Standard BIR 2012 (Baseline Informatiebeveiliging Rijksdienst)Baseline Informatiebeveiliging Rijksdienst standard (BIR 2012)

Panoramica dello standard BIR 2012BIR 2012 overview

Le organizzazioni che operano nella pubblica amministrazione dei Paesi Bassi devono dimostrare la loro conformità allo standard BIR 2012 (Baseline Informatiebeveiliging Rijksdienst).Organizations operating in the Netherlands government sector must demonstrate compliance with the Baseline Informatiebeveiliging Rijksdienst standard (BIR 2012). Lo standard BIR 2012 fornisce un quadro normativo di riferimento basato sugli standard ISO 27001 e ISO 27002.The BIR 2012 provides a standard framework based on ISO 27001 and ISO 27002. Quando si utilizza Microsoft Azure o Office 365, una parte dei controlli relativi allo standard BIR 2012 per i servizi cloud sono gestiti da Microsoft in linea con il modello di responsabilità condivisa nel cloud computing.When using Microsoft Azure or Office 365, part of the BIR 2012 controls for these cloud services are managed by Microsoft in line with the shared responsibility model in cloud computing. Le organizzazioni che devono rispettare i requisiti di questa normativa sono pertanto obbligate a verificare se i servizi Microsoft utilizzati sono conformi allo standard BIR 2012.Organizations that need to comply with BIR 2012 are therefore required to determine if the underlying Microsoft services they are using are compliant with BIR 2012.

Il report sulla copertura BIR fornisce indicazioni sugli standard BIR coperti dalle certificazioni ISO 27001 esistenti e disponibili per Microsoft Online Services.The BIR coverage report provides guidance where the BIR standards are covered by existing ISO 27001 certifications that are available for the Microsoft Online Services. Laddove siano presenti ulteriori controlli BIR non coperti dalla norma ISO 27001, è necessario fare riferimento ad altre certificazioni indipendenti, ai documenti di controllo o alle clausole contrattuali.Where there are additional BIR controls that are not covered by ISO 27001, references are made to other independent attestations, audit documentation, or contractual statements.

Microsoft e BIR 2012Microsoft and BIR 2012

Anche se Microsoft non è soggetta alla conformità BIR 2012, i clienti della pubblica amministrazione che intendono usare i servizi cloud possono usare le certificazioni di Microsoft esistenti per verificare la conformità a questo standard.While Microsoft is not subject to BIR 2012 compliance, customers from the government sector seeking to use cloud services can use Microsoft’s existing certifications to determine their compliance with this standard. Azure e Office 365 sono sottoposti periodicamente a varie certificazioni e attestazioni indipendenti, alcune delle quali sono strettamente correlate alla normativa BIR 2012.Azure and Office 365 undergo various periodic independent certifications and attestations, some of which are closely related to BIR 2012.

Scaricare la Guida per l'utente sulla copertura BIR-2012 per Microsoft Cloud (Azure e Office 365)Download the Microsoft Cloud — Azure and Office 365 BIR-2012 Baseline Coverage User Guide

Servizi cloud Microsoft inclusi nell'ambitoMicrosoft in-scope cloud services

Controlli, report e certificatiAudits, reports, and certificates

Domande frequentiFrequently asked questions

Microsoft possiede la certificazione di conformità BIR 2012?Is Microsoft BIR 2012 certified?

La responsabilità relativa alla conformità per lo standard BIR si applica alla pubblica amministrazione.The responsibility for BIR compliance is applicable to the government sector. La normativa richiede che l'organizzazione implementi un sistema di gestione della sicurezza delle informazioni e affronti i rischi con misure tecniche ed organizzative appropriate.It requires the organization to implement an information security management system and to address risk with appropriate technical and organizational measures. Nel ruolo di fornitore di servizi cloud, Microsoft non ha l'obiettivo di ottenere la certificazione BIR né può tecnicamente richiederla.For Microsoft in its role as cloud service provider, BIR compliance is not the objective, nor is it technically feasible. Se un cliente implementa o utilizza i Microsoft Online Services, tali servizi potrebbero rientrare nell'ambito di una valutazione della normativa BIR.When a customer implements or uses Microsoft Online Services, those services may be in scope of a BIR evaluation. Tuttavia, l'organizzazione deve aggiungere i propri controlli (supplementari), scelte e processi specifici che fanno parte della valutazione complessiva della norma BIR.However, the organization must add its own (additional) controls, choices, and processes, which are part of the overall BIR evaluation. L'obiettivo del report è dimostrare che un ente pubblico può adottare i Microsoft Online Services in modo conforme alla normativa BIR 2012.The objective of the report is to demonstrate that a government agency can adopt the Microsoft Online Services in a manner that is compliant with BIR 2012.

I clienti che usano i Microsoft Online Services sono conformi alla normativa BIR 2012?Is a customer that uses Microsoft Online Services compliant with BIR 2012?

Dimostrare la conformità alla normativa BIR è responsabilità del cliente.Demonstrating BIR compliance is the responsibility of the customer. Quando si utilizza un fornitore di servizi cloud, i clienti in genere richiedono garanzie al fornitore e aggiungono la propria tecnologia (supplementare) e le proprie decisioni, scelte e processi organizzativi.When using a cloud services vendor, customers typically demand assurances from the vendor, and add their own (additional) technology and organizational decisions, choices, and processes. Il risultato è una valutazione complessiva da parte del cliente sulla conformità alla normativa BIR, che può essere presentata per il controllo o la certificazione a un revisore di terze parti.This results in an overall assessment by the customer on its BIR compliance, which can be submitted for review or certification to a third-party auditor. Il report sulla copertura della normativa BIR fornisce informazioni sui controlli BIR già inclusi dai Microsoft Online Services, ma non garantisce la conformità end-to-end.The BIR coverage report provides insight into what BIR controls are covered by Microsoft Online Services, but as such does not cover end-to-end compliance.

Il report non mostra una copertura del 100%. Ciò significa che non sarà possibile ottenere la conformità alla norma BIR 2012?The report does not show 100% coverage. Is BIR 2012 compliance not feasible?

I Microsoft Online Services forniscono molti dei controlli che consentono alle organizzazioni olandesi di soddisfare le loro esigenze di conformità alla normativa BIR.Microsoft Online Services provides many controls that help organizations within the Netherlands with their BIR compliance needs. Tuttavia, un'organizzazione deve integrare le garanzie del fornitore con le proprie scelte di implementazione, i controlli tecnologici aggiuntivi e i processi amministrativi.However, an organization needs to complement those vendor assurances with their own implementation choices, additional technology controls, and administrative processes. Il report indica già una copertura diretta di oltre il 91% dell'elenco completo dei controlli applicabili.The report shows already over 91% direct coverage of the full list of applicable controls. Per gli altri controlli, Microsoft fornisce nel report indicazioni su come dimostrarne la conformità.For the remaining controls, Microsoft provides guidance in the report on how compliance with those controls can be demonstrated.

Il report sulla copertura della normativa BIR è un documento legalmente valido?Is the BIR coverage report a legal binding document?

No.No. Si tratta di uno strumento di supporto per il processo interno di adeguamento alla normativa BIR da parte del cliente e per dimostrare la fattibilità della conformità a tale norma.It is a supporting tool for the customer’s internal BIR assurance process and helps to establish confidence and trust that BIR compliance is feasible. Il report è descrittivo e include una dichiarazione di non responsabilità legale.The report has a descriptive status and includes a legal disclaimer.

Il report può essere condiviso?Can we share this report?

Il report viene fornito ai clienti nell'ambito di un accordo di non divulgazione (NDA), sulla base del fatto che è stato realizzato a solo titolo informativo per i clienti e che non sarà copiato o divulgato mediante canali diversi dalla piattaforma Microsoft Service Trust.The report is provided to customers under a non-disclosure agreement (NDA), on the basis that it is for customer information only and that it will not be copied or disclosed via other channels than the Microsoft Service Trust Platform. I clienti possono condividere il report con il proprio revisore interno o esterno nell'ambito dei processi di conformità o di certificazione.Customers can share the report with their own internal or external auditor as part of their compliance or assurance processes.

RisorseResources