National Institute of Standards and Technology (NIST) Cyber Framework (CSF)National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF)

NIST CSF (Übersicht)NIST CSF overview

Das National Institute of Standards and Technology (NIST) fördert und pflegt Mess Standards und Anleitungen, um Organisationen bei der Bewertung des Risikos zu unterstützen.The National Institute of Standards and Technology (NIST) promotes and maintains measurement standards and guidance to help organizations assess risk. Als Reaktion auf den Executive Order 13636 zur Stärkung der Cyber von föderalen Netzwerken und kritischen Infrastrukturen hat NIST das Framework für die Verbesserung der kritischen Infrastruktur Cyber (FICIC) im Februar 2014 veröffentlicht.In response to Executive Order 13636 on strengthening the cybersecurity of federal networks and critical infrastructure, NIST released the Framework for Improving Critical Infrastructure Cybersecurity (FICIC) in February 2014.

Die Hauptprioritäten der FICIC waren das Einrichten einer Reihe von Standards und Methoden, um Organisationen bei der Verwaltung des Cyber-Risikos zu unterstützen und gleichzeitig eine geschäftliche Effizienz zu ermöglichen.The main priorities of the FICIC were to establish a set of standards and practices to help organizations manage cybersecurity risk, while enabling business efficiency. Das NIST-Framework richtet sich an das Cyber-Risiko, ohne zusätzliche regulatorische Anforderungen für Regierungs-und Privatsektor-Organisationen aufzuerlegen.The NIST Framework addresses cybersecurity risk without imposing additional regulatory requirements for both government and private sector organizations.

Das FICIC verweist auf global anerkannte Standards einschließlich NIST SP 800-53, die in Anhang A des NIST- Frameworks zum Verbessern der Cyber von kritischen Infrastrukturengefunden wurden.The FICIC references globally recognized standards including NIST SP 800-53 found in Appendix A of the NIST's Framework for Improving Critical Infrastructure Cybersecurity. Jedes Steuerelement innerhalb des FICIC-Frameworks wird den entsprechenden NIST 800-53-Steuerelementen in der moderaten Baseline FedRAMP zugeordnet.Each control within the FICIC framework is mapped to corresponding NIST 800-53 controls within the FedRAMP Moderate Baseline.

Microsoft und das NIST-GfKMicrosoft and the NIST CSF

NIST Cyber Framework (CSF) ist ein freiwilliges Framework, das aus Standards, Richtlinien und bewährten Methoden zum Verwalten von Cyber-bezogenen Risiken besteht.NIST Cybersecurity Framework (CSF) is a voluntary Framework that consists of standards, guidelines, and best practices to manage cybersecurity-related risks. Microsoft-Cloud-Dienste wurden unabhängigen, FedRAMP mäßigen und hohen Baseline-Audits von Drittanbietern unterzogen und gemäß den FedRAMP-Standards zertifiziert.Microsoft Cloud services have undergone independent, third-party FedRAMP Moderate and High Baseline audits and are certified according to the FedRAMP standards. Durch eine validierte Bewertung, die von HITRUST, einer führenden Organisation für Sicherheit und Datenschutz bei der Entwicklung und Akkreditierung, durchgeführt wurde, ist Office 365 für die im NIST-GfK angegebenen Ziele zertifiziert.Also, through a validated assessment performed by HITRUST, a leading security and privacy standards development and accreditation organization, Office 365 is certified to the objectives specified in the NIST CSF.

Erfahren Sie, wie Sie Ihre NIST Cyber Framework-Bereitstellung mit Compliance Score und unserem Azure Security and Compliance Blueprint beschleunigen:Learn how to accelerate your NIST Cybersecurity Framework deployment with Compliance Score and our Azure Security and Compliance Blueprint:

Microsoft Cloud Services im LeistungsumfangMicrosoft in-scope cloud services

Überwachungszyklus und ZertifizierungAudit cycle and certification

Das NIST-GfK-Zertifikat für Office 365 gilt für zwei Jahre.The NIST CSF certification of Office 365 is valid for two years.

Schnelles Erstellen von NIST-CSF-Lösungen auf AzureQuickly build NIST CSF solutions on Azure

Der NIST Cyber Framework (CSF)-Standard kann eine Herausforderung in der Cloud darstellen.The NIST Cybersecurity Framework (CSF) standard can be challenging in the cloud. Glücklicherweise mit Azure haben Sie einen Head Start der Azure Security and Compliance NIST CSF Blueprint.Fortunately, with Azure you'll have a head start the Azure Security and Compliance NIST CSF Blueprint. Dieser Blueprint enthält Tools und Anleitungen für den Einstieg in das Erstellen von NIST-GfK-konformen Lösungen heute.This blueprint provides tools and guidance to get you started building NIST CSF-compliant solutions today.

Durchführen einer Risikobewertung für Office 365 mithilfe von NIST CSF in Compliance ScorePerform risk assessment on Office 365 using NIST CSF in Compliance Score

Cyber bleibt ein wichtiges Verwaltungsproblem in der Ära digitaler Transformationen.Cybersecurity remains a critical management issue in the era of digital transforming. Um Sie bei der Implementierung und Überprüfung von Sicherheitskontrollen für Ihren Office 365 Mandanten zu unterstützen, bietet Microsoft empfohlene Kundenaktionen in der NIST-GfK-Bewertung unter Compliance Score.To help you implement and verify security controls for your Office 365 tenant, Microsoft provides recommended customer actions in the NIST CSF Assessment in Compliance Score.

Häufig gestellte FragenFrequently asked questions

Hat ein unabhängiger Gutachter bestätigt, dass Azure Government, Dynamics 365 und Office 365 NIST-GfK-Anforderungen unterstützen?Has an independent assessor validated that Azure Government, Dynamics 365, and Office 365 support NIST CSF requirements?

Ja, eine Drittanbieter-Bewertungs Organisation hat bestätigt, dass das Azure Government-Cloud-Dienstangebot den NIST Cyber Framework (CSF)-Risikomanagementpraktiken entspricht, wie im Framework zur Verbesserung der kritischen Infrastruktur Cyber, Version 1,0, vom 12. Februar 2014.Yes, a third-party assessment organization has attested that the Azure Government cloud service offering conforms to the NIST Cybersecurity Framework (CSF) risk management practices, as defined in the Framework for Improving Critical Infrastructure Cybersecurity, Version 1.0, dated February 12, 2014. Das NIST-GFK wird dem FedRAMP moderate Controls-Framework zugeordnet, und ein unabhängiger Assessor hat Dynamics 365 gegenüber der moderaten Baseline FedRAMP bewertet.The NIST CSF is mapped to FedRAMP Moderate controls framework and an independent assessor has assessed Dynamics 365 against the FedRAMP Moderate baseline. Außerdem erhielt Office 365 im Juni 2018 das NIST CSF Letter of Certification von HITRUST.Also, Office 365 obtained the NIST CSF letter of certification from HITRUST in June 2018.

Wie veranschaulichen Microsoft Cloud-Dienste die Einhaltung des Frameworks?How do Microsoft Cloud Services demonstrate compliance with the framework?

Mithilfe der formellen Überwachungsberichte, die von Drittanbietern für die FedRAMP-Akkreditierung erstellt wurden, kann Microsoft zeigen, wie relevante Steuerelemente, die in diesen Berichten angegeben sind, die Einhaltung des NIST-Frameworks zur Verbesserung der Cyber von kritischen Infrastrukturen demonstrieren.Using the formal audit reports prepared by third parties for the FedRAMP accreditation, Microsoft can show how relevant controls noted within these reports demonstrate compliance with the NIST Framework for Improving Critical Infrastructure Cybersecurity. Von Microsoft implementierte überwachte Steuerelemente dienen dazu, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sicherzustellen, die von Azure, Office 365 und Dynamics 365 gespeichert, verarbeitet und übermittelt wurden, die als Aufgabe von Microsoft identifiziert wurden.Audited controls implemented by Microsoft serve to ensure the confidentiality, integrity, and availability of data stored, processed, and transmitted by Azure, Office 365, and Dynamics 365 that have been identified as the responsibility of Microsoft.

Was sind die Aufgaben von Microsoft, um die Einhaltung dieser Initiative aufrechtzuerhalten?What are Microsoft's responsibilities for maintaining compliance with this initiative?

Die Teilnahme am FICIC ist freiwillig.Participation in the FICIC is voluntary. Microsoft stellt jedoch sicher, dass Azure, Office 365 und Dynamics 365 die Bedingungen erfüllen, die in den Regeln für Online Dienste und entsprechende Vereinbarungen zum Service Level definiert sind.However, Microsoft ensures that Azure, Office 365, and Dynamics 365 meet the terms defined within the governing Online Services Terms and applicable service level agreements. Diese definieren die Verantwortung von Microsoft für die Implementierung und Verwaltung von Steuerelementen, die zum Sichern der Azure-Plattform und zum Überwachen des Systems geeignet sind.These define Microsoft's responsibility for implementing and maintaining controls adequate to secure the Azure platform and monitor the system.

Kann ich die Kompatibilität von Microsoft für meine Organisation verwenden?Can I use Microsoft's compliance for my organization?

Ja.Yes. Die unabhängigen Konformitätsberichte von Drittanbietern zu den FedRAMP-Standards bescheinigen der Effektivität der von Microsoft implementierten Steuerelemente zur Wahrung der Sicherheit und des Datenschutzes der Microsoft-Cloud-Dienste.The independent third-party compliance reports to the FedRAMP standards attest to the effectiveness of the controls Microsoft has implemented to maintain the security and privacy of the Microsoft Cloud Services. Microsoft-Kunden können die in diesen verwandten Berichten beschriebenen überwachten Steuerelemente als Teil ihrer eigenen FedRAMP-und NIST FICIC-Risikoanalyse-und Qualifizierungsmaßnahmen verwenden.Microsoft customers may use the audited controls described in these related reports as part of their own FedRAMP and NIST FICIC's risk analysis and qualification efforts.

Welche Organisationen werden von der US-Regierung als kritische Infrastruktur betrachtet?Which organizations are deemed by the United States Government to be critical infrastructure?

Nach Angaben des Department of Homeland Securityumfassen diese Organisationen in den folgenden Bereichen: chemische, kommerzielle Einrichtungen, Kommunikationen, kritische Herstellung, Dämme, Verteidigungsindustrie Basis, Notfalldienste, Energie, Finanzdienstleistungen, Lebensmittel und Landwirtschaft, staatliche Einrichtungen, Gesundheitswesen und öffentliche Gesundheit, Informationstechnologie, Nuklear (Reaktoren und Abfälle), Transportsysteme und Wasser (und Abwasser).According to the Department of Homeland Security, these include organizations in the following sectors: Chemical, Commercial Facilities, Communications, Critical Manufacturing, Dams, Defense Industrial Base, Emergency Services, Energy, Financial Services, Food and Agriculture, Government Facilities, Healthcare and Public Health, Information Technology, Nuclear (Reactors Materials and Waste), Transportation Systems and Water (and Wastewater).

Was sind die in-Scope-Dienste für Office 365?What are the in-scope services for Office 365?

Die in-Scope-Dienste der NIST CSF-Zertifizierung sind Exchange Online Archivierung, Exchange Online Schutz, Exchange Online, Skype for Business, Admin Center, SharePoint Online, Project Online, OneDrive für Unternehmen, Office Online, myAnalytics, Microsoft Teams, Microsoft 365 apps for Enterprise in Office 365 Multi-Tenant Cloud und Office 365 gcc.The in-scope services of NIST CSF certification are Exchange Online Archiving, Exchange Online Protection, Exchange Online, Skype for Business, Admin Center, SharePoint Online, Project Online, OneDrive for Business, Office Online, MyAnalytics, Microsoft Teams, Microsoft 365 Apps for enterprise in Office 365 Multi-tenant cloud and Office 365 GCC.

Hinweis

Microsoft 365-Apps für Unternehmen ermöglichen den Zugriff auf verschiedene Cloud-Dienste wie Roamingeinstellungen, Lizenzierung und OneDrive-Consumer-Cloud-Speicher und ermöglichen möglicherweise den Zugriff auf zusätzliche Cloud-Dienste in der Zukunft.Microsoft 365 Apps for enterprise enables access to various cloud services, such as Roaming Settings, Licensing, and OneDrive consumer cloud storage, and may enable access to additional cloud services in the future. Roaming-Einstellungen und-Lizenzierung unterstützen die Standards für HITRUST.Roaming Settings and Licensing support the standards for HITRUST. OneDrive-Consumer-cloudspeicher nicht, und andere Cloud-Dienste, auf die über Microsoft 365-Apps für Unternehmen zugegriffen werden kann, und die in Zukunft auch von Microsoft angeboten werden, unterstützen diese Standards möglicherweise nicht. *OneDrive consumer cloud storage does not, and other cloud services that are accessible through Microsoft 365 Apps for enterprise and that Microsoft may offer in the future also may not, support these standards.*

Warum sind einige Office 365 Dienste nicht im Rahmen dieser Zertifizierung?Why are some Office 365 services not in the scope of this certification?

Microsoft bietet die umfassendsten Angebote im Vergleich zu anderen Anbietern von Cloud-Diensten.Microsoft provides the most comprehensive offerings compared to other cloud service providers. Um mit unseren umfassenden Compliance-angeboten in verschiedenen Regionen und Branchen Schritt halten zu können, schließen wir Services im Rahmen unserer Assurance-Bemühungen basierend auf der Marktnachfrage, dem Kundenfeedback und dem Produktlebenszyklus ein.To keep up with our broad compliance offerings across regions and industries, we include services in the scope of our assurance efforts based on the market demand, customer feedback, and product lifecycle. Wenn ein Dienst nicht im aktuellen Bereich eines bestimmten Compliance-Angebots enthalten ist, ist Ihre Organisation dafür verantwortlich, die Risiken anhand Ihrer Compliance-Verpflichtungen zu bewerten und die Art und Weise zu bestimmen, wie Sie Daten in diesem Dienst verarbeiten.If a service is not included in the current scope of a specific compliance offering, your organization has the responsibility to assess the risks based on your compliance obligations and determine the way you process data in that service. Wir sammeln kontinuierlich Feedback von Kunden und arbeiten mit Regulatoren und Auditoren zusammen, um unsere Compliance-Abdeckung so zu erweitern, dass Ihre Sicherheits-und Compliance-Anforderungen erfüllt werden.We continuously collect feedback from customers and work with regulators and auditors to expand our compliance coverage to meet your security and compliance needs.

Bewerten des Risikos mithilfe von Microsoft Compliance-ManagerUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager ist ein Feature im Microsoft 365 Compliance Center , mit dem Sie die Compliance-Haltung ihrer Organisation besser verstehen und Maßnahmen zur Verringerung von Risiken unterstützen können.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance-Manager bietet eine Premium-Vorlage für die Erstellung einer Bewertung für diese Verordnung.Compliance Manager offers a premium template for building an assessment for this regulation. Suchen Sie die Vorlage auf der Seite " Bewertungs Vorlagen " im Compliance-Manager.Find the template in the assessment templates page in Compliance Manager. Hier erfahren Sie, wie Sie Assessments im Compliance-Manager erstellen.Learn how to build assessments in Compliance Manager.

RessourcenResources