Microsoft 365 規範計畫

Microsoft 會在信任和 Microsoft 365 客戶在其產品中要求世界一流的安全性和隱私權功能。 徹底的 Microsoft 365 審核可確保客戶在協調中運作的安全性功能、資料處理慣例、相關聯的原則及工具,以符合客戶對認證、資格鑒定及 attestations 的需求。 Microsoft 365 的內部合規性計畫旨在確保安全性和隱私權在開發程式的所有階段都有考慮。

每個服務都會在執行三項相關工作時開始保證週期:安全性、隱私權和規範。 Microsoft 使用評估來指導這些工作。 安全性評估可確保套用及適當設定所有的安全性工具、應用程式原則及功能。 隱私權評估會檢查服務收集、傳送和儲存的所有資料。 它會確認嚴格的資料處理已到位,且遵守區域隱私權的需求。 最後,法規遵從性評估會驗證服務是否符合他們想要服務之客戶的所有相關規範需求。

讓我們深入瞭解上述每個元件,以瞭解在整體程式中的角色。

安全性

安全性評估是由 Microsoft 365 安全小組所擁有,其設計目的是為了識別服務小組需要安裝及設定的所有安全性解決方案。 Microsoft 365 已開發服務小組的解決方案,以保護每個個別服務,並將這些服務連線至集中式系統,以協助保護整個 Microsoft。 這些解決方案包括身分識別與存取管理、反惡意程式碼軟體、中央記錄、TLS 設定,以及其他。 服務小組也需要建立威脅模型的資料流程圖,以協助對應潛在的攻擊媒介。 Microsoft 365 安全小組可供服務小組尋求指導,並對服務安全性功能執行最後的複查和核准。

隱私權

隱私權重點是服務小組傳送、處理及儲存的客戶資料。 工作包括識別收集的資料類型、保留期間、分類,以及任何協力廠商互動。 服務小組完成其工作之後,專屬隱私權管理員和律師會執行資料處理功能的複查。 威脅模型也可以用來保護未預期的資料洩漏。 隱私權管理員必須提供官方核准和驗證隱私權評估的功能。

合規性

許多客戶必須符合特定的行業規範需求,才能使用雲端服務,例如 Microsoft 365。 合規性評估的主要目標是確定服務和任何下游相依性符合適當的公開資格鑒定的符合性需求。 這些資格鑒定可能包括 ISO 27001 Information security standardSOC II Type 2、政府客戶和其他人員的 FedRAMP

「法規遵從性評估」的最後一個步驟是 Microsoft 的信任架構師所進行的最後一個信任審查。 這可讓您完整檢查服務的安全性、隱私權及合規性狀況。 它會驗證每個服務都受到適當的保護,遵循最佳作法,符合所有相關的法規需求,而且所有可辨識的風險都已充分解決。 此外,所有其他服務和環境的整體關聯性也會在此點加以考慮。 服務小組會向信任的小組成員呈現服務,以進行評估及測試服務準備工作。 在此評審中探索的任何問題,都必須在最終核准之前修正。

鼓勵開發新服務的 Teams,可在完成其他評估之前,先與信任架構師參與諮詢考核會話。 服務小組會收到其設計的建議,包含在開始任何開發之前,避免可能的陷阱和攔截方針的指導方針。

當安全性、隱私權、合規性工作完成並核准後,客戶便可一般提供服務,並開始運作認證運作。 在大多數情況下,客戶可以使用法規和行業標準認證和資格鑒定,以快速尋找。