Esplora i criteri di sicurezza delle informazioni in Microsoft 365
Le business unit e i gruppi di prodotto di Microsoft sono responsabili dell'implementazione di criteri, standard e requisiti di sicurezza del programma di standard e criteri di sicurezza di Microsoft. Microsoft 365 documenta le implementazioni relative alla sicurezza nei Criteri di sicurezza delle informazioni di Microsoft 365. Questi criteri sono in linea con i Criteri di sicurezza di Microsoft e regolano il sistema informativo di Microsoft 365, compresi tutti gli ambienti Microsoft 365 e tutte le risorse coinvolte nelle operazioni di raccolta, elaborazione, manutenzione, uso, condivisione, diffusione ed eliminazione dei dati.
Ambito
Lo scopo dei Criteri di sicurezza delle informazioni di Microsoft 365 è consentire a Microsoft 365 di operare in base a best practice, raggiungere l'obiettivo aziendale di costruire e mantenere la fiducia del cliente, soddisfare i requisiti normativi e gli impegni verso il cliente e supportare promesse pubbliche nel rispetto di riservatezza, integrità e disponibilità dei servizi Microsoft 365.
Il sistema informativo di Microsoft 365 include i seguenti componenti regolati dai Criteri di sicurezza delle informazioni di Microsoft 365:
- Infrastruttura: i componenti fisici e hardware dei sistemi Microsoft 365 (strutture, attrezzature e reti)
- Software: i programmi e il software operativo dei sistemi Microsoft 365 (sistemi, applicazioni e utilità)
- Persone: il personale coinvolto nel funzionamento e nell'utilizzo dei sistemi Microsoft 365 (sviluppatori, operatori, utenti e responsabili)
- Procedure: le procedure programmate e manuali coinvolte nel funzionamento dei sistemi Microsoft 365
- Dati: le informazioni generate, raccolte ed elaborate dai sistemi Microsoft 365 (flussi di transazioni, file, database e tabelle)
Tutti i componenti del sistema informativo di Microsoft 365 sono regolati dai Criteri di sicurezza delle informazioni di Microsoft 365.
Framework di controllo Microsoft 365
I Criteri di sicurezza delle informazioni Microsoft 365 sono integrati dal Framework di controllo Microsoft 365. Il Framework di controllo Microsoft 365 definisce in dettaglio i requisiti minimi di sicurezza per tutti i servizi e i componenti del sistema informativo di Microsoft 365 e fa riferimento ai requisiti legali e aziendali alla base di ciascun controllo. Il framework include nomi e descrizioni delle attività di controllo e indicazioni per assicurare implementazioni efficaci dei controlli da parte dei team di servizio. Microsoft 365 utilizza il framework di controllo per tenere traccia delle implementazioni dei controlli per i report interni ed esterni.
Il framework di controllo è costituito da 18 obiettivi nelle seguenti aree di dominio chiave:
- Controllo di accesso (AC)
- Sensibilizzazione e formazione (AT)
- Controllo e rendicontazione (AU)
- Valutazione della sicurezza (CA)
- Gestione della configurazione (CM)
- Piano di emergenza (CP)
- Identificazione e autenticazione (IA)
- Risposta agli incidenti (IR)
- Manutenzione (MA)
- Protezione dei supporti (MP)
- Accesso fisico (PE)
- Pianificazione della sicurezza (PL)
- Gestione dei programmi (PM)
- Sicurezza del personale (PS)
- Valutazione dei rischi (RA)
- Acquisizione di sistemi e servizi (SA)
- Protezione delle comunicazioni e del sistema (SC)
- Integrità del sistema e delle informazioni (SI)
Ruoli e responsabilità
Ogni team di servizio all'interno di Microsoft 365 indica le persone responsabili della promozione della conformità ai Criteri di sicurezza delle informazioni di Microsoft 365, implementando i controlli di sicurezza pertinenti e verificando che i controlli siano stati implementati correttamente. La tabella di seguito riassume brevemente i ruoli con responsabilità importanti per la promozione dell'allineamento ai Criteri di sicurezza delle informazioni di Microsoft 365.
| Ruolo | Descrizione delle responsabilità |
|---|---|
| Information System Security Officer | Persona responsabile della manutenzione della postura di sicurezza operativa del sistema informativo. |
| GRC Compliance Officer | Persona responsabile della definizione dei requisiti minimi di sicurezza e della verifica che tali requisiti siano soddisfatti da Microsoft 365. |
| EVP, Experience + Devices | Responsabile principale della definizione della direzione strategica del gruppo di progettazione, inclusi obiettivi di sicurezza e conformità. |
| Service Team Compliance Champs | Specialisti in ogni team di servizio che assistono i membri del team di servizio nell'implementazione di criteri e requisiti standard. |
| Service Team Members | Membri dei team di servizio responsabili dell'implementazione di criteri e requisiti standard. |
Aggiornamenti al Framework di controllo Microsoft 365
Il team di Microsoft 365 Trust lavora per mantenere il framework di controllo interno di Microsoft 365 in modo continuativo. Diversi scenari possono richiedere al team trust di aggiornare il framework di controllo, tra cui: modifiche alle normative o alle leggi pertinenti, minacce emergenti, risultati dei test di penetrazione, eventi imprevisti di sicurezza, feedback di controllo e nuovi requisiti di conformità. Quando è necessaria una modifica del framework, il team trust identifica gli stakeholder principali responsabili dell'approvazione e dell'implementazione della modifica per garantire che sia fattibile e non provocherà problemi imprevisti con i servizi di Microsoft 365. Una volta che il team trust e gli stakeholder pertinenti sono d'accordo su ciò che richiede la modifica, i carichi di lavoro responsabili dell'implementazione delle date di completamento obiettivo del set di modifiche e lavorano per implementare la modifica all'interno dei rispettivi servizi. Dopo aver raggiunto le destinazioni di implementazione, il team trust aggiorna il framework di controllo con i controlli nuovi o aggiornati.
Processo di eccezione
Tutte le eccezioni ai Criteri di sicurezza delle informazioni di Microsoft 365 devono avere una giustificazione aziendale valida ed essere approvati da un'entità di governance appropriata all'interno di Microsoft 365. Le eccezioni devono avere anche l'approvazione della gestione del team di servizio ed essere documentate nello strumento di gestione del rischio di Microsoft 365. In base all'ambito dell'eccezione e al potenziale rischio che rappresenta, l'approvazione dell'eccezione potrebbe dover essere ottenuta da un vicepresidente aziendale o da un ruolo superiore. Le eccezioni vengono inserite nello strumento di gestione del rischio di Microsoft 365, dove vengono esaminate e approvate per verificarne la continua rilevanza.