CyberGRX

CyberGRX 评估方法识别固有风险和剩余风险，并使用准实时威胁分析和独立证据验证为客户提供第三方网络风险状况的整体视图。

CyberGRX 是世界上第一个也是最大的协作风险交换。 CyberGRX 的分析方法仅从一个经过验证的评估中构建威胁情报和复杂的风险模型。 CyberGRX 评估不仅具有有关剩余风险的深入见解，还结合攻击场景建模和 MITRE ATT&CK 杀伤链 来监视威胁环境中不断变化的策略和技术。

Microsoft 和 CyberGRX

CyberGRX 利用其战略合作伙伴德勤和Touchs和毕马威，验证并报告了对 Microsoft 云的评估，其中包括 1,000 多个安全问题和相应的 Microsoft 响应。 CyberGRX 可解决固有风险、行业特定的威胁情报和真实攻击方案。 这使客户能够使用外部证据验证 Microsoft 的安全状况，以便生成侧重于风险的结果，而不是简单的合规性。

Microsoft 了解客户需要使用高效工具来帮助其组织快速评估风险，包括评估由于使用第三方提供关键服务（例如我们）而可能承担的潜在风险。 作为世界上最大的云服务提供商之一，Microsoft 了解我们的客户群广泛而多样化，这些客户具有不同的优先级，并且来自不同行业。 要满足这些不同的需求，Microsoft 需要寻找有效的方法来扩大和增强我们分享关键知识的能力，这些知识将帮助所有客户实现其安全优先级，无论他们使用哪种 Microsoft 云服务。 与 CyberGRX 等第三方评估公司合作是我们帮助客户在风险评估追求中保持敏捷的一种方式。

CyberGRX 的模型使对 Microsoft 云安全控制实现感兴趣的组织能够选择他们最感兴趣的控制措施，并提供经过验证的响应以供评审。 Microsoft 受益于此模型，因为我们在提供更新的能力方面也十分灵活，并且我们的响应可供 CyberGRX 交换的任何成员使用，使客户能够更多地访问此关键信息。 简言之，CyberGRX 可帮助 Microsoft 接触更多有风险评估需求的客户，并强调我们对透明度和安全性的承诺。

此外，客户可以使用 CyberGRX 的框架映射器功能将评估控制和响应映射到众所周知的行业标准和框架，例如 NIST 800-53、 NIST 网络安全框架 (CSF) 、 ISO 27001、 PCI DSS、 HIPAA，所有这些都可以显著减轻尽职调查负担。

Microsoft 范围内的云平台 & 范围内的服务

• Azure
• Dynamics 365
• Microsoft 365
• Power Platform

有关 CyberGRX 审核范围内 Microsoft 联机服务的完整列表，请参阅：

• Microsoft Azure 合规性产品/服务 或 Azure SOC 2 类型 2 证明报告。
• Azure DevOps Services，
• Office 365 SOC 2 文档。

Office 365和 CyberGRX

Office 365环境

Microsoft Office 365 是一个多租户超大规模云平台，同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域（例如，美国）中的其他区域，以实现数据复原，但 Microsoft 不会在所选地理区域之外复制客户数据。

本部分介绍以下Office 365环境：

• 客户端软件（客户端）：客户设备上运行的商业客户端软件。
• Office 365（商业）：全球范围内提供的商业公共 Office 365 云服务。
• Office 365 政府社区云 (GCC)：Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府，以及代表美国政府持有或处理数据的承包商。
• Office 365 政府社区云 - 高 (GCC High)：Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计，并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
• Office 365 DoD (DoD)：Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计，并支持严格的联邦和防御法规。 此环境供美国国防部专用。

使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用，请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息，请参阅 Office 365 政府云文章。

你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议，你应咨询法律顾问，以了解有关组织法规合规性的任何问题。

Office 365 适用性和范围内的服务

使用下表确定 Office 365 服务和订阅的适用性：

适用性

范围内服务

商业

Cortana、客户密码箱、Exchange Online Archiving、Exchange Online Protection、Exchange Online、Kaizala 专业版、Microsoft BookingsMicrosoft Forms、Microsoft MyAnalytics、Microsoft Planner、Microsoft StaffHub、Microsoft Stream、Microsoft Teams (包括 Bookings、Lists 和排班) 、Microsoft 微软待办Microsoft Defender for Office 365、Office 365视频、Office 网页版、OneDrive for Business、Project、SharePoint Online、Skype for Business Online、Sway、Whiteboard、Viva Engage

审核、报告和证书

若要访问 Microsoft 云的免费 CyberGRX 评估报告， 请填写此表单。

如何实现

• 财务用例：用例概述、教程和其他资源，用于为金融服务构建 Microsoft 云解决方案。
• 美国金融服务业法规：Microsoft 在线服务如何与美国金融机构的主要监管要求保持一致。

常见问题解答

有关 CyberGRX 验证方法、成熟度评分模型和其他相关方面的详细信息，请参阅 安全评估常见问题解答。

资源

• 服务信任门户审核报告
• CyberGRX
• Microsoft 商业云服务和金融服务
• Shared responsibilities for cloud computing（关于云计算的共同责任）
• Microsoft 信任中心内的合规性
• Microsoft 行业云