雲端安全性金色標章 (CS 金色標章)
CS 金色標章概觀
雲端安全性標章 (CS 標章) 是日本雲端服務提供者 (CSP) 的第一項安全性標準,以 ISO/IEC 27017 (資訊安全管理的國際作業規範) 為基礎。 此標章是以 ISO/IEC 27002 做為雲端服務的基礎,應付雲端計算中的資訊安全問題,以及雲端相關資訊安全管理的實施。
CS 標章是由日本資訊安全稽核協會 (JASA) (由日本總務省和經濟產業省所建立的非營利組織) 來鑑定資格,以加強日本的資訊安全。CS 標章可促進雲端服務的使用,並提供:
- CSP 可以套用的共同標準,以解決客戶對雲端中資料的安全性和保密性,以及使用雲端服務對企業之影響的常見擔憂。
- 客戶使用雲端服務時面臨的可驗證作業透明度和風險可見度。
- 企業和政府可用來選擇 CSP 的客觀條件,並說明 CSP 獲得資格鑑定必須遵循的安全性需求。
JASA 開發了授權資訊安全稽核系統 (AISAS),該系統會針對組織指定涵蓋資訊、實體、開發安全性、人力資源安全性、業務連續性、災害復原和事件管理等領域大約 1500 項管控的稽核。 AISAS 提供的 CS 金色標章資格鑑定,必須由 JASA 授權的獨立稽核員來執行嚴格的稽核。 CS 金色標章代表範圍內的服務可以託管重要的政府資料。
Microsoft 與 CS 金色標章
經過 JASA 認證的稽核員進行嚴格評定之後,Microsoft 在所有三個服務分類都獲得 CS 金色標章。 這些資格鑑定已授與 Microsoft Azure 基礎結構即服務 (IaaS) 和平台即服務 (PaaS),以及 Microsoft Office 365 軟體即服務 (SaaS)。 Microsoft 是第一個在所有三個分類中都獲得此資格鑑定的全球 CSP。
Microsoft 範圍內雲端平台與服務
- Azure
- Intune
- Office 365
Office 365 與 CS 金色標章
Office 365 雲端環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋下列 Office 365 雲端環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
| 適用性 | 範圍內服務 |
|---|---|
| 商業 | Azure Active Directory、Azure 資訊保護、Bookings、合規性管理員、Delve、Exchange Online、Exchange Online Protection、Forms、Kaizala、Microsoft Analytics、Microsoft Booking、適用於 Office 365 的 Microsoft Defender、Microsoft Graph、Microsoft Teams、網頁版 Microsoft To-Do、MyAnalytics、Office 365 進階合規性附加元件、Office 365 雲端 App 安全性、Office 365 群組、Office 365 安全性與合規性中心、Office Online、Office 專業增強版、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、StaffHub、Stream、Sway、Yammer Enterprise |
稽核、報告和憑證
資格鑑定的有效期為三年,每年進行一次監視稽核。
常見問題集
我要從何處著手組織自身的合規性工作?
如果貴組織使用的是 Azure 或 Office 365,您必須確保 CS 標章能滿足您自己的安全性需求。 如果 CS 標章確實能滿足您的安全性需求,您就可以在您自己的資格鑑定流程中使用 Microsoft 資格鑑定和稽核報告。 您有責任確保稽核者有參與評估合規性的實作,以及組織中的控制和程序。