Standard di gestione della sicurezza delle informazioni ISO/IEC 27001:2013

Panoramica di ISO/IEC 27001

International Organization for Standardization (ISO) è un'organizzazione non governativa indipendente nonché il più grande sviluppatore al mondo di standard internazionali volontari. International Electrotechnical Commission (IEC) è l'organizzazione leader al mondo per la preparazione e la pubblicazione di standard internazionali per tecnologie elettriche, elettroniche e correlate.

Pubblicata dalla sottocommissione congiunta ISO/IEC, la famiglia di standard ISO/IEC 27000 riporta centinaia di controlli e meccanismi di controllo per aiutare le organizzazioni di ogni tipo e dimensione a mantenere protette le loro risorse di informazioni. Questi standard globali forniscono un framework per criteri e procedure che includono tutti i controlli legali, fisici e tecnici coinvolti nei processi di gestione dei rischi correlati alle informazioni di un'organizzazione.

ISO/IEC 27001 è uno standard di sicurezza che specifica formalmente un Information Security Management System (ISMS), il cui scopo è fornire un controllo di gestione esplicito per la sicurezza delle informazioni. In quanto specifica formale, impone requisiti che definiscono come implementare, monitorare mantenere e migliorare costantemente l'ISMS. Prescrive inoltre un set di best practice che includono requisiti per documentazione, suddivisione delle responsabilità, disponibilità, controllo dell'accesso, sicurezza, controllo, nonché misure correttive e preventive. La certificazione ISO/IEC 27001 aiuta le organizzazioni a conformarsi a numerosi requisiti normativi e legali correlati con la sicurezza delle informazioni.

Microsoft e ISO/IEC 27001

L'accettazione internazionale e l'applicabilità di ISO/IEC 27001 sono il motivo essenziale per cui la certificazione per questo standard è alla base dell'approccio di Microsoft all'implementazione e alla gestione della sicurezza delle informazioni. Il conseguimento della certificazione ISO/IEC 27001 di Microsoft indica il suo impegno a mantenere le promesse fatte ai clienti in termini di conformità ai requisiti di sicurezza. Attualmente, sia Azure pubblico che Azure Germania vengono sottoposti una volta all'anno a controlli di conformità agli standard ISO/IEC 27001 svolti da un organismo di certificazione di terze parti, che fornisce una convalida indipendente dell'implementazione e dell'efficacia dei controlli di sicurezza applicabili.

Per informazioni sui vantaggi di ISO/IEC 27001 in Microsoft Cloud, scaricare il documento di base sulla conformità ISO/IEC 27001:2013

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

  • Azure, Azure per enti pubblici e Azure Germania
  • Azure DevOps Services
  • Microsoft Cloud App Security
  • Microsoft Defender per endpoint
  • Dynamics 365, Dynamics 365 Government e Dynamics 365 Germany
  • Microsoft Graph
  • Microsoft Healthcare Bot
  • Intune
  • Microsoft Managed Desktop
  • Servizio cloud Power Automate (in precedenza Microsoft Flow), autonomo o incluso in un piano o in una famiglia di prodotti Office 365 o Dynamics 365
  • Office 365, Office 365 U.S. Government e Office 365 U.S. Government Defense
  • Office 365 Germany
  • Mapping dei servizi OMS
  • Servizio cloud PowerApps, autonomo o incluso in un piano o in una famiglia di prodotti con marchio Office 365 o Dynamics 365
  • Servizio cloud Power BI, autonomo o incluso in un piano o in una famiglia di prodotti con marchio Office 365
  • Power BI Embedded
  • Power Virtual Agents
  • Microsoft Professional Services
  • Microsoft Stream
  • Microsoft Threat Experts
  • Microsoft Translator
  • Windows 365

Azure, Dynamics 365 e ISO 27001

Per altre informazioni su Azure, Dynamics 365 e la conformità dei servizi online, vedere l'offerta Azure ISO 27001:2013.

Office 365 e ISO 27001

Ambienti cloud di Office 365

Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.

Questa sezione tratta i seguenti ambienti cloud di Office 365:

  • Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
  • Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
  • Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
  • Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
  • Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.

Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.

L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.

Applicabilità di Office 365 e servizi inclusi nell'ambito

Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:

Applicabilità Servizi inclusi nell'ambito
Commerciale Access online, Azure Active Directory, Servizi di comunicazioni Azure, Compliance Manager, Customer Lockbox, Delve, Exchange Online, Exchange Online Protection, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender per Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance Add-on, Portale per i clienti Office 365, microservizi Office 365 (inclusi, a titolo esemplificativo, Kaizala, ObjectStore, Sway, Power Automate, PowerPoint Online Document Service, Query Annotation Service, School Data Sync, Syphon, Voce, StaffHub, eXtensible Application Program), Centro sicurezza e conformità di Office 365, Office Online, Office Pro Plus, Office Services Infrastructure, OneDrive for Business, Planner, PowerApps, Power BI, Project Online, Servizio di crittografia con chiave cliente, SharePoint Online, Skype for Business, Stream
GCC Azure Active Directory, Servizi di comunicazioni Azure, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender per Office 365, Microsoft Teams, MyAnalytics, componente aggiuntivo Office 365 Advanced Compliance, Centro sicurezza e conformità di Office 365, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream
GCC High Azure Active Directory, Servizi di comunicazioni Azure, Exchange Online, Forms, Microsoft Defender per Office 365, Microsoft Teams, componente aggiuntivo Office 365 Advanced Compliance, Centro sicurezza e conformità di Office 365, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business
DoD Azure Active Directory, Servizi di comunicazioni Azure, Exchange Online, Forms, Microsoft Defender per Office 365, Microsoft Teams, componente aggiuntivo Office 365 Advanced Compliance, Centro sicurezza e conformità di Office 365, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business

Controlli, report e certificati di Office 365

I servizi cloud di Office 365 vengono controllati almeno ogni anno rispetto allo standard ISO 27001:2013.

Valutazioni e report di Office 365

Domande frequenti

Perché è importante la conformità di Office 365 allo standard ISO/IEC 27001?

La conformità a questi standard, confermata da un revisore accreditato, dimostra che Microsoft usa processi e best practice riconosciuti a livello internazionale per gestire l'infrastruttura e l'organizzazione che supporta e fornisce i suoi servizi. Il certificato conferma che Microsoft ha implementato le linee guida e i principi generali per l'avvio, l'implementazione, il mantenimento e il miglioramento della gestione della sicurezza delle informazioni.

Dove è possibile ottenere i report di controllo e le descrizioni dell’ambito riguardo allo standard ISO/IEC 27001 per i servizi Office 365?

Il Service Trust Portal fornisce report di conformità controllati in modo indipendente. È possibile usare il portale per richiedere report, in modo che i revisori possano confrontare i risultati dei servizi cloud di Microsoft ai requisiti normativi e legali che li riguardano.

Vengono eseguiti test annuali per gli errori dell'infrastruttura di Office 365?

Sì. Il processo annuale di certificazione ISO/IEC 27001 per il gruppo Microsoft Cloud Infrastructure and Operations include un controllo della resilienza operativa. Per visualizzare il certificato più recente, selezionare il collegamento seguente.

Quali sono i primi passaggi per garantire la conformità dell’organizzazione allo standard ISO/IEC 27001?

L'adozione di ISO/IEC 27001 è un impegno strategico. Come punto di partenza, consultare ISO/IEC 27000 Directory.

È possibile usare la conformità allo standard ISO/IEC 27001 dei servizi Office 365 nel processo di certificazione dell’organizzazione?

Sì. Se l'azienda richiede la certificazione ISO/IEC 27001 per le implementazioni distribuite su servizi Microsoft, è possibile usare la certificazione applicabile nella propria valutazione della conformità. Tuttavia, si ha la responsabilità di affidare l'incarico a un perito che valuti l'implementazione aziendale e i controlli e processi all'interno dell'organizzazione in termini di conformità agli standard ISO/IEC 27001.

Usare Microsoft Compliance Manager per valutare i rischi

Microsoft Compliance Manager è una funzionalità del Centro conformità Microsoft 365 utile per comprendere lo stato di conformità dell'organizzazione e adottare misure per ridurre i rischi. Compliance Manager offre una valutazione predefinita per questa normativa ai clienti Enterprise E5. Il modello per realizzare la valutazione è disponibile nella pagina dei modelli di valutazioni di Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.

Risorse