Übersicht über Governance, Risiken und Compliance

Wie bietet Microsoft eine effektive Sicherheitsgovernance im gesamten Unternehmen?

Microsoft ist sich bewusst, dass effektive Sicherheitsrichtlinien im gesamten Unternehmen konsistent implementiert werden müssen, um Microsoft-Informationssysteme und -Kunden zu schützen. Sicherheitsrichtlinien müssen außerdem Abweichungen bei Geschäftsfunktionen und Informationssystemen für eine universelle Anwendbarkeit berücksichtigen. Um diese Anforderungen zu erfüllen, implementiert Microsoft ein umfassendes Sicherheitsgovernanceprogramm als Teil des Microsoft Policy Framework. Die Sicherheitsgovernance fällt unter die Microsoft-Sicherheitsrichtlinie (Microsoft Security Policy, MSP).

In der MSP werden die Sicherheitsrichtlinien, Standards und Anforderungen von Microsoft organisiert, damit sie für sämtliche Microsoft Engineering-Gruppen und -Unternehmenseinheiten implementiert werden können. Einzelne Unternehmenseinheiten sind für spezifische Implementierungen von Microsoft Security-Richtlinien verantwortlich. Beispielsweise dokumentiert Microsoft 365 seine Sicherheitsimplementierungen in der Microsoft 365 Information Security Policy und dem zugehörigen Microsoft 365 Control Framework. Azure und Dynamics 365 ihre Sicherheitsimplementierungen in den Standardbetriebsverfahren (Standard Operating Procedures, SOPs) und dem Azure Control Framework dokumentieren. Diese Sicherheitsimplementierungen entsprechen den Zielen und Zielen des MSP.

Das Sicherheitsgovernanceprogramm von Microsoft basiert auf verschiedenen gesetzlichen und Compliance-Frameworks und richtet sich an diese. Die Sicherheitsanforderungen werden ständig weiterentwickelt, um neuen Technologien, gesetzlichen Anforderungen und Complianceanforderungen sowie Sicherheitsbedrohungen Rechnung zu tragen. Aufgrund dieser Änderungen aktualisiert Microsoft regelmäßig unsere Sicherheitsrichtlinien und unterstützenden Dokumente, um Microsoft-Systeme und -Kunden zu schützen, unsere Verpflichtungen zu erfüllen und das Vertrauen der Kunden aufrechtzuerhalten.

Wie implementiert Microsoft Onlinedienste die Microsoft-Sicherheitsrichtlinie (MSP)?

Microsoft 365 dokumentiert Sicherheitsimplementierungen in den Microsoft 365-Richtlinien zur Informationssicherheit. Diese Richtlinie richtet sich nach der Microsoft-Sicherheitsrichtlinie und steuert das Microsoft 365-Informationssystem, einschließlich aller Microsoft 365-Umgebungen und aller Ressourcen, die mit der Sammlung, Verarbeitung, Wartung, Nutzung, Freigabe, Verbreitung und Entsorgung von Daten verbunden sind. Ebenso verwenden Azure und Dynamics 365 die Microsoft-Sicherheitsrichtlinie, um ihr Informationssystem zu steuern.

Die Informationssysteme umfassen die folgenden Komponenten, die der Microsoft 365-Informationssicherheitsrichtlinie (für Microsoft 365) und der Microsoft-Sicherheitsrichtlinie (für Azure und Dynamics 365) unterliegen:

  • Infrastruktur: Die physischen und Hardwarekomponenten von Azure, Dynamics 365 und Microsoft 365-Systemen (Einrichtungen, Geräte und Netzwerke)
  • Software: Die Programme und Die Betriebssystemsoftware von Azure, Dynamics 365 und Microsoft 365-Systemen (Systeme, Anwendungen und Hilfsprogramme)
  • Personen: Das Personal, das am Betrieb und der Nutzung von Azure-, Dynamics 365- und Microsoft 365-Systemen beteiligt ist (Entwickler, Operatoren, Benutzer und Manager)
  • Verfahren: Die programmierten und manuellen Verfahren, die für den Betrieb von Azure-, Dynamics 365- und Microsoft 365-Systemen erforderlich sind
  • Daten: Die von Azure, Dynamics 365 und Microsoft 365-Systemen generierten, gesammelten und verarbeiteten Informationen (Transaktionsdatenströme, Dateien, Datenbanken und Tabellen)

Die Microsoft 365-Richtlinien zur Informationssicherheit werden durch das Microsoft 365 Control Framework ergänzt. Das Microsoft 365 Control Framework beschreibt die Mindestsicherheitsanforderungen für alle Microsoft 365-Dienste und Informationssystemkomponenten. Es verweist auch auf die rechtlichen und unternehmensrechtlichen Anforderungen hinter den einzelnen Steuerelementen. Das Framework umfasst Kontrollaktivitätsnamen, Beschreibungen und Anleitungen zur Sicherstellung effektiver Kontrollimplementierungen durch Serviceteams. Microsoft 365 verwendet das Steuerungsframework, um Steuerungsimplementierungen für interne und externe Berichte nachzuverfolgen. Ebenso erfassen Azure und Dynamics 365 Implementierungen von Steuerungen im Azure Control Framework.

Wie können Onlinedienste Ausnahmen für etablierte Richtlinien und Verfahren einschränken und nachverfolgen?

Alle Ausnahmen von den Kontrollframeworks müssen eine legitime geschäftliche Begründung haben und von einer geeigneten Governanceentität innerhalb jedes Onlinedienste Teams genehmigt werden. Abhängig vom Umfang der Ausnahme und des potenziellen Risikos, das sie darstellt, muss die Genehmigung für Ausnahmen möglicherweise bei der Unternehmensleitung eingeholt werden. Ausnahmen werden in einem Nachverfolgungstool verwaltet, in dem sie auf weitere Relevanz überprüft und genehmigt werden.

Wie bewertet und verwaltet Microsoft Risiken im gesamten Unternehmen?

Risikomanagement ist der Prozess der Identifizierung, Bewertung und Reaktion auf Bedrohungen oder Ereignisse, die sich auf Die Ziele des Unternehmens oder der Kunden auswirken können. Das Risikomanagement bei Microsoft ist so konzipiert, dass es neue Bedrohungen antizipiert und kontinuierliche Sicherheit für unsere Cloudsysteme und die Kunden bietet, die diese nutzen.

Das Risikomanagement von Microsoft richtet sich nach dem ERM-Framework (Enterprise Risk Management). ERM unterstützt den gesamten Prozess des Risikomanagements im Unternehmen und die Zusammenarbeit mit der Unternehmensleitung, um die wichtigsten Risiken bei Microsoft zu erkennen und die Verantwortlichkeiten dafür sicherzustellen.

Struktur des Risikomanagements.

Microsoft ERM ermöglicht gemeinsame Risikomanagementprinzipien im gesamten Unternehmen, sodass Geschäftseinheiten unabhängig voneinander konsistente und vergleichende Risikobewertungen ermöglichen können. Diese Koordination gibt Microsoft die Möglichkeit, Risikoinformationen auf konsolidierte Weise für die Verwaltung zu aggregieren und zu melden. ERM stellt Geschäftsbereichen bei Microsoft gemeinsame Methoden, Tools und Ziele für den Risikomanagementprozess bereit. Microsoft 365 und andere Technische Gruppen und Geschäftseinheiten verwenden diese Tools, um individuelle Risikobewertungen im Rahmen ihrer eigenen Risikomanagementprogramme unter Der Anleitung von ERM durchzuführen.

Wie funktioniert Microsoft Onlinedienste mit ERM?

Jeder Onlinedienst folgt der ERM-Anleitung, um Risiken für Microsoft-Dienste zu verwalten. Das Programm konzentriert sich auf die Ausrichtung des ERM-Frameworks an bestehende Microsoft-Engineering-, Servicebetriebs- und Complianceprozesse, wodurch das Risikomanagementprogramm effektiver und effizienter wird. Die Risikomanagementaktivitäten jedes Onlinediensts werden letztendlich in den ERM-Prozess aufgenommen und informiert.

Im Rahmen der Risikobewertungsaktivitäten analysiert jeder Onlinedienst die Entwurfs- und Betriebseffektivität von Kontrollen, die als Teil des Microsoft Controls Framework (Framework) implementiert sind. Das Framework ist ein rationalisierter Satz von Kontrollen, die es Entwicklungsteams ermöglichen, bei ordnungsgemäßer Implementierung zusammen mit unterstützenden Complianceaktivitäten die Einhaltung wichtiger Vorschriften und Zertifizierungen zu ermöglichen.

Wie halten Onlinedienste Sicherheits- und Complianceanforderungen auf dem neuesten Stand?

Governance-, Risiko- und Complianceteams der einzelnen Onlinedienste (GRC) arbeiten daran, das Kontrollframework kontinuierlich zu verwalten. Mehrere Szenarien erfordern möglicherweise, dass das GRC-Team das Kontrollframework aktualisiert, einschließlich Änderungen an relevanten Vorschriften oder Gesetzen, aufkommenden Bedrohungen, Penetrationstestergebnissen, Sicherheitsvorfällen, Überwachungsfeedback und neuen Complianceanforderungen. Wenn eine Frameworkänderung erforderlich ist, identifiziert das Trust-Team wichtige Projektbeteiligte, die für die Genehmigung und Implementierung der Änderung verantwortlich sind, um sicherzustellen, dass dies möglich ist und keine unbeabsichtigten Probleme mit Onlinediensten verursacht. Sobald das GRC-Team und die relevanten Projektbeteiligten sich darauf einigen, was die Änderung erfordert, legen die Workloads, die für die Implementierung der Zieltermine für die Änderung verantwortlich sind, fest und arbeiten daran, die Änderung in ihren jeweiligen Diensten zu implementieren. Nachdem die Implementierungsziele erreicht wurden, aktualisiert das Trust-Team das Steuerungsframework mit den neuen oder aktualisierten Steuerelementen.

Die Onlinedienste von Microsoft werden regelmäßig auf Einhaltung externer Vorschriften und Zertifizierungen überprüft. In der folgenden Tabelle finden Sie Informationen zur Überprüfung von Kontrollen im Zusammenhang mit Governance, Risiko und Compliance.

Azure und Dynamics 365

Externe Überwachungen Section Datum des letzten Berichts
ISO 27001/27002

Erklärung der Anwendbarkeit
Zertifikat
A.5: Informationssicherheitsrichtlinien
A.18.1: Einhaltung gesetzlicher und vertraglicher Anforderungen
A.18.2: Überprüfungen der Informationssicherheit
7. November 2022
ISO 27017

Erklärung der Anwendbarkeit
Zertifikat
A.5: Informationssicherheitsrichtlinien
A.18.1: Einhaltung gesetzlicher und vertraglicher Anforderungen
A.18.2: Überprüfungen der Informationssicherheit
7. November 2022
ISO 27018

Erklärung der Anwendbarkeit
Zertifikat
A.5: Informationssicherheitsrichtlinien 7. November 2022
ISO 22301

Zertifikat
6.1.1: Bestimmen von Risiken und Chancen
6.1.2: Risiken und Chancen angehen
21. Juni 2021
SOC 1 IS-1: Microsoft-Sicherheitsrichtlinie
IS-2: Überprüfung der Microsoft-Sicherheitsrichtlinie
IS-3: Sicherheitsrollen und -zuständigkeiten
6. Mai 2022
SOC 2
SOC 3
C5-1: Standardbetriebsverfahren
IS-1: Microsoft-Sicherheitsrichtlinie
IS-2: Überprüfung der Microsoft-Sicherheitsrichtlinie
IS-3: Sicherheitsrollen und -zuständigkeiten
SOC2-14: Vertraulichkeits- und Geheimhaltungsvereinbarungen
SOC2-18: Gesetzliche, regulatorische und vertragliche Anforderungen
SOC2-19: Funktionsübergreifendes Compliance-Programm
SOC2-20: ISMS-Programm
SOC2-26: Jährliche Risikobewertung
23. November 2022

Office 365

Externe Überwachungen Section Datum des letzten Berichts
FedRAMP CA-2: Sicherheitsbewertungen
CA-5: Aktionsplan und Meilensteine
PL-2: Systemsicherheitsplan
RA-3: Risikobewertung
27. Juli 2022
ISO 27001/27002/27017

Erklärung der Anwendbarkeit
Zertifizierung (27001/27002)
Zertifizierung (27017)
A.5: Informationssicherheitsrichtlinien
A.18.1: Einhaltung gesetzlicher und vertraglicher Anforderungen
A.18.2: Überprüfungen der Informationssicherheit
März 2022
SOC 1 CA-03: Risikomanagement 3. Januar 2023
SOC 2 CA-02: Verantwortlichkeiten des Governance-, Risiko- und Complianceteams
CA-03: Risikomanagement
CA-11: Richtlinienframeworkupdates
CA-17: Microsoft-Sicherheitsrichtlinie
CA-24: Interne Risikobewertung
CA-25: Frameworkupdates steuern
3. Januar 2023

Ressourcen