Información general sobre el gobierno
¿Cómo proporciona Microsoft un gobierno de seguridad eficaz en toda la empresa?
Microsoft entiende que las directivas de seguridad eficaces deben implementarse de forma coherente en toda la empresa para proteger los clientes y los sistemas de información de Microsoft. Las directivas de seguridad también deben tener en cuenta las variaciones en las funciones empresariales y los sistemas de información para que sean aplicables universalmente. Para cumplir estos requisitos, Microsoft implementa un programa de gobierno de seguridad integral como parte de Microsoft Policy Framework. La gobernanza de la seguridad forma parte de la Directiva de seguridad de Microsoft (MSP).
La MSP organiza las directivas de seguridad, los estándares y los requisitos de Microsoft para que puedan implementarse en todos los grupos de ingeniería y unidades de negocios de Microsoft. Las unidades de negocios individuales son responsables de las implementaciones específicas de las Directivas de seguridad de Microsoft. Por ejemplo, Microsoft 365 documenta sus implementaciones de seguridad en la directiva de seguridad de Microsoft 365 información y en el marco de control Microsoft 365 información relacionada. Azure y Dynamics 365 documentan sus implementaciones de seguridad en los Procedimientos operativos estándar (SOP) y Azure Control Framework. Estas implementaciones de seguridad se alinean con los objetivos y objetivos del MSP.
El programa de gobierno de seguridad de Microsoft está informado y se alinea con varios marcos normativos y de cumplimiento. Los requisitos de seguridad están en constante evolución para tener en cuenta las nuevas tecnologías, los requisitos normativos y de cumplimiento y las amenazas de seguridad. Debido a estos cambios, Microsoft actualiza periódicamente nuestras directivas de seguridad y documentos de soporte para proteger los sistemas y clientes de Microsoft, cumplir nuestros compromisos y mantener la confianza del cliente.
¿Cómo implementan los servicios en línea de Microsoft la Directiva de seguridad de Microsoft (MSP)?
Microsoft 365 documenta las implementaciones de seguridad en la Microsoft 365 de seguridad de la información. Esta directiva se alinea con la directiva de seguridad de Microsoft y rige el sistema de información de Microsoft 365, incluidos todos los entornos de Microsoft 365 y todos los recursos implicados en la recopilación, el procesamiento, el mantenimiento, el uso, el uso compartido, la difusión y la eliminación de datos. Del mismo modo, Azure y Dynamics 365 usan la directiva de seguridad de Microsoft para regular su sistema de información.
Los sistemas de información incluyen los siguientes componentes regido por la directiva de seguridad de la información de Microsoft 365 (para Microsoft 365) y la directiva de seguridad de Microsoft (para Azure y Dynamics 365):
- Infraestructura: los componentes físicos y de hardware de Azure, Dynamics 365 y Microsoft 365 (instalaciones, equipamiento y redes)
- Software: los programas y el software operativo de Azure, Dynamics 365 y Microsoft 365 (sistemas, aplicaciones y utilidades)
- Personas: el personal implicado en la operación y el uso de azure, Dynamics 365 y Microsoft 365 (desarrolladores, operadores, usuarios y administradores)
- Procedimientos: los procedimientos programados y manuales implicados en el funcionamiento de azure, Dynamics 365 y Microsoft 365 sistemas
- Datos: la información generada, recopilada y procesada por los sistemas azure, Dynamics 365 y Microsoft 365 (secuencias de transacciones, archivos, bases de datos y tablas)
La directiva de seguridad de la información de Microsoft 365 se complementa con el marco de control de Microsoft 365. El Microsoft 365 Control Framework detalla los requisitos mínimos de seguridad para todos los Microsoft 365 y componentes del sistema de información. También hace referencia a los requisitos legales y corporativos detrás de cada control. El marco incluye nombres de actividades de control, descripciones y orientaciones para garantizar la aplicación eficaz de los controles por parte de los equipos de servicio. Microsoft 365 el marco de control para realizar un seguimiento de las implementaciones de control para los informes internos y externos. Del mismo modo, las implementaciones de control de registros de Azure y Dynamics 365 en Azure Control Framework.
¿Cómo limitan y rastrean los servicios en línea las excepciones a las directivas y procedimientos establecidos?
Todas las excepciones a los marcos de control deben tener una justificación empresarial legítima y ser aprobadas por una entidad de gobierno adecuada dentro de cada equipo de servicios en línea. Dependiendo del alcance de la excepción y del riesgo potencial que represente, puede ser necesario obtener la aprobación de las excepciones por parte de un vicepresidente corporativo o superior. Las excepciones se administran en una herramienta de seguimiento en la que se revisan y se aprueban para una relevancia continua.
¿Cómo actualizan los servicios en línea los requisitos de seguridad y cumplimiento?
Los equipos de gobierno, riesgo y cumplimiento de cada servicio en línea (GRC) trabajan para mantener el marco de control de forma continua. Varios escenarios pueden requerir que el equipo de GRC actualice el marco de control, incluidos los cambios en las normativas o leyes pertinentes, las amenazas emergentes, los resultados de las pruebas de penetración, los incidentes de seguridad, los comentarios de auditoría y los nuevos requisitos de cumplimiento. Cuando se requiere un cambio de marco, el equipo de confianza identifica a las partes interesadas clave responsables de aprobar e implementar el cambio para asegurarse de que es viable y no provocará problemas no intencionados con los servicios en línea. Una vez que el equipo de GRC y las partes interesadas relevantes se ponen de acuerdo en lo que requiere el cambio, las cargas de trabajo responsables de implementar el cambio establecen fechas de finalización de destino y trabajan para implementar el cambio dentro de sus respectivos servicios. Una vez cumplidos los objetivos de implementación, el equipo de confianza actualiza el marco de control con los controles nuevos o actualizados.
Normativas externas relacionadas & certificaciones
Los servicios en línea de Microsoft se auditan periódicamente para cumplir con las normativas y certificaciones externas. Consulte la siguiente tabla para la validación de controles relacionados con el gobierno.
Azure y Dynamics 365
| Auditorías externas | Section | Fecha de informe más reciente |
|---|---|---|
| ISO 27001/27002 Declaración de aplicabilidad Certificación |
A.18.1: Cumplimiento de los requisitos legales y contractuales A.18.2: Revisiones de seguridad de la información |
2 de diciembre de 2020 |
| ISO 27017 Declaración de aplicabilidad Certificación |
A.18.1: Cumplimiento de los requisitos legales y contractuales A.18.2: Revisiones de seguridad de la información |
2 de diciembre de 2020 |
| SOC 1 | IS-1: directiva de seguridad de Microsoft IS-2: Revisión de la directiva de seguridad de Microsoft IS-3: Roles y responsabilidades de seguridad |
31 de marzo de 2021 |
| SOC 2 SOC 3 |
C5-1: Procedimientos operativos estándar IS-1: directiva de seguridad de Microsoft IS-2: Revisión de la directiva de seguridad de Microsoft IS-3: Roles y responsabilidades de seguridad SOC2-14: Acuerdos de confidencialidad y no divulgación SOC2-18: Requisitos legales, reglamentarios y contractuales SOC2-19: Programa de cumplimiento entre funciones SOC2-20: programa ISMS |
31 de marzo de 2021 |
Office 365
| Auditorías externas | Section | Fecha de informe más reciente |
|---|---|---|
| FedRAMP | CA-2: Evaluaciones de seguridad PL-2: Plan de seguridad del sistema |
24 de septiembre de 2020 |
| ISO 27001/27002/27017 Declaración de aplicabilidad Certificación |
A.18.1: Cumplimiento de los requisitos legales y contractuales A.18.2: Revisiones de seguridad de la información |
20 de abril de 2021 |
| SOC 2 | CA-11: Actualizaciones del marco de directivas CA-17: directiva de seguridad de Microsoft CA-25: Actualizaciones del marco de control |
24 de diciembre de 2020 |