Explorar a política de segurança de informações do Microsoft 365
As unidades de negócios e os grupos de produtos da Microsoft são responsáveis por implementar as políticas de segurança, os padrões e os requisitos do Programa de Política e Padrões da Segurança da Microsoft. Microsoft 365 documenta essas implementações de segurança na Política de Segurança de Informação do Microsoft 365. Essa política se alinha à Política de Segurança da Microsoft e rege o sistema de informações do Microsoft 365, incluindo todos os ambientes do Microsoft 365 e todos os recursos envolvidos na coleta, processamento, manutenção, uso, compartilhamento, compartilhamento e descarte de dados.
Escopo
A finalidade da Política de Segurança da Informação do Microsoft 365 é permitir que o Microsoft 365 opere de acordo com as práticas recomendadas, atingir o objetivo corporativo de criar e manter a confiança do cliente, cumprir os requisitos regulatórios e compromissos do cliente e dar suporte a promessas públicas em relação à confidencialidade, integridade e disponibilidade dos serviços Microsoft 365.
O sistema de informação do Microsoft 365 inclui os seguintes componentes regidos pela Política de Segurança de Informação do Microsoft 365:
- Infraestrutura: Os componentes físicos e de hardware do Microsoft 365 (instalações, equipamentos e redes)
- Software: Os programas e o software operacional de sistemas Microsoft 365 (sistemas, aplicativos e utilitários)
- Pessoas: A equipe envolvida na operação e no uso de sistemas Microsoft 365 (desenvolvedores, operadores, usuários e gerentes)
- Procedimentos: Os procedimentos programados e manuais envolvidos na operação de sistemas Microsoft 365
- Dados: As informações geradas, coletadas e processadas por sistemas Microsoft 365 (fluxos de transações, arquivos, bancos de dados e tabelas)
Todos os componentes de sistema de informação do Microsoft 365 são regidos pela Política de Segurança de Informação do Microsoft 365.
Estrutura de Controle do Microsoft 365
A Política de Segurança de Informação do Microsoft 365 é complementada pela Estrutura de Controle do Microsoft 365. A Estrutura de Controle do Microsoft 365 detalha os requisitos de segurança mínima para todos os serviços Microsoft 365 e componentes do sistema de informações e faz referência aos requisitos legais e corporativos por trás de cada controle. A estrutura inclui nomes de atividades de controle, descrições e diretrizes para garantir implementações de controle eficazes por equipes de serviço. Microsoft 365 usa a estrutura de controle para rastrear evidências de implementações de controle para relatórios internos e externos.
A Estrutura de Controle consiste em 18 objetivos nas seguintes áreas de domínio principais:
- Controle de Acesso (AC)
- Reconhecimento e Treinamento (AT)
- Auditoria e Responsabilidade (AU)
- Avaliação de Segurança (CA)
- Gerenciamento de Configuração (CM)
- Planejamento de Contingência (CP)
- Identificação e Autenticação (IA)
- Resposta a Incidentes (IR)
- Manutenção (MA)
- Proteção de Mídia (MP)
- Acesso Físico (PE)
- Planejamento de Segurança (PL)
- Gerenciamento de Programas (PM)
- Segurança da Equipe (PS)
- Avaliação de Risco (RA)
- Aquisição de Sistema e Serviços (SA)
- Proteção do Sistema e de Comunicações (SC)
- Integridade do Sistema e das Informações (SI)
Funções e responsabilidades
Cada equipe de serviço no Microsoft 365 designa indivíduos responsáveis por conduzir a conformidade com a Política de Segurança da Informação do Microsoft 365, implementar controles de segurança relevantes e verificar se os controles foram implementados corretamente. A tabela a seguir resume brevemente as funções com responsabilidades importantes para impulsionar o alinhamento com a Política de Segurança de Informação do Microsoft 365.
| Função | Descrição das responsabilidades |
|---|---|
| Diretor de Segurança do Sistema de Informações | Indivíduo responsável por manter a postura de segurança operacional do sistema de informações. |
| Diretor de Conformidade da GRC | Indivíduo responsável por definir os requisitos mínimos de segurança e verificar se esses requisitos são atendidos pelo Microsoft 365. |
| EVP, Experiência + Dispositivos | Gerente principal responsável por definir a direção estratégica para o Grupo de Engenharia, incluindo objetivos de segurança e conformidade. |
| Campeões de Conformidade da Equipe de Serviço | Especialistas em cada equipe de serviço que auxiliam os membros da equipe de serviço na implementação de requisitos de política e padrão. |
| Membros da Equipe de Serviço | Membros de equipes de serviço responsáveis pela implementação de requisitos de política e padrão. |
Atualizações da Estrutura de Controle do Microsoft 365
A equipe do Microsoft 365 Trust trabalha para manter a Estrutura de Controle interna do Microsoft 365 em uma base contínua. Vários cenários podem exigir que a equipe do Trust atualize a estrutura de controle, incluindo: alterações em regulamentos ou leis relevantes, ameaças emergentes, resultados de teste de penetração, incidentes de segurança, comentários de auditoria e novos requisitos de conformidade. Quando uma alteração de estrutura é necessária, a equipe do Trust identifica os principais stakeholders responsáveis pela aprovação e implementação da alteração para garantir que ela seja viável e não causará problemas não intencionais com os serviços do Microsoft 365. Depois que a equipe de confiança e os stakeholders relevantes concordarem sobre o que a alteração exige, as cargas de trabalho responsáveis pela implementação das datas de conclusão de destino do conjunto de alterações e trabalharão para implementar a alteração em seus respectivos serviços. Após o cumprimento das metas de implementação, a equipe do Trust atualiza a estrutura de controle com os controles novos ou atualizados.
Processo de exceção
Todas as exceções à Política de Segurança da Informação do Microsoft 365 devem ter uma justificativa comercial legítima e ser aprovadas por uma entidade de governança apropriada dentro do Microsoft 365. As exceções também devem ter aprovação de gerenciamento de equipe de serviço e ser documentadas na ferramenta de gerenciamento de riscos do Microsoft 365. Dependendo do escopo da exceção e do risco potencial que ela representa, a aprovação de exceções pode precisar ser obtida de um vice-presidente corporativo ou superior. As exceções são inseridas na ferramenta de gerenciamento de riscos do Microsoft 365, em que são revisadas e aprovadas para relevância contínua.