控管概觀
Microsoft 如何在整個企業中提供有效的安全性控制?
Microsoft 知道有效的安全性原則必須在整個企業中一致地實施,以保護 Microsoft 資訊系統和客戶。 安全性原則也必須考慮商務功能和資訊系統的變化,才能全面適用。 為了符合這些需求,Microsoft 會以 Microsoft Policy Framework 的一部分形式來執行全面的安全性管理計畫。 安全性控管屬於 Microsoft 安全性原則 (MSP)。
MSP 會組織 Microsoft 的安全性原則、標準和需求,以便跨所有 Microsoft 工程群組和業務單位來實作。 個別業務單位負責 Microsoft 安全性原則的具體實作。 例如,Microsoft 365 會在 Microsoft 365 資訊安全性原則和相關的 Microsoft 365 控制架構中記錄其安全性實施。 Azure 及 Dynamics 365 會將其安全性實施檔的標準作業程式 (SOPs) 和 Azure 控制架構。 這些安全性實施方式會與 MSP 的目標和目標相符。
Microsoft 的安全控管計畫會得到通知,並與各種規章和合規性框架搭配。 安全性需求會持續演變,以取得新的技術、法規和規範需求,以及安全性威脅。 由於這些變更,Microsoft 會定期更新我們的安全性原則及支援檔,以保護 Microsoft 系統和客戶、達成承諾,以及維護客戶信任。
Microsoft online services 如何在 (MSP) 上實施 Microsoft 安全性原則?
Microsoft 365 Microsoft 365 資訊安全性原則中的檔安全性實施。 此原則符合 Microsoft 安全性原則,可控管 Microsoft 365 資訊系統,包括與收集、處理、維護、使用、共用、傳播和處置資料有關的所有 Microsoft 365 環境和所有資源。 同樣地,Azure 及 Dynamics 365 會使用 Microsoft 安全性原則來控制其資訊系統。
資訊系統包含下列元件:針對 Microsoft 365) 的 Microsoft 365 information Security policy (,以及 Azure 和 Dynamics 365 (的 Microsoft 安全性原則) :
- 基礎結構: Azure、Dynamics 365 和 Microsoft 365 系統的實體和硬體元件 (設施、設備及網路)
- 軟體: Azure、Dynamics 365 和 Microsoft 365 系統的程式和作業系統 (系統、應用程式和公用程式)
- 人員:操作和使用 Azure、Dynamics 365 及 Microsoft 365 系統的人員, (開發人員、操作員、使用者及管理員)
- 程式: Azure、Dynamics 365 及 Microsoft 365 系統運作中所涉及的程式控制和手動程式
- 資料: Azure、Dynamics 365 及 Microsoft 365 系統所產生、收集及處理的資訊 (交易資料流程、檔案、資料庫及資料表)
Microsoft 365 控制架構可補強 Microsoft 365 資訊安全性原則。 Microsoft 365 控制項框架詳述所有 Microsoft 365 服務和資訊系統元件的最低安全性需求。 此外,它也參考每個控制項背後的法律和公司需求。 此架構包含控制活動名稱、描述和指引,以確保服務小組可進行有效的控制實作。 Microsoft 365 會使用控制項框架來追蹤內部及外部報告的控制實現。 類似地,azure 及 Dynamics 365 record control control the Azure Control Framework 中的實施。
線上服務如何限制和追蹤已建立原則和程式的例外狀況?
控制項框架的所有例外狀況,都必須具備合法的商業理由,而且必須由每個線上服務小組中適當的控管實體核准。 根據例外的範圍及其代表的潛在風險,可能需要向公司副總裁或更高管理層取得例外核准。 例外是在追蹤工具中管理,以供檢查和核准,以繼續相關性。
線上服務如何保持安全性和合規性需求更新?
每一項線上服務 (GRC 的控管、風險和合規性小組) 運作,以不斷維護控制架構。 有幾個案例可能需要 GRC 小組更新控制架構,包括相關規章或法律、新興威脅、滲透測試結果、安全性事件、審核回饋及新的規範需求的變更。 在需要架構變更時,信任團隊會識別負責核准及實施變更的主要利益關係人,以確保這種方式可行,而且不會造成線上服務的意想不到問題。 一旦 GRC 小組和相關的利益相關者同意所做的變更,負責實施變更集目標完成日期的工作負載,以及在各自的服務中實施變更的工作負載。 達到實現目標之後,信任團隊會以新的或更新的控制項更新控制項框架。
相關的外部法規 & 認證
Microsoft 的線上服務會定期進行審核,以符合外部法規和認證。 請參閱下表,以驗證與管理相關的控制項。
Azure 和 Dynamics 365
| 外部審計 | Section | 最新報告日期 |
|---|---|---|
| ISO 27001/27002 適用性聲明 認證 |
18.1:符合法律和合約需求 18.2:資訊安全性檢查 |
2020 年 12 月 2 日 |
| ISO 27017 適用性聲明 認證 |
18.1:符合法律和合約需求 18.2:資訊安全性檢查 |
2020 年 12 月 2 日 |
| SOC 1 | 為-1: Microsoft 安全性原則 為-2: Microsoft 安全性原則檢查 為-3:安全性角色和責任 |
2021 年 3 月 31 日 |
| SOC 2 SOC 3 |
C5-1:標準操作程式 為-1: Microsoft 安全性原則 為-2: Microsoft 安全性原則檢查 為-3:安全性角色和責任 SOC2-14:機密性和非披露的協定 SOC2-18:法定、法規及合約需求 SOC2-19:跨職能規範計畫 SOC2-20: ISM 程式 |
2021 年 3 月 31 日 |
Office 365
| 外部審計 | Section | 最新報告日期 |
|---|---|---|
| FedRAMP | CA-2:安全性評估 PL-2:系統安全性計畫 |
2020年9月24日 |
| ISO 27001/27002/27017 適用性聲明 認證 |
18.1:符合法律和合約需求 18.2:資訊安全性檢查 |
2021 年 4 月 20 日 |
| SOC 2 | CA-11:原則框架更新 CA-17: Microsoft 安全性原則 CA-25:控制架構更新 |
2020月24日 |