ISO/IEC 27001:2013 Information Security Management Standards
ISO/IEC 27001 – Übersicht
Die International Organization for Standardization (ISO) ist eine unabhängige Nichtregierungsorganisation und der weltweit größte Entwickler von freiwilligen internationalen Standards. Die International Electrotechnical Commission (IEC) ist die weltweit führende Organisation für die Vorbereitung und Veröffentlichung von internationalen Standards für elektrische, elektronische und damit verbundene Technologien.
Die vom gemeinsamen ISO/IEC-Unterausschuss herausgegebene ISO/IEC 27000-Standardfamilie beschreibt Hunderte von Kontrollen und Kontrollmechanismen, die Organisationen aller Arten und Größen dabei unterstützen, Informationsbestände sicher vorzuhalten. Diese globalen Standards stellen einen Rahmen für Richtlinien und Verfahren bereit, die alle gesetzlichen, physischen und technischen Kontrollen umfassen, welche an den Prozessen zum Informationsrisikomanagement einer Organisation beteiligt sind.
ISO/IEC 27001 ist ein Sicherheitsstandard, der ein Information Security Management System (ISMS) formal spezifiziert, das die Informationssicherheit unter ausdrückliche Verwaltungskontrolle bringen soll. Als formale Spezifikation gibt er Anforderungen vor, die definieren, wie das ISMS zu installieren, zu überwachen, zu pflegen und laufend zu verbessern ist. Außerdem werden eine Reihe von Best Practices vorgeschrieben, die Anforderungen im Hinblick auf Dokumentation, Zuständigkeitsbereiche, Verfügbarkeit, Zugriffssteuerung, Sicherheit, Prüfung und Abhilfe- und Präventivmaßnahmen umfassen. Die Zertifizierung nach ISO/IEC 27001 hilft Organisationen dabei, zahlreiche regulatorische und gesetzliche Anforderungen in Bezug auf die Informationssicherheit einzuhalten.
Microsoft und ISO/IEC 27001
Vor allem aufgrund der internationalen Akzeptanz und Anwendbarkeit von ISO/IEC 27001 hat Microsoft die Zertifizierung nach diesem Standard zu einer Grundlage für den Ansatz zur Implementierung und Verwaltung der Informationssicherheit erhoben. Die Tatsache, dass Microsoft eine Zertifizierung nach ISO/IEC 27001 erreicht hat, unterstreicht seine Verpflichtung, die Kundenversprechen aus Unternehmens- und Sicherheitscompliancesicht zu erfüllen. Derzeit werden sowohl Azure Public als auch Azure Deutschland einmal pro Jahr im Hinblick auf Compliance mit ISO/IEC 27001 von einer dritten, akkreditierten Zertifizierungsstelle überprüft. Diese Zertifizierungsstelle führt eine unabhängige Überprüfung durch, dass Microsoft die Sicherheitskontrollen eingeführt hat und diese effizient funktionieren.
Erfahren Sie mehr über die Vorteile von ISO/IEC 27001 in der Microsoft Cloud: Laden Sie iso/IEC 27001:2013 herunter.
Eingeschlossene Cloudplattformen und -dienste von Microsoft
- Azure, Azure Government und Azure Deutschland
- Azure DevOps Services
- Microsoft Defender for Cloud Apps
- Microsoft Defender für Endpunkt
- Dynamics 365, Dynamics 365 Government und Dynamics 365 Deutschland
- Microsoft Graph
- Microsoft Healthcare Bot
- Intune
- Microsoft Managed Desktop
- Power Automate-Clouddienst (ehemals Microsoft Flow) als eigenständiger Dienst oder in einem Office 365- oder Dynamics 365-Plan bzw. -Anwendungssuite enthalten
- Office 365, Office 365 U.S. Government und Office 365 U.S. Government Defense
- Office 365 Deutschland
- OMS Service Map
- PowerApps-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan oder einer -Anwendungssuite enthalten
- Power BI-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365-Plan oder einer -Anwendungssuite enthalten
- Power BI Embedded
- Power Virtual Agents
- Microsoft Professional Services
- Microsoft Stream
- Microsoft-Bedrohungsexperten
- Microsoft Translator
- Viva Topics
- Windows 365
Azure, Dynamics 365 und ISO 27001
Weitere Informationen zu Azure, Dynamics 365 und anderen Onlinediensten finden Sie im Azure ISO 27001-Angebot.
Office 365 und ISO 27001
Office 365-Umgebungen
Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.
In diesem Abschnitt werden die folgenden Office 365-Umgebungen behandelt:
- Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
- Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
- Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
- Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
- Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.
Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.
Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.
Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste
Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:
Anwendbarkeit | Im Leistungsumfang enthaltene Dienste |
---|---|
Kommerziell | Onlinezugriff, Microsoft Entra ID, Azure Communications Service, Compliance-Manager, Kunden-Lockbox, Delve, Exchange Online, Exchange Online Protection, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender für Office 365, Microsoft Teams, Microsoft Viva Topics, MyAnalytics, Office 365 Advanced Compliance-Add-On, Office 365 Customer Portal, Office 365 Microservices (einschließlich, aber nicht beschränkt auf Kaizala, ObjectStore, Sway, Power Automate, PowerPoint Online Document Service, Query Annotation Service, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Office Services Infrastructure, OneDrive for Business, Planner, PowerApps, Power BI, Project Online, Dienstverschlüsselung mit Microsoft Purview Customer Key, SharePoint Online, Skype for Business, Stream |
GCC | Microsoft Entra ID, Azure Communications Service, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender für Office 365, Microsoft Teams, Microsoft Viva Topics, MyAnalytics, Office 365 Advanced Compliance-Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream |
GCC High | Microsoft Entra ID, Azure Communications Service, Exchange Online, Forms, Microsoft Defender für Office 365, Microsoft Teams, Office 365 Advanced Compliance-Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business |
DoD | Microsoft Entra ID, Azure Communications Service, Exchange Online, Forms, Microsoft Defender für Office 365, Microsoft Teams, Office 365 Advanced Compliance-Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business |
Office 365-Prüfungen, -Berichte und -Zertifikate
Office 365-Clouddienste werden mindestens einmal jährlich anhand des Standards ISO 27001:2013 überprüft.
Office 365-Bewertungen und -Berichte
- Microsoft 365 ISO Assessment Report Final (2023)
- Office 365 – ISO 27001, 27017, 27018, 27701 Erklärung zur Anwendbarkeit (2.23.2022)
Häufig gestellte Fragen
Warum ist die Office 365-Compliance mit ISO/IEC 27001 wichtig?
Compliance mit diesen Standards, die durch einen akkreditierten Prüfer bestätigt wird, beweist, dass Microsoft international anerkannte Prozesse und Best Practices verwendet, um die Infrastruktur und die Organisation zur Unterstützung und Bereitstellung seiner Dienste zu verwalten. Das Zertifikat bestätigt, dass Microsoft die Richtlinien und allgemeinen Prinzipien zum Initiieren, Einführen, Pflegen und Verbessern der Informationssicherheitsverwaltung implementiert hat.
Wo erhalte ich die ISO/IEC 27001-Prüfberichte und Bereichserklärungen für Office 365-Dienste?
Das Vertrauensstellungsportal stellt unabhängig geprüfte Complianceberichte zur Verfügung. Sie können über das Portal Berichte anfordern, sodass Ihre Prüfer die Ergebnisse der Clouddienste von Microsoft mit Ihren eigenen gesetzlichen und regulatorischen Anforderungen vergleichen können.
Werden jährliche Tests für Office 365-Infrastrukturfehler ausgeführt?
Ja. Der jährliche Zertifizierungsprozess nach ISO/IEC 27001 für die Microsoft Cloud Infrastructure and Operations-Gruppe umfasst eine Überprüfung der Ausfallsicherheit im Betrieb. Um das neueste Zertifikat anzuzeigen, wählen Sie den Link unten aus.
- Microsoft 365- und Office 365-Zertifikat: Office 365 – ISO 27001:2013-Zertifikat (2021-2024)
Wo beginne ich mit dem Complianceprozess im Hinblick auf ISO/IEC 27001 für meine eigene Organisation?
Die Übernahme von ISO/IEC 27001 ist eine strategische Verpflichtung. Ein guter Ausgangspunkt ist die ISO/IEC 27000-Reihe.
Kann ich die ISO/IEC 27001-Compliance von Office 365-Diensten für den Zertifizierungsprozess meiner Organisation verwenden?
Ja. Wenn Ihr Unternehmen eine Zertifizierung nach ISO/IEC 27001 für Installationen benötigt, die in Microsoft-Diensten bereitgestellt werden, können Sie die entsprechende Zertifizierung für Ihre Compliancebewertung verwenden. Sie sind jedoch dafür verantwortlich, einen Auditor mit der Prüfung der Kontrollen und Prozesse in Ihrer eigenen Organisation und Ihrer Implementierung im Hinblick auf ISO/IEC 27001-Compliance zu beauftragen.
Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos
Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Complianceportal , mit dem Sie den Compliancestatus Ihrer Organisation besser verstehen und Maßnahmen ergreifen können, um Risiken zu reduzieren. Der Compliance Manager verfügt über eine vorgefertigte Bewertung für diese Vorschrift für Enterprise E5-Kunden. Die Vorlage für die Erstellung der Bewertung finden Sie auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.
Ressourcen
- Zuordnung der Microsoft Cyber-Angebote: NIST Cybersecurity (CSF), CIS Controls und ISO27001:2013-Frameworks
- ISO/IEC 27001:2013-Standard (für den Kauf)
- Microsoft legt hohe Anforderungen für die Informationssicherheit vor (BSI-Fallstudie)
- Microsoft Common Controls Hub-Complianceframework
- Microsoft Online Services-Nutzungsbedingungen
- Microsoft Cloud for Government