see security references (in Japanese) from third parties who have evaluated the FISC compliance of Microsoft cloud services.

Kann ich die Antworten von Microsoft auf dieses Rahmenwerk für den Qualifizierungsprozess meiner Organisation verwenden?Can I use Microsoft’s responses to this framework in my organization’s qualification process?

Ja.Yes. Auch wenn die Antworten von Microsoft im Hinblick auf dieses Regelwerk von Dritten als konform bestätigt wurden, sind Kunden für die Überprüfung der Compliance ihrer in Azure oder Office 365 implementierten Lösungen verantwortlich.However, although Microsoft responses to this framework are confirmed compliant by third parties, customers are responsible for validating the compliance of solutions they have implemented on Azure or Office 365.

RessourcenResources

Ressourcen auf JapanischResources in Japanese