Programma Shared AssessmentsShared Assessments Program

Su Shared AssessmentsAbout Shared Assessments

Shared Assessments, gestito da The Santa Fe Group, è un programma adottato da molte banche commerciali, al dettaglio e di investimenti in tutto il mondo come un proxy per gestire le valutazione dei rischi fornitore da terze parti.Shared Assessments, managed by The Santa Fe Group, is a program used by many commercial, retail, and investment banks around the world as a proxy for managing their third-party vendor risk assessment process. Pubblica (e aggiorna) strumenti e un processo che standardizza l'approccio delle organizzazioni membro per valutare i controlli di un CSP per persone, processi e procedure, e offre un processo per validare l'accuratezza delle informazioni nel report del CSP.It publishes (and updates) instruments and a process that standardize the approach for member organizations to assess a CSP’s controls for people, processes, and procedures and offers a process to validate the accuracy of the information in the CSP’s report. Due strumenti sono centrali per il programma:Two tools are central to the program:

  • Il questionario Standardized Information Gathering (SIG) è usato per eseguire una valutazione iniziale dei fornitori, raccogliendo informazioni per determinare il modo in cui vengono gestiti i rischi per la sicurezza nei 18 domini di un ambiente CSP.The Standardized Information Gathering (SIG) questionnaire is used to perform an initial assessment of vendors, gathering information to determine how security risks are managed across 18 domains within a CSP’s environment. Con un unico set di domande standard per ciascun fornitore, semplifica la valutazione dei CPS, rendendo i confronti più semplici ed efficienti.With a single standard set of questions for every vendor, it streamlines the assessment of CSPs thus making comparisons more straightforward and efficient.
  • La valutazione Standardized Control Assessment usa un set di procedure oggettive che aiutano le organizzazioni a convalidare le risposte di un CSP al SIG attraverso test sul posto e altre verifiche.The Standardized Control Assessment uses a set of objective procedures to help organizations validate a CSP’s answers to the SIG through onsite testing and other verification assessments.

Microsoft e Shared AssessmentsMicrosoft and Shared Assessments

Il programma Shared Assessments si basa su un ampio corpus di standard di sicurezza, normativi e di controllo, accettati sia dall'industria statunitense che a livello mondiale, tra cui Cloud Security Alliance (CSA) Cloud Controls Matrix (CCM) v 3.0.1.The Shared Assessments Program is based on a wide body of US and global industry-accepted security standards, regulations, and control frameworks, including the Cloud Security Alliance (CSA) Cloud Controls Matrix (CCM) v3.0.1. Il CCM è un quadro di controlli che include i principi fondamentali sulla sicurezza in 16 domini consentendo ai clienti cloud di valutare il rischio di sicurezza complessivo di un provider di servizi cloud (CSP).The CCM is a controls framework covering fundamental security principles across 16 domains to help cloud customers assess the overall security risk of a cloud service provider (CSP). Questo mappa le 18 aree di controllo del rischio (domini) usate da Shared Assessments Standardized Information Gathering (SIG).These map to the 18 risk control areas (domains) that the Shared Assessments Standardized Information Gathering (SIG) questionnaire uses.

Per l'autovalutazione CSA di STAR, Microsoft ha inviato una relazione che documenta la conformità di Microsoft Azure e Microsoft Azure per enti pubblici al CCM.For the CSA STAR self-assessment, Microsoft submitted a report documenting Microsoft Azure and Microsoft Azure Government compliance with the CCM. (Microsoft pubblica anche un Consensus Assessments Initiative Questionnaire (CAIQ) per Azure.) In base a tale autovalutazione, Azure e Azure Government sono allineati al questionario SIG e a Agreed Upon Procedures (AUP) v5.0.(Microsoft also publishes a completed Consensus Assessments Initiative Questionnaire (CAIQ) for Azure.) Based on that self-assessment, Azure and Azure Government align with the SIG questionnaire and the Agreed Upon Procedures (AUP) v5.0.

Azure Compliance è elencato nel CSA STAR Registry, un registro di sistema accessibile pubblicamente in cui i CSA pubblicano le loro valutazioni correlate al CSA.Azure compliance is listed on the CSA STAR Registry, a free publicly accessible registry where CSPs publish their CSA-related assessments. Lì, Azure dispone anche di certificazione formale CSA STAR e attestazione CSA STAR.There, Azure also maintains formal CSA STAR Certification and CSA STAR Attestation.

Dato che questi report di autovalutazione sono accessibili pubblicamente, i clienti Azure possono ottenere una panoramica delle procedure di sicurezza Microsoft e confrontare diversi CSP usando lo stesso strumento di riferimento.Because these self-assessment reports are publicly available, Azure customers gain visibility into Microsoft security practices and can compare various CSPs using the same baseline.

Servizi cloud Microsoft inclusiMicrosoft in-scope cloud services

Controlli, report e certificatiAudits, reports, and certificates

Basandosi su una autovalutazione, Microsoft ha documentato la conformità di Azure e Azure Government con il quadro CSA CCM, allineandoli così con il programma Shared Assessments.Based on a self-assessment, Microsoft has documented Azure and Azure Government compliance with the CSA CCM framework, thus aligning it with the Shared Assessments program.

RisorseResources