リスク管理の概要

Microsoft は企業全体のリスクを評価および管理する方法を説明します。

リスク管理とは、会社または顧客の目標に影響を与える可能性のある脅威やイベントを特定、評価、対応するプロセスです。 Microsoft のリスク管理は、新しい脅威を予測し、クラウド システムとそれを使用するお客様に継続的なセキュリティを提供するように設計されています。

Microsoft のリスク管理は、Enterprise (ERM) フレームワークに合わせて調整されます。 ERM は、企業全体のリスク管理プロセスを可能にし、企業全体の管理者と連携して、Microsoft の最も重要なリスクの説明責任を特定し実現します。

リスク管理の構造。

Microsoft ERM は、企業全体で一般的なリスク管理原則を有効にし、ビジネス ユニットが一貫性のある比較リスク評価を個別に促進できます。 この調整により、Microsoft は管理のための統合された方法でリスク情報を集計および報告できます。 ERMは、Microsoft のビジネス部門に、リスク管理プロセスの一般的な方法論、ツール、目標を提供します。 Microsoft 365その他のエンジニアリング グループおよびビジネス ユニットは、これらのツールを使用して、ERM の指導の下、独自のリスク管理プログラムの一部として個々のリスク評価を実施します。

Microsoft オンライン サービスは ERM とどのように機能しますか?

各オンライン サービスは、ERM のガイダンスに従って、すべてのユーザーのリスクをMicrosoft サービス。 このプログラムでは、ERM フレームワークを既存の Microsoft エンジニアリング、サービス運用、コンプライアンス プロセスに合わせて調整し、リスク管理プログラムの効率と効率を高め、重点的に取り組みます。 各オンライン サービスのリスク管理アクティビティは最終的に ERM プロセスにロールアップされ、通知されます。

リスク評価アクティビティの一環として、各オンライン サービスは、Microsoft Controls Framework (Framework) の一部として実装されたコントロールの設計と運用の有効性を分析します。 フレームワークは、コンプライアンス活動のサポートと共に適切に実装された場合、エンジニアリング チームが主要な規制と認定を遵守できる、合理化された一連のコントロールです。

Microsoft のオンライン サービスは、定期的に外部の規制と認定に準拠した監査を受けています。 リスク管理に関連するコントロールの検証については、次の表を参照してください。

Azure と Dynamics 365

外部監査 Section 最新のレポート日付
ISO 27001/27002

適用性のステートメント
認定
A.5: 情報セキュリティ ポリシー 2020 年 12 月 2 日
ISO 27017

適用性のステートメント
認定
A.5: 情報セキュリティ ポリシー 2020 年 12 月 2 日
ISO 27018

適用性のステートメント
認定
A.5: 情報セキュリティ ポリシー 2020 年 12 月 2 日
ISO 22301

認定
6.1.1: リスクと機会の決定
6.1.2: リスクと機会に対処する
2020 年 3 月 13 日
SOC 1
SOC 2
SOC 3
SOC2-26: 年次リスク評価 2021 年 3 月 31 日

Office 365

外部監査 Section 最新のレポート日付
FedRAMP CA-2: セキュリティ評価
CA-5: アクションとマイルストーンの計画
RA-3: リスク評価
2020 年 9 月 24 日
ISO 27001/27002/27017

適用性のステートメント
認定
A.5: 情報セキュリティ ポリシー 2021 年 4 月 20 日
SOC 1 CA-03: リスク管理 2020 年 12 月 24 日
SOC 2 CA-02: ガバナンス、リスク、コンプライアンス チームの責任
CA-03: リスク管理
CA-17: Microsoft セキュリティ ポリシー
CA-24: 内部リスク評価
2020 年 12 月 24 日