國家標準和技術研究院 (NIST) Cybersecurity Framework (CSF)

NIST CSF 概述

國家標準和技術研究院 (NIST) 會促進及維護度量標準,以及協助組織評估風險的指導方針。 如需加強聯邦網路和重要基礎結構 cybersecurity 的管理順序13636,NIST 發行了架構以提升重要基礎結構 Cybersecurity (FICIC) 月2014。

FICIC 的主要優先順序是建立一組標準和做法,協助組織管理 cybersecurity 風險,同時啟用商務效率。 NIST Framework 會解決 cybersecurity 風險,而不需要為政府和私營部門組織提供額外的法規需求。

FICIC 參照以全域方式辨識的標準,其中包含 NIST SP 800-53,可在 NIST 的框架 A 中找到,以 提升重要基礎結構 Cybersecurity。 FICIC 架構中的每個控制項都會對應至 FedRAMP 適中基準內的對應 NIST 800-53 控制項。

Microsoft 和 NIST CSF

NIST Cybersecurity Framework (CSF) 是一種自願架構,由標準、指導方針和最佳作法組成,以管理 Cybersecurity 相關的風險。 Microsoft 雲端服務已經過獨立,協力廠商 FedRAMP 適度和高基準審核,且已依照 FedRAMP 標準進行驗證。 此外,透過 HITRUST 執行的已驗證評估,主要的安全性和隱私權標準的開發和資格鑒定組織 Office 365,都是透過 NIST CSF 中指定的目標認證。

瞭解如何使用合規性分數和我們的 Azure 安全性與合規性藍圖,加速您的 NIST Cybersecurity Framework 部署:

Microsoft 範圍內雲端平台與服務

  • Azure 政府
  • 政府的 Dynamics 365
  • Office 365

Azure、Dynamics 365 和 NIST CSF

如需 Azure、Dynamics 365 及其他線上服務規範的詳細資訊,請參閱 AZURE NIST CSF 服務

Office 365 和 NIST CSF

Office 365 雲端環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列 Office 365 雲端環境:

  • 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
  • Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
  • Office 365 政府社群雲端 (GCC)Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
  • Office 365 政府社群雲端 - High (GCC High)Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
  • Office 365 DoD (DoD)Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性:

適用性 範圍內服務
商業 活動摘要服務,Bing 服務,Delve,Exchange Online,智慧服務,Microsoft Teams,Office 365 客戶入口網站,Office 線上,Office 服務基礎結構,Office 使用狀況報告、商務用 OneDrive、人員卡片、SharePoint 線上、商務用 Skype Windows Ink

Office 365 的審計週期和認證

Office 365 的 NIST CSF 憑證是有效的兩年。

常見問題集

是否已驗證獨立 assessor 是否 Office 365 支援 NIST CSF 需求?

是,Office 365 從2019年7月取得的 NIST CSF letter (來自 HITRUST)。

Microsoft Cloud Services 如何示範是否符合架構?

使用協力廠商準備的正式審計報告 FedRAMP 資格鑒定,Microsoft 可以示範這些報告中所述的相關控制措施,如何符合 NIST 架構,以改善重要基礎結構 Cybersecurity。 microsoft 所執行的已審核控制項,可確保 Azure、Office 365 及 Dynamics 365 所儲存、處理及傳輸的資料機密性、完整性和可用性,已識別為 Microsoft 的責任。

Microsoft 對於維護此倡議的合規性負責什麼工作?

參與 FICIC 是自願的。 不過,Microsoft 可確保 Office 365 符合管理線上服務條款及適用服務等級協定內定義的條款。

我可以使用 Microsoft 對我的組織的合規性嗎?

是。 對 FedRAMP 標準的獨立協力廠商相容性報告會證明 Microsoft 已實現的控制項有效性,以維護 Microsoft 雲端服務的安全性和隱私權。 Microsoft 客戶可以使用這些相關報告中所述的已審核控制項,做為自己 FedRAMP 的一部分,以及 NIST FICIC 的風險分析和資格工作。

美國政府視為重要基礎結構的組織為何?

根據 Homeland 的 安全性,這包括下列部門中的組織:化學、商業設施、通訊、重要製造業、Dams、國防工業基礎、緊急服務、能源、金融服務、食物和農業、政府設施、保健和公開健康情況、資訊技術、核 (Reactors 材料和廢物) 、運輸系統和水 (和 Wastewater) 。

為什麼有些 Office 365 服務不在此認證的範圍內?

Microsoft 提供最全面的選項,與其他雲端服務提供者相較。 為了維持跨地區和行業的廣泛合規性服務,我們根據市場需求、客戶意見反應及產品生命週期,在我們的保證工作範圍內加入服務。 如果服務並未包含在特定規范產品的目前範圍內,則您的組織有責任根據您的合規性義務評估風險,並決定處理該服務中資料的方式。 我們會持續收集客戶的意見反應,與管理機構和審計員合作,以擴大我們的安全性和合規性需求。

使用 Microsoft 合規性管理員來評估風險

Microsoft 合規性管理員Microsoft 365 合規性中心的功能,可協助您了解組織的合規性狀況,並採取行動以協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估

資源