Estándar base Informatiebeveiliging Rijksdienst (BIR 2012)
Información general del BIR 2012
Las organizaciones que operan en el sector público holandés deben demostrar el cumplimiento normativo del estándar básico Informatiebeveiliging Rijksdienst (BIR 2012). BIR 2012 proporciona un marco de trabajo estándar basado en ISO 27001 e ISO 27002. En el caso de las organizaciones que usan Microsoft Azure o Office 365, Microsoft administra parte de los controles de BIR 2012 para estos servicios en la nube en consonancia con el modelo de responsabilidad compartida en informática en la nube. Por lo tanto, las organizaciones que necesitan cumplir con BIR 2012 deben determinar si los servicios subyacentes de Microsoft que usan cumplen con BIR 2012.
El informe de cobertura de BIR ofrece instrucciones para las situaciones en las que los estándares de BIR están cubiertos por las certificaciones ISO 27001 existentes disponibles para servicios en la nube de Microsoft. Cuando hay controles BIR adicionales que no están cubiertos por la norma ISO 27001, se hacen referencias a otras atestaciones independientes, documentación de auditoría o declaraciones contractuales.
Microsoft y BIR 2012
Aunque Microsoft no está sujeto al cumplimiento de BIR 2012, los clientes del sector gubernamental que buscan usar servicios en la nube pueden usar las certificaciones existentes de Microsoft para determinar su cumplimiento con este estándar. Azure y Office 365 se someten a diferentes certificaciones y atestaciones periódicas independientes, algunas de las cuales están estrechamente relacionadas con el BIR 2012.
Descargue la guía de usuario de la nube de Microsoft: Azure y Office 365 BIR-2012
Servicios y plataformas en la nube dentro de Microsoft
- Azure
- Intune
- Office 365
Office 365 y BIR 2012
entornos de Office 365
Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.
En esta sección se tratan los siguientes entornos de Office 365:
- Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
- Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
- Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
- Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
- Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.
Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.
Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.
Aplicabilidad y servicios dentro Office 365
Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:
Aplicabilidad | Servicios incluidos |
---|---|
Comercial | Azure Information Protection, Bookings, Exchange Online Protection, Exchange Online, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, Microsoft To-Do for Web, MyAnalytics, Office 365 Cloud App Security, grupos de Office 365, Office Delve, OneDrive para la Empresa, Planner, Power Apps, Power Automate, Power BI para Office 365, PowerApps, SharePoint Online, Skype Empresarial, StaffHub, Stream, Sway, Viva Engage |
Auditorías, informes y certificados
Microsoft contrató a una empresa de auditoría independiente de terceros para analizar en qué medida las certificaciones y atestaciones actuales de Azure y Office 365 (como ISO/IEC 27001 y SOC 2 Tipo 2) cubren la parte de BIR 2012 de la que Microsoft es responsable. El informe resultante proporciona una asignación de estas certificaciones y atestaciones existentes a los controles enumerados en el estándar BIR 2012. Los clientes pueden usar el informe como una herramienta para ayudar a adoptar Azure de forma compatible con BIR 2012. El informe muestra claramente qué controles BIR 2012 están cubiertos por Microsoft y qué controles deben ser implementados por los clientes. El informe "Microsoft Cloud: Azure and Office 365 BIR 2012 Baseline Coverage" se puede descargar desde la sección Informes de auditoría del Portal de confianza de servicios - Informes de Auditoría GRC.
Preguntas más frecuentes
¿Está Microsoft certificado con el BIR 2012?
El ámbito de cumplimiento del BIR se limita al sector gubernamental. Requiere que la organización implemente un sistema de administración de seguridad de la información y que aborde los riesgos con las medidas técnicas y de la organización adecuadas. Para Microsoft, como proveedor de servicios de nube, el cumplimiento del BIR no es un objetivo, ni es factible de forma técnica. Cuando un cliente implementa o usa servicios en la nube de Microsoft, es posible que estos servicios estén en el ámbito de una evaluación del BIR. Sin embargo, la organización debe agregar sus propios controles, elecciones y procesos (adicionales), que forman parte de la evaluación de BIR general. El objetivo del informe es demostrar que una entidad gubernamental puede adoptar servicios en la nube de Microsoft de un modo que sea compatible con el BIR 2012.
¿Un cliente que use servicios en la nube de Microsoft cumple con BIR 2012?
Demostrar el cumplimiento normativo de BIR es responsabilidad del cliente. Los clientes que usan un proveedor de servicios en la nube normalmente exigen garantías al proveedor y agregan su propia tecnología (adicional) y decisiones organizativas, opciones y procesos. Este esfuerzo da como resultado una evaluación general por parte del cliente de su cumplimiento con BIR, que puede enviarse para su revisión o certificación a un auditor de terceros. El informe de cobertura de BIR ofrece información acerca de los controles BIR que se encuentran cubiertos por los servicios en la nube de Microsoft, pero no cubre el cumplimiento de un extremo a otro.
El informe no muestra una cobertura del 100 %. ¿No es factible el cumplimiento de BIR 2012?
Los servicios en la nube de Microsoft proporcionan muchos controles para ayudar a las organizaciones dentro del territorio holandés con sus necesidades de cumplimiento de BIR. Sin embargo, una organización debe complementar estas garantías de proveedor con sus propias opciones de implementación, controles de tecnología adicionales y procesos administrativos. El informe muestra que ya cuenta con un 91 % de cobertura directa de la lista completa de controles aplicables. Para los controles restantes, Microsoft ofrece directrices en el informe acerca de cómo se puede demostrar el cumplimiento de esos controles.
¿El informe de cobertura de BIR es un documento jurídicamente vinculante?
No. Es una herramienta de ayuda para el proceso de garantía del BIR interno del cliente y le ayuda a establecer confianza en que es viable el cumplimiento del BIR. El informe tiene un estado descriptivo y contiene una renuncia legal.
¿Podemos compartir este informe?
El informe se le proporciona a los clientes con un acuerdo de no divulgación, sobre la base de que solo se usará para informar a los clientes y que no se va a copiar o revelar por otros canales que no sean la Plataforma de confianza de servicios de Microsoft. Los clientes pueden compartir el informe con su auditor interno o externo como parte de sus procesos de cumplimiento o garantía.