ISPC) (紐西蘭政府的資訊安全性和隱私權考慮
紐西蘭政府資訊安全性和隱私權考慮概覽
在10月2015,紐西蘭政府認可已修改的所有政府 ICT 原則,以 reaffirmed 其「cloud first」原則,以在整個公用部門使用資訊技術。 修改後的策略保留在 NZ 政府首席資訊官 (GCIO) 中所開發及實施之「雲端計算風險和保證架構」的許可權。
政府在評估和採用雲端服務時,期望所有紐西蘭狀態服務中心在此架構內運作。 「雲端計算需求」概述在採用雲端服務時,以及政府之雲端原則的行事病史時,各機關都必須執行的工作。
為了協助 NZ 政府機構在對潛在的雲端解決方案進行一致且可靠的應付時,GCIO 已發佈 雲端計算:資訊安全性和隱私權考慮 (ISPC) 。 這份檔包含超過100個問題的重點,主要是資料主權、隱私權、安全性、控管、機密性、資料完整性、可用性和事件回應和管理。 ISPC 未定義雲端政府標準,讓雲端服務提供者必須示範正規符合性。 不過,在檔中所設定的許多問題,都是指如何瞭解雲端服務提供者如何符合相關標準的廣泛陣列。
Microsoft 和紐西蘭政府雲端計算安全性和隱私權考慮
為了協助組織取得 Microsoft enterprise 雲端服務的分析和評估,Microsoft 紐西蘭已產生檔,顯示其 enterprise 雲端服務如何解決「雲端計算 ISPC」中所設定的問題,方法是將其連結至 Microsoft 雲端服務所驗證的標準。 這些認證是 Microsoft 如何保證公開和私人部門客戶的核心服務,其雲端服務的設計、建立與運作方式,可有效地減輕隱私權和安全性風險,並解決資料主權方面的問題。 客戶可以下載 Azure 回應至雲端計算 ISPC 。
Microsoft 範圍內雲端平台與服務
- Azure 和 Azure Government
- Dynamics 365
- Intune
- Office 365
- Power BI 雲端服務可作為獨立服務或包含在 Office 365 品牌方案或套件中
Office 365 和 ISPC
Office 365 雲端環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋下列 Office 365 雲端環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
| 適用性 | 範圍內服務 |
|---|---|
| 商業 | Exchange Online,SharePoint 線上,商務用 Skype |
注意
Microsoft NZ 已與 GCIO 小組合作,以開發 Office 365 中所述的整合 Exchange Online 和 SEEMail 的參考架構: SEEMail 整合及參考架構。
常見問題集
如何套用架構?
在 GCIO 規定之下的組織中,公開和非公開服務部門、20地區健康情況面板和 7 Crown 實體,必須在決定使用雲端服務時,才符合架構。
我的代理人是否可以在我們的 ICT 系統的認證程式中使用 Microsoft 對此架構的回應?
如果您的代理人需要在紐西蘭 資訊安全性手冊中執行其 ICT 系統的憑證和資格鑒定,您可以在分析過程中使用這些回應。
資源
- offshore 主控 Office 生產力服務的安全性需求: Office 365 的符合性指南
- 紐西蘭政府 ICT 策略2015
- 雲端計算: (ISPC) 的資訊安全性和隱私權考慮
- Microsoft Online Services 條款
- Microsoft 信任中心的合規性