Standard Multi-Tier Cloud Security (MTCS) per SingaporeMulti-Tier Cloud Security (MTCS) Standard for Singapore

Panoramica sul MTCSMTCS overview

Lo standard Multi-Tier Cloud Security (MTCS) per Singapore è stato preparato sotto la direzione dell'Information Technology Standards Committee (ITSC) dell'Infocomm Development Authority of Singapore (IDA).The Multi-Tier Cloud Security (MTCS) Standard for Singapore was prepared under the direction of the Information Technology Standards Committee (ITSC) of the Infocomm Development Authority of Singapore (IDA). ITSC promuove e facilita i programmi nazionali per la standardizzazione di IT e comunicazione e per la partecipazione di Singapore nelle attività di standardizzazione internazionali.The ITSC promotes and facilitates national programs to standardize IT and communications, and Singapore's participation in international standardization activities.

Lo scopo di MTCS è fornire:The purpose of the MTCS is to provide:

  • Uno standard comune che i provider di servizi cloud (CSP) possono applicare per risolvere problematiche riguardanti la sicurezza e la riservatezza dei dati nel cloud e l'impatto sul business che ha l'uso dei servizi cloud.A common standard that cloud service providers (CSPs) can apply to address customer concerns about the security and confidentiality of data in the cloud, and the impact on businesses of using cloud services.
  • Trasparenza operativa verificabile e visibilità sui rischi del cliente quando utilizza i servizi cloud.Verifiable operational transparency and visibility into risks to the customer when they use cloud services.

MTCS si basa su standard internazionali riconosciuti quale ISO/IEC 27001 e copre aree quali conservazione dei dati, sovranità sui dati, portabilità dei dati, responsabilità, disponibilità, continuità aziendale, ripristino di emergenza e gestione degli incidenti.The MTCS builds upon recognized international standards such as ISO/IEC 27001, and covers such areas as data retention, data sovereignty, data portability, liability, availability, business continuity, disaster recovery, and incident management. Include anche un meccanismo mediante cui i clienti possono effettuare benchmark e classificare le funzionalità dei provider dei servizi cloud in base a un set di requisiti minimi di livello di sicurezza base.It also includes a mechanism for customers to benchmark and rank the capabilities of CSPs against a set of minimum baseline security requirements.

MTCS è il primo standard di sicurezza cloud con livelli diversi di sicurezza, per cui i provider di servizi cloud certificati possono specificare quali livelli offrono.MTCS is the first cloud security standard with different levels of security, so certified CSPs can specify which levels they offer. MTCS include un totale di 535 controlli, che coprono la sicurezza di base al livello 1, controlli di governance e tenancy più rigidi al livello 2 e affidabilità e resilienza per sistemi di informazioni ad alto impatto al livello 3.MTCS includes a total of 535 controls, covering basic security in Level 1, more stringent governance and tenancy controls in Level 2, and reliability and resiliency for high-impact information systems in Level 3.

Microsoft e MTCSMicrosoft and MTCS

Dopo valutazioni rigorose condotte dall'organo di certificazione di MTCS, i servizi cloud Microsoft hanno ricevuto la certificazione MTCS 584:2013 su tutte e tre le classificazioni dei servizi: Infrastruttura distribuita come servizio (IaaS), Piattaforma distribuita come servizio (PaaS) e Software come un servizio (SaaS).After rigorous assessments conducted by the MTCS Certification Body, Microsoft cloud services received MTCS 584:2013 certification across all three service classifications — Infrastructure as a Service (IaaS), Platform as a Service (PaaS), and Software as a Service (SaaS). Microsoft è stato il primo provider di servizi cloud globale a ottenere questa certificazione per tutte e tre le classificazioni.Microsoft was the first global CSP to receive this certification across all three classifications.

Le certificazione rilasciate sono di livello 3 per i servizi Microsoft Azure (IaaS e PaaS), Microsoft Dynamics 365 Services (SaaS) e Microsoft Office 365 Services (SaaS).Certifications were granted at Level 3 for Microsoft Azure services (IaaS and PaaS), Microsoft Dynamics 365 services (SaaS), and Microsoft Office 365 services (SaaS). Una certificazione di livello 3 indica che i servizi cloud Microsoft interni all'ambito possono ospitare dati ad alto impatto per le organizzazioni regolamentate con i requisiti di sicurezza più rigidi.A Level 3 certification means that in-scope Microsoft cloud services can host high-impact data for regulated organizations with the strictest security requirements. È richiesta per determinate implementazioni di soluzioni cloud del governo di Singapore.It's required for certain cloud solution implementations by the Singapore government.

Servizi cloud Microsoft inclusiMicrosoft in-scope cloud services

  • AzureAzure
  • Dynamics 365Dynamics 365
  • Microsoft Cloud App SecurityMicrosoft Cloud App Security
  • GenomicaGenomics
  • Microsoft GraphMicrosoft Graph
  • Microsoft Healthcare BotMicrosoft Healthcare Bot
  • IntuneIntune
  • FlowFlow
  • Mapping dei servizi OMSOMS Service Map
  • PowerAppsPowerApps
  • Power BIPower BI
  • Microsoft StreamMicrosoft Stream
  • Office 365Office 365

Controlli, report e certificatiAudits, reports, and certificates

La certificazione è valida per tre anni, con l'obbligo di un controllo di sorveglianza annuale.Certification is valid for three years, with a yearly surveillance audit to be conducted.

Certificazione MTCS di MicrosoftMicrosoft MTCS certification

Diffusione del provider di servizi cloud di Microsoft MTCSMicrosoft MTCS cloud service provider disclosure

Domande frequentiFrequently asked questions

A chi si applica lo standard?To whom does the standard apply?

Si applica alle aziende di Singapore che acquistano servizi cloud che richiedono l'adeguamento allo standard MTCS.It applies to businesses in Singapore that purchase cloud services requiring compliance with the MTCS standard.

Quali sono le differenze tra i livelli di sicurezza MTCS?What are the differences between MTCS security levels?

MTCS ha un totale di 535 controlli che coprono tre livelli di sicurezza:MTCS has a total of 535 controls that cover three levels of security:

  • Il livello 1 ha costo contenuto con un numero minimo di controlli di livello di sicurezza base richiesti.Level 1 is low cost, with a minimum number of required baseline security controls. È adatto per l'hosting di siti Web, per lavoro di test e sviluppo, per simulazioni e per applicazioni aziendali non critiche.It is suitable for web site hosting, test and development work, simulation, and noncritical business applications.
  • Il livello 2 soddisfa le esigenze della maggior parte delle organizzazioni che si preoccupano della sicurezza dei dati con un set di controlli più rigidi rivolti ai rischi per la sicurezza e per i dati.Level 2 addresses the needs of most organizations that are concerned about data security, with a set of more stringent controls targeted at security risks and threats to data. Il livello 2 è applicabile alla maggior parte degli utilizzi del cloud, incluse applicazioni aziendali mission-critical.Level 2 is applicable for most cloud usage, including mission-critical business applications.
  • Il livello 3 è previsto per le organizzazioni regolamentate con requisiti specifici nonché alle organizzazioni disposte a sostenere un costo maggiore per requisiti di sicurezza più rigidi.Level 3 is designed for regulated organizations with specific requirements and those willing to pay for stricter security requirements. Il livello 3 aggiunge un set di controlli di sicurezza che integra quelli già presenti nei livelli 1 e 2.Level 3 adds a set of security controls to supplement those in Levels 1 and 2. Tali controlli sono rivolti ai rischi per la sicurezza e alle minacce presenti in sistemi informatici ad alto impatto che utilizzano servizi cloud, ad esempio l'hosting di applicazioni con informazioni riservate in sistemi regolamentati.They address security risks and threats in high-impact information systems using cloud services, such as hosting applications with sensitive information and in regulated systems.

Qual è la fase iniziale del percorso di adeguamento della mia organizzazione?Where do I start with my organization's own compliance effort?

Lo Schema di certificazione MTCS fornisce una guida sui controlli e sui requisiti di sicurezza.The MTCS Certification Scheme provides guidance on audit controls and security requirements.

Posso usare la conformità di Microsoft nel processo di certificazione della mia organizzazione?Can I use Microsoft's compliance in my organization's certification process?

Sì.Yes. Se hai l'esigenza di certificare i tuoi servizi basati su questi servizi cloud Microsoft, puoi utilizzare la certificazione MTCS per ridurre l'impatto del controllo sulla tua infrastruttura IT se controllo viene affidato a essi.If you have a requirement to certify your services built on these Microsoft cloud services, you can use the MTCS certification to reduce the impact of auditing your IT infrastructure, if it relies on them. Tuttavia, hai la responsabilità di affidare l'incarico a un valutatore affinché valuti la tua implementazione in termini di adeguamento e per i controlli e i processi all'interno dell'organizzazione.However, you are responsible for engaging an assessor to evaluate your implementation for compliance, and for the controls and processes within your own organization.

Usare Microsoft Compliance Manager per valutare i rischiUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager è una funzionalità nel Centro conformità Microsoft 365 utile per comprendere lo stato di conformità dell'organizzazione e intraprendere azioni per ridurre i rischi.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance Manager offre un modello premium per creare una valutazione per questa normativa.Compliance Manager offers a premium template for building an assessment for this regulation. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager.Find the template in the assessment templates page in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.Learn how to build assessments in Compliance Manager.

RisorseResources