Información general sobre administración de riesgos
¿Cómo evalúa y administra Microsoft los riesgos en toda la empresa?
La administración de riesgos es el proceso de identificación, evaluación y respuesta a amenazas o eventos que pueden afectar a los objetivos de la empresa o del cliente. La administración de riesgos de Microsoft está diseñada para prever nuevas amenazas y proporcionar seguridad continua para nuestros sistemas en la nube y los clientes que los usan.
La administración de riesgos de Microsoft se alinea con el Enterprise de administración de riesgos (ERM). ERM permite el proceso general de administración de riesgos empresariales y trabaja con la administración en toda la empresa para identificar y garantizar la responsabilidad de los riesgos más importantes de Microsoft.
Microsoft ERM permite principios comunes de administración de riesgos en toda la empresa para que las unidades de negocio puedan facilitar de forma independiente evaluaciones de riesgos coherentes y comparativas. Esta coordinación ofrece a Microsoft la capacidad de agregar e informar de la información de riesgos de forma consolidada para la administración. ERM proporciona unidades de negocio en Microsoft con metodologías, herramientas y objetivos comunes para el proceso de administración de riesgos. Microsoft 365 y otros grupos de ingeniería y unidades de negocio usan estas herramientas para realizar evaluaciones de riesgos individuales como parte de sus propios programas de administración de riesgos bajo la guía de ERM.
¿Cómo funcionan los servicios en línea de Microsoft con ERM?
Cada servicio en línea sigue las instrucciones de ERM para administrar los riesgos en servicios Microsoft. El programa se centra en alinear el marco de ERM con los procesos existentes de ingeniería, operaciones de servicio y cumplimiento de Microsoft, lo que hace que el programa de administración de riesgos sea más eficaz y eficaz. En última instancia, las actividades de administración de riesgos de cada servicio en línea se suenen e informan al proceso de ERM.
Como parte de las actividades de evaluación de riesgos, cada servicio en línea analiza el diseño y la eficacia operativa de los controles implementados como parte de Microsoft Controls Framework (Framework). Framework es un conjunto racionalizado de controles que, cuando se implementan correctamente junto con las actividades de cumplimiento, permite a los equipos de ingeniería cumplir con las normativas y certificaciones clave.
Normativas externas relacionadas & certificaciones
Los servicios en línea de Microsoft se auditan periódicamente para cumplir con las normativas y certificaciones externas. Consulte la siguiente tabla para la validación de controles relacionados con la administración de riesgos.
Azure y Dynamics 365
| Auditorías externas | Section | Fecha de informe más reciente |
|---|---|---|
| ISO 27001/27002 Declaración de aplicabilidad Certificación |
A.5: Directivas de seguridad de la información | 2 de diciembre de 2020 |
| ISO 27017 Declaración de aplicabilidad Certificación |
A.5: Directivas de seguridad de la información | 2 de diciembre de 2020 |
| ISO 27018 Declaración de aplicabilidad Certificación |
A.5: Directivas de seguridad de la información | 2 de diciembre de 2020 |
| ISO 22301 Certificación |
6.1.1: Determinación de riesgos y oportunidades 6.1.2: Abordar riesgos y oportunidades |
13 de marzo de 2020 |
| SOC 1 SOC 2 SOC 3 |
SOC2-26: Evaluación anual de riesgos | 31 de marzo de 2021 |
Office 365
| Auditorías externas | Section | Fecha de informe más reciente |
|---|---|---|
| FedRAMP | CA-2: Evaluaciones de seguridad CA-5: Plan de acción e hitos RA-3: Evaluación de riesgos |
24 de septiembre de 2020 |
| ISO 27001/27002/27017 Declaración de aplicabilidad Certificación |
A.5: Directivas de seguridad de la información | 20 de abril de 2021 |
| SOC 1 | CA-03: Administración de riesgos | 24 de diciembre de 2020 |
| SOC 2 | CA-02: Responsabilidades del equipo de gobierno, riesgo y cumplimiento CA-03: Administración de riesgos CA-17: directiva de seguridad de Microsoft CA-24: Evaluación interna de riesgos |
24 de diciembre de 2020 |