Baseline Informatiebeveiliging Rijksdienst 표준(BIR 2012)Baseline Informatiebeveiliging Rijksdienst standard (BIR 2012)

BIR 2012 개요BIR 2012 overview

네덜란드 정부 부문에서 운영되는 조직은 Baseline Informatiebeveiliging Rijksdienst 표준(BIR 2012)을 준수한다는 것을 입증해야 합니다.Organizations operating in the Netherlands government sector must demonstrate compliance with the Baseline Informatiebeveiliging Rijksdienst standard (BIR 2012). BIR 2012는 ISO 27001과 ISO 27002를 기반으로 하는 표준 프레임워크를 제공합니다.The BIR 2012 provides a standard framework based on ISO 27001 and ISO 27002. Microsoft Azure 또는 Office 365를 사용하는 경우 이러한 클라우드 서비스에 대한 BIR 2012 컨트롤의 일부는 Microsoft에서 클라우드 컴퓨팅의 공유 책임 모델에 따라 관리됩니다.When using Microsoft Azure or Office 365, part of the BIR 2012 controls for these cloud services are managed by Microsoft in line with the shared responsibility model in cloud computing. 따라서 BIR 2012를 준수해야 하는 조직은 사용하고 있는 기본 Microsoft 서비스에서 BIR 2012를 준수하는지 여부를 확인해야 합니다.Organizations that need to comply with BIR 2012 are therefore required to determine if the underlying Microsoft services they are using are compliant with BIR 2012.

BIR 커버리지 보고서는 BIR 표준이 Microsoft 온라인 서비스에서 사용할 수 있는 기존 ISO 27001 인증으로 적용되는 지침을 제공합니다.The BIR coverage report provides guidance where the BIR standards are covered by existing ISO 27001 certifications that are available for the Microsoft Online Services. ISO 27001에서 다루지 않는 추가 BIR 컨트롤이 있는 경우, 다른 독립적인 증명, 감사 문서 또는 계약문에 대한 참조가 수행됩니다.Where there are additional BIR controls that are not covered by ISO 27001, references are made to other independent attestations, audit documentation, or contractual statements.

Microsoft와 BIR 2012Microsoft and BIR 2012

Microsoft는 BIR 2012 규정 준수의 적용 대상이 아니지만 클라우드 서비스를 사용하려는 정부 기관 고객은 Microsoft의 기존 인증을 사용하여 이 표준을 준수하는지 확인할 수 있습니다.While Microsoft is not subject to BIR 2012 compliance, customers from the government sector seeking to use cloud services can use Microsoft’s existing certifications to determine their compliance with this standard. Azure 및 Office 365는 다양한 주기적인 독립적인 인증 및 증명을 거치며 그 중 일부는 BIR 2012와 밀접한 관련이 있습니다.Azure and Office 365 undergo various periodic independent certifications and attestations, some of which are closely related to BIR 2012.

Microsoft 클라우드 다운로드 — Azure 및 Office 365 BIR-2012 Baseline Coverage 사용자 가이드Download the Microsoft Cloud — Azure and Office 365 BIR-2012 Baseline Coverage User Guide

Microsoft 범위 내 클라우드 서비스Microsoft in-scope cloud services

감사, 보고서 및 인증서Audits, reports, and certificates

자주하는 질문Frequently asked questions

Microsoft는 BIR 2012 인증을 받았나요?Is Microsoft BIR 2012 certified?

BIR 규정 준수에 대한 책임은 정부 부문에 적용됩니다.The responsibility for BIR compliance is applicable to the government sector. 조직은 정보보안 관리시스템을 구현하고 적절한 기술적 및 조직적 조치를 통해 위험을 해결해야 합니다.It requires the organization to implement an information security management system and to address risk with appropriate technical and organizational measures. 클라우드 서비스 공급자 역할을 하는 Microsoft의 경우 BIR 규정 준수는 목표가 아니며, 기술적으로도 가능하지 않습니다.For Microsoft in its role as cloud service provider, BIR compliance is not the objective, nor is it technically feasible. 고객이 Microsoft 온라인 서비스를 구현하거나 사용하는 경우 해당 서비스는 BIR 평가 범위에 속할 수 있습니다.When a customer implements or uses Microsoft Online Services, those services may be in scope of a BIR evaluation. 그러나 조직에서 전체 BIR 평가의 일부로 자체 (추가적인) 컨트롤, 선택 및 프로세스를 추가해야 합니다.However, the organization must add its own (additional) controls, choices, and processes, which are part of the overall BIR evaluation. 이 보고서의 목적은 정부 기관이 BIR 2012를 준수하는 방식으로 Microsoft 온라인 서비스를 채택할 수 있음을 보여주기 위한 것입니다.The objective of the report is to demonstrate that a government agency can adopt the Microsoft Online Services in a manner that is compliant with BIR 2012.

Microsoft 온라인 서비스를 사용하는 고객이 BIR 2012를 준수하나요?Is a customer that uses Microsoft Online Services compliant with BIR 2012?

BIR 규정 준수를 입증하는 것은 고객의 책임입니다.Demonstrating BIR compliance is the responsibility of the customer. 클라우드 서비스 공급 업체를 사용할 때, 고객은 일반적으로 공급 업체의 보증을 요구하고 자체(추가적인) 기술과 조직의 결정, 선택 및 프로세스를 추가합니다.When using a cloud services vendor, customers typically demand assurances from the vendor, and add their own (additional) technology and organizational decisions, choices, and processes. 이로 인해 BIR 규정 준수에 대한 고객의 전반적인 평가가 이루어지며 검토 또는 인증을 위해 제 3의 감사관에게 제출할 수 있습니다.This results in an overall assessment by the customer on its BIR compliance, which can be submitted for review or certification to a third-party auditor. BIR 적용 범위 보고서는 Microsoft 온라인 서비스가 적용할 수있는 BIR 컨트롤에 대한 통찰력을 제공하지만 종단간 규정 준수는 다루지 않습니다.The BIR coverage report provides insight into what BIR controls are covered by Microsoft Online Services, but as such does not cover end-to-end compliance.

보고서에 100% 적용범위가 표시되지 않습니다. BIR 2012 규정 준수가 적합하지 않나요?The report does not show 100% coverage. Is BIR 2012 compliance not feasible?

Microsoft 온라인 서비스는 네덜란드 내의 조직이 BIR 규정 준수 요구를 충족할 수 있도록 많은 컨트롤을 제공합니다.Microsoft Online Services provides many controls that help organizations within the Netherlands with their BIR compliance needs. 그러나 조직에서는 자체 구현 선택, 추가 기술 컨트롤 및 관리 프로세스를 통해 이러한 공급 업체 보증을 보완해야 합니다.However, an organization needs to complement those vendor assurances with their own implementation choices, additional technology controls, and administrative processes. 이 보고서는 적용 가능한 전체 컨트롤 목록에 대해 이미 91% 이상의 직접적인 적용 범위를 보여줍니다.The report shows already over 91% direct coverage of the full list of applicable controls. 나머지 컨트롤의 경우, Microsoft는 해당 컨트롤의 준수 여부를 보여주는 방법에 대한 보고서의 지침을 제공합니다.For the remaining controls, Microsoft provides guidance in the report on how compliance with those controls can be demonstrated.

BIR 커버리지 보고서는 법적 구속력이 있는 문서인가요?Is the BIR coverage report a legal binding document?

아니요.No. 고객의 내부 BIR 보증 프로세스를 지원하는 도구이며 BIR 준수가 실현 가능하다는 확신과 신뢰를 구축하는 데 도움이 됩니다.It is a supporting tool for the customer’s internal BIR assurance process and helps to establish confidence and trust that BIR compliance is feasible. 보고서는 설명적인 지위를 가지며 법적 면책 조항을 포함합니다.The report has a descriptive status and includes a legal disclaimer.

이 보고서를 공유할 수 있나요?Can we share this report?

이 보고서는 고객 정보 전용이며 Microsoft Service Trust Portal 이외의 다른 채널을 통해 복사 또는 공개되지 않을 것이라는 근거로 기밀 유지 계약 (NDA)에 따라 고객에게 제공됩니다.The report is provided to customers under a non-disclosure agreement (NDA), on the basis that it is for customer information only and that it will not be copied or disclosed via other channels than the Microsoft Service Trust Platform. 고객은 규정 준수 또는 보장 프로세스의 일부로 자체 내부 또는 외부 감사인을 사용하여 보고서를 공유할 수 있습니다.Customers can share the report with their own internal or external auditor as part of their compliance or assurance processes.

리소스Resources