다음을 통해 공유


ENISA Information Assurance Framework

ENISA Information Assurance Framework 정보

ENISA(European Network and Information Security Agency)는 네트워크 및 정보 전문 지식의 중심입니다. EU 회원국 및 민간 부문과 긴밀히 협력하여 우수한 사이버 보안 관행에 대한 조언과 권장 사항을 제공합니다. 또한 ENISA는 국가 정보 보안과 관련된 EU 정책 및 법률의 개발 및 구현을 지원합니다.

IAF(Information Assurance Framework)는 조직이 클라우드 서비스 제공 업체와 검토하여 고객 데이터를 충분히 보호하는지 확인할 수있는 일련의 보증 기준입니다. IAF는 조직이 클라우드 서비스 채택의 위험을 평가하고 여러 클라우드 서비스의 제품을 잘 비교하며 클라우드 서비스 제공 업체에 대한 보증 부담을 줄이는 데 도움이 됩니다.

Microsoft와 ENISA IAF

ENISA Information Assurance Framework는 국제 정보보안 관리표준인 ISO/IEC 27001 및 CSA(Cloud Security Alliance) CCM(Cloud Control Alliance) v3.0.1의 다양한 제어 클래스를 기반으로 합니다. CCM
은 클라우드 고객이 CSP(클라우드 서비스 공급자)의 전반적인 보안 위험을 평가하는 데 도움이 되도록 16개 도메인의 기본 보안 원칙을 다루는 제어 프레임워크입니다.

CSA STAR 자체 평가를 위해 Microsoft는 Microsoft Azure의 CSA CCM 준수를 문서화한 보고서를 제출했습니다. (Microsoft는 또한 Azure에 대한 완료된 CAIQ(컨센서스 평가 이니셔티브 설문지)를 게시합니다.) 해당 자체 평가
통해 ENISA IAF를 준수합니다.

Azure 준수는 CSP가 CSA 관련 평가를 게시하는 공개적으로 액세스할 수 있는 무료 레지스트리인 CSA STAR Registry에 나열되어 있습니다. 또한 Azure는 공식 CSA STAR 인증과 CSA STAR 증명도 유지합니다.

자체 평가 보고서는 공개되므로 Azure 고객은 Microsoft 보안 관례를 보고 동일한 기준을 사용하여 다양한 CSP를 비교할 수 있습니다.

Microsoft 범위 내 클라우드 플랫폼 및 서비스

  • Azure
  • Office 365

Azure, Dynamics 365 및 ENISA IAF

Azure, Dynamics 365 및 기타 온라인 서비스 규정 준수에 대한 자세한 내용은 Azure ENISA IAF 제품을 참조하세요.

Office 365 및 ENISA IAF

Office 365 환경

Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.

이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.

  • 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
  • Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
  • Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
  • Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
  • Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.

이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.

조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.

Office 365 적용 가능성 및 범위 내 서비스

다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.

적용 가능성 범위 내 서비스
상업용 Microsoft Entra ID, Azure Information Protection, Bookings, Compliance Manager, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Office 365용 Microsoft Defender, Microsoft Graph, Microsoft Teams, 웹용 Microsoft To-Do, MyAnalytics, Office 365 Advanced Compliance 추가 기능, Office 365 Cloud App Security, Office 365 그룹, Office 365 보안 & 규정 준수 센터, Office Online, Office Pro Plus, 비즈니스용 OneDrive, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, 비즈니스용 Skype, StaffHub, Stream, Sway, Viva Engage

리소스