거버넌스, 위험 및 규정 준수 개요

Microsoft는 기업 전체에서 효과적인 보안 거버넌스를 어떻게 제공하나요?

Microsoft는 Microsoft 정보 시스템 및 고객을 보호하기 위해 기업 전체에서 효과적인 보안 정책을 일관되게 구현해야 한다는 것을 알고 있습니다. 또한 보안 정책은 비즈니스 기능 및 정보 시스템의 변형을 고려하여 범용으로 적용해야 합니다. 이러한 요구 사항을 충족하기 위해 Microsoft는 Microsoft Policy Framework의 일부로 포괄적인 보안 거버넌스 프로그램을 구현합니다. 보안 거버넌스는 MSP(Microsoft Security 정책)에 속합니다.

MSP는 모든 Microsoft 엔지니어링 그룹 및 사업부에서 구현할 수 있도록 Microsoft의 보안 정책, 표준 및 요구 사항을 구성합니다. 개별 사업부는 Microsoft Security 정책의 특정 구현을 담당합니다. 예를 들어 Microsoft 365는 Microsoft 365 정보 보안 정책 및 관련 Microsoft 365 제어 프레임워크에서 보안 구현을 문서화합니다. Azure 및 Dynamics 365 표준 운영 절차(SOP) 및 Azure Control Framework에서 보안 구현을 문서화합니다. 이러한 보안 구현은 MSP의 목표와 목표에 부합합니다.

Microsoft의 보안 거버넌스 프로그램은 다양한 규정 및 규정 준수 프레임워크에 의해 통보되고 일치합니다. 보안 요구 사항은 새로운 기술, 규정 및 규정 준수 요구 사항 및 보안 위협을 고려하여 지속적으로 진화하고 있습니다. 이러한 변경으로 인해 Microsoft는 정기적으로 보안 정책 및 지원 문서를 업데이트하여 Microsoft 시스템과 고객을 보호하고, 약정을 충족하며, 고객 신뢰를 유지합니다.

Microsoft 온라인 서비스 MSP(Microsoft 보안 정책)를 구현하려면 어떻게 해야 할까요?

Microsoft 365는 Microsoft 365 정보 보안 정책의 보안 구현을 문서화합니다. 이 정책은 Microsoft 보안 정책과 일치하며 모든 Microsoft 365 환경 및 데이터 수집, 처리, 유지 관리, 사용, 공유, 배포 및 폐기와 관련된 모든 리소스를 포함하여 Microsoft 365 정보 시스템을 관리합니다. 마찬가지로 Azure 및 Dynamics 365 Microsoft 보안 정책을 사용하여 정보 시스템을 관리합니다.

정보 시스템에는 Microsoft 365 정보 보안 정책(Microsoft 365용) 및 Microsoft 보안 정책(Azure 및 Dynamics 365)이 관리하는 다음 구성 요소가 포함됩니다.

  • 인프라: Azure, Dynamics 365 및 Microsoft 365 시스템의 물리적 및 하드웨어 구성 요소(시설, 장비 및 네트워크)
  • 소프트웨어: Azure, Dynamics 365 및 Microsoft 365 시스템(시스템, 애플리케이션 및 유틸리티)의 프로그램 및 운영 소프트웨어
  • 사람: Azure, Dynamics 365 및 Microsoft 365 시스템(개발자, 운영자, 사용자 및 관리자)의 운영 및 사용에 관련된 직원
  • 절차: Azure, Dynamics 365 및 Microsoft 365 시스템 운영과 관련된 프로그래밍된 수동 절차
  • 데이터: Azure, Dynamics 365 및 Microsoft 365 시스템에서 생성, 수집 및 처리하는 정보(트랜잭션 스트림, 파일, 데이터베이스 및 테이블)

Microsoft 365 정보 보안 정책은 Microsoft 365 제어 프레임워크에서 보완합니다. Microsoft 365 Control Framework는 모든 Microsoft 365 서비스 및 정보 시스템 구성 요소에 대한 최소 보안 요구 사항을 자세히 설명합니다. 또한 각 컨트롤의 법적 및 회사 요구 사항을 참조합니다. 프레임워크에는 서비스 팀의 효과적인 제어 구현을 보장하기 위한 제어 활동 이름, 설명 및 지침이 포함됩니다. Microsoft 365는 제어 프레임워크를 사용하여 내부 및 외부 보고에 대한 제어 구현을 추적합니다. 마찬가지로 Azure 및 Dynamics 365 Azure Control Framework에서 컨트롤 구현을 기록합니다.

온라인 서비스 설정된 정책 및 프로시저에 대한 예외를 제한하고 추적하려면 어떻게 해야 할까요?

Control Frameworks에 대한 모든 예외는 합법적인 비즈니스 근거가 있어야 하며 각 온라인 서비스 팀 내에서 적절한 거버넌스 엔터티의 승인을 받아야 합니다. 예외의 범위와 이것이 나타내는 잠재적 위험에 따라 기업 부사장 이상의 승인을 받아야 할 수도 있습니다. 예외는 지속적인 관련성에 대해 검토 및 승인되는 추적 도구에서 관리됩니다.

Microsoft는 기업 전체의 위험을 어떻게 평가하고 관리하나요?

위험 관리는 회사 또는 고객 목표에 영향을 미칠 수 있는 위협 또는 이벤트를 식별, 평가 및 대응하는 프로세스입니다. Microsoft의 위험 관리는 새로운 위협을 예측하고 클라우드 시스템과 이를 사용하는 고객에게 지속적인 보안을 제공하도록 설계되었습니다.

Microsoft의 위험 관리는 ERM(Enterprise Risk Management) 프레임워크에 부합합니다. ERM을 사용하면 전반적인 엔터프라이즈 위험 관리 프로세스가 가능하며 기업 전체의 관리와 협력하여 Microsoft의 가장 중요한 위험에 대한 책임을 식별하고 보장합니다.

위험 관리 구조.

Microsoft ERM을 사용하면 기업 전체에서 일반적인 위험 관리 원칙을 사용할 수 있으므로 사업부는 일관되고 비교적인 위험 평가를 독립적으로 용이하게 할 수 있습니다. 이 조정을 통해 Microsoft는 관리를 위해 통합된 방식으로 위험 정보를 집계하고 보고할 수 있습니다. ERM은 Microsoft의 사업부에 위험 관리 프로세스에 대한 일반적인 방법론, 도구 및 목표를 제공합니다. Microsoft 365 및 기타 엔지니어링 그룹 및 사업부는 이러한 도구를 사용하여 ERM의 지침에 따라 자체 위험 관리 프로그램의 일부로 개별 위험 평가를 수행합니다.

Microsoft 온라인 서비스 ERM에서 어떻게 작동합니까?

각 온라인 서비스는 ERM 지침을 따라 Microsoft 서비스 전반의 위험을 관리합니다. 이 프로그램은 ERM 프레임워크를 기존 Microsoft 엔지니어링, 서비스 운영 및 규정 준수 프로세스와 조정하여 위험 관리 프로그램을 보다 효과적이고 효율적으로 만드는 데 중점을 둡니다. 각 온라인 서비스의 위험 관리 활동은 궁극적으로 롤업되어 ERM 프로세스에 알릴 수 있습니다.

위험 평가 활동의 일환으로 각 온라인 서비스는 Microsoft Controls Framework(프레임워크)의 일부로 구현된 컨트롤의 디자인 및 운영 효율성을 분석합니다. 프레임워크는 규정 준수 활동 지원과 함께 적절하게 구현될 때 엔지니어링 팀이 주요 규정 및 인증을 준수할 수 있도록 하는 합리화된 컨트롤 집합입니다.

온라인 서비스 보안 및 규정 준수 요구 사항을 업데이트하려면 어떻게 해야 할까요?

각 GRC(온라인 서비스)의 거버넌스, 위험 및 규정 준수 팀은 지속적으로 제어 프레임워크를 유지 관리합니다. GRC 팀이 관련 규정 또는 법률의 변경, 새로운 위협, 침투 테스트 결과, 보안 인시던트, 감사 피드백 및 새로운 규정 준수 요구 사항을 포함하여 제어 프레임워크를 업데이트해야 하는 몇 가지 시나리오가 있을 수 있습니다. 프레임워크 변경이 필요한 경우 트러스트 팀은 변경이 가능하고 온라인 서비스에 의도하지 않은 문제가 발생하지 않도록 변경 사항을 승인하고 구현하는 주요 이해 관계자를 식별합니다. GRC 팀과 관련 이해 관계자가 변경에 필요한 사항에 동의하면 변경 집합 대상 완료 날짜를 구현하는 작업을 담당하는 워크로드는 해당 서비스 내에서 변경을 구현하기 위해 노력합니다. 구현 대상이 충족되면 트러스트 팀은 새 컨트롤 또는 업데이트된 컨트롤로 제어 프레임워크를 업데이트합니다.

Microsoft의 온라인 서비스 외부 규정 및 인증 준수에 대해 정기적으로 감사됩니다. 거버넌스, 위험 및 규정 준수와 관련된 컨트롤의 유효성 검사는 다음 표를 참조하세요.

Azure 및 Dynamics 365

외부 감사 섹션 최신 보고서 날짜
ISO 27001/27002

적용 가능성 설명
인증서
A.5: 정보 보안 정책
A.18.1: 법률 및 계약 요구 사항 준수
A.18.2: 정보 보안 검토
2023년 11월 6일
ISO 27017

적용 가능성 설명
인증서
A.5: 정보 보안 정책
A.18.1: 법률 및 계약 요구 사항 준수
A.18.2: 정보 보안 검토
2023년 11월 6일
ISO 27018

적용 가능성 설명
인증서
A.5: 정보 보안 정책 2023년 11월 6일
ISO 22301

인증서
6.1.1: 위험 및 기회 결정
6.1.2: 위험 및 기회 해결
2023년 4월 24일
SOC 1 IS-1: Microsoft 보안 정책
IS-2: Microsoft 보안 정책 검토
IS-3: 보안 역할 및 책임
2023년 11월 17일
SOC 2
SOC 3
C5-1: 표준 운영 절차
IS-1: Microsoft 보안 정책
IS-2: Microsoft 보안 정책 검토
IS-3: 보안 역할 및 책임
SOC2-14: 기밀성 및 비밀 유지 계약
SOC2-18: 법정, 규정 및 계약 요구 사항
SOC2-19: 기능 간 규정 준수 프로그램
SOC2-20: ISMS 프로그램
SOC2-26: 연간 위험 평가
2023년 11월 17일

Microsoft 365

외부 감사 섹션 최신 보고서 날짜
FedRAMP(Office 365) CA-2: 보안 평가
CA-5: 작업 및 마일스톤 계획
PL-2: 시스템 보안 계획
RA-3: 위험 평가
2023년 7월 31일
ISO 27001/27002/27017

적용 가능성 설명
인증(27001/27002)
인증(27017)
A.5: 정보 보안 정책
A.18.1: 법률 및 계약 요구 사항 준수
A.18.2: 정보 보안 검토
2023년 3월
SOC 1 CA-03: 위험 관리 2024년 1월 23일
SOC 2 CA-02: 거버넌스, 위험 및 규정 준수 팀 책임
CA-03: 위험 관리
CA-11: 정책 프레임워크 업데이트
CA-17: Microsoft 보안 정책
CA-24: 내부 위험 평가
CA-25: 프레임워크 업데이트 제어
2024년 1월 23일

리소스