資訊安全性控制的 ISO/IEC 27017:2015 工作條例規定

ISO-IEC 27017 概觀

ISO/IEC 27017:2015 工作條例規定專為組織設計,可在基於 ISO/IEC 27002:2013 實作雲端運算資訊安全管理系統時,用來做為選取雲端服務資訊安全性控制的參考。 雲端服務提供者也可以使用它做為實作常見防護控制的指導方針文件。

此國際標準提供基於 ISO/IEC 27002 的額外雲端特定實作指導方針,並提供額外的控制來處理雲端特定資訊安全性威脅和風險,請查閱 ISO/IEC 27002:2013 的條款 5 至 18 中相關的控制、實作指導方針及其他資訊。 具體來說,此標準提供 ISO/IEC 27002 中 37 項控制的指導方針,並提供未與 ISO/IEC 27002 中重複的七項新控制。 這些新的控制能解決下列重要領域:

  • 雲端運算環境內的共同角色和責任
  • 在合約終止時移除並退回雲端服務客戶資產
  • 保護客戶的虛擬環境並與其他客戶的虛擬環境隔離
  • 虛擬機器強化需求,以滿足商務需求
  • 雲端運算環境系統管理操作的程序
  • 讓客戶能夠監視雲端運算環境內的相關活動
  • 結合虛擬和實體網路的安全性管理

Microsoft 和 ISO/IEC 27017

ISO/IEC 27017 在為雲端服務提供者和雲端服務客戶提供指導方針方面與眾不同。 它也會為雲端服務客戶提供有關他們應該對雲端服務提供者所預期的實務資訊。 透過確保客戶了解在雲端中的共用責任,客戶可以直接從 ISO/IEC 27017 獲益。

Microsoft 範圍內雲端平台與服務

  • Azure、Azure Government 和 Azure 德國
  • Microsoft Cloud App Security
  • Dynamics 365、Dynamics 365 和 Dynamics 365 德國
  • Intune
  • 適用於端點的 Microsoft Defender
  • Microsoft Graph
  • Microsoft Healthcare Bot
  • Microsoft 受管理的電腦
  • Office 365、Office 365 美國政府、Office 365 美國政府國防版和 Office 365 Germany
  • Power Automate (先前為 Microsoft Flow) 雲端服務可作為獨立服務或包含在 Office 365 或 Dynamics 365 品牌方案或套件中
  • PowerApps 雲端服務可作為獨立服務或包含在 Office 365 或 Dynamics 365 品牌方案或套件中
  • Power BI 雲端服務可作為獨立服務或包含在 Office 365 品牌方案或套件中
  • Power BI Embedded
  • Windows 365

Azure、Dynamics 365 和 ISO 27017:2015

如需 Azure、Dynamics 365 及其他線上服務合規性的詳細資訊,請參閱 Azure ISO 27017 供應項目

Office 365 和 ISO 27017:2015

Office 365 雲端環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列 Office 365 雲端環境:

  • 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
  • Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
  • Office 365 政府社群雲端 (GCC)Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
  • Office 365 政府社群雲端 - High (GCC High)Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
  • Office 365 DoD (DoD)Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性:

適用性 範圍內服務
商業 Access Online、Azure Active Directory、Azure Communications Service、合規性管理員、客戶加密箱、Delve、Exchange Online、Exchange Online Protection、Forms、Griffin、Identity Manager、Lockbox (Torus)、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 進階合規性附加元件、Office 365 客戶入口網站、Office 365 微服務 (包含但不限 Kaizala、ObjectStore、Sway、PowerPoint Online Document Service、Query Annotation Service、學校資料同步處理、Siphon、Speech、StaffHub、eXtensible Application Program)、Office 365 安全性與合規性中心、Office Online、Office 專業增強版、Office Services Infrastructure、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、Project Online、使用客戶金鑰的服務加密、SharePoint Online、商務用 Skype、Stream
GCC Azure Active Directory、Azure Communications Service、合規性管理員、Delve、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、MyAnalytics、Office 365 進階合規性附加元件、Office 365 安全性與合規性中心、Office Online、Office 專業增強版、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、Stream
GCC High Azure Active Directory、Azure Communications Service、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、Office 365 進階合規性附加元件、Office 365 安全性與合規性中心、Office Online、Office 專業增強版、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype
DoD Azure Active Directory、Azure Communications Service、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、Office 365 進階合規性附加元件、Office 365 安全性與合規性中心、Office Online、Office 專業增強版、商務用 OneDrive、Planner、Power BI、SharePoint Online、商務用 Skype

Office 365 稽核、報告和認證

Microsoft 雲端服務會每年隨著 ISO/IEC 27001:2013 的認證程序,針對 ISO/IEC 27017:2015 工作條例規定進行一次稽核。

常見問題集

該標準適用於誰?

此工作條例規定可提供雲端服務提供者和雲端服務客戶的控制和實作指導方針。 它的結構格式類似於 ISO/IEC 27002:2013。

可以在何處檢視 Microsoft 的 ISO/IEC 27017:2015 合規性資訊?

您可以下載適用於 Azure、Intune 和 Power BI 的 ISO/IEC 27017:2015 認證

我是否可以在組織的認證程序中使用 Microsoft 服務的 ISO/IEC 27017 合規性?

是。 如果貴公司正在尋求用於在任何 Microsoft 範圍內企業雲端服務上所部署實作的認證,則可以在您的合規性評定中使用 Microsoft 的相關認證。 不過,您有責任確保處理者有參與評估合規性的實作,以及組織中的控制和程序。

如何取得適用稽核報告的複本?

服務信任入口網站提供獨立的協力廠商稽核報告和其他相關文件。 您可以使用入口網站來下載並檢閱此文件,以獲得您自己的法規需求的協助。

使用 Microsoft 合規性管理員來評估風險

Microsoft 合規性管理員Microsoft 365 合規性中心的功能,可協助您了解組織的合規性狀況,並採取行動以協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估

資源