Comprendre le programme de normes et de stratégie de sécurité Microsoft
Le programme de sécurité et de stratégie de sécurité Microsoft fait partie de la structure de stratégie de Microsoft et offre un programme complet de gouvernance de la sécurité pour l’ensemble du personnel Microsoft, des groupes d’ingénierie et des unités d’entreprise. Étant donné que les exigences en matière de sécurité évoluent en permanence afin de prendre en compte les nouvelles technologies, les exigences en matière de conformité et de sécurité, ainsi que les menaces pour la sécurité, Microsoft met régulièrement à jour nos stratégies de sécurité et documents annexes pour protéger les systèmes et clients Microsoft, respecter nos engagements et maintenir la confiance des clients.
Programme de sécurité et stratégie de sécurité Microsoft
Le programme de sécurité et de stratégie de sécurité de Microsoft est organisé en stratégies, normes, exigences et plannings de référence. Les stratégies, normes et exigences fournissent des conseils à l’échelle de l’entreprise pour la prise en charge des pratiques de sécurité et de confidentialité cohérentes entre Microsoft. Les divisions individuelles, telles que Microsoft 365, utilisent des procédures d’exploitation standard (SOP) pour détailler la façon dont leurs unités professionnelles implémentent la configuration requise.
Le programme de stratégies et de normes de sécurité de Microsoft et les exigences de sécurité qui y sont associées comprennent :
- Stratégie de sécurité Microsoft (MSP) : le MSP est un ensemble technique non technique d’objectifs de sécurité qui s’appliquent à tous les membres du personnel de Microsoft. Les objectifs du MSP guident toutes les stratégies de sécurité, les normes et les exigences de Microsoft.
- Stratégie de programme de sécurité Microsoft (MSPP) : le programme de stratégie de sécurité Microsoft (MSPP) définit un groupe commun d’objectifs de sécurité pour favoriser une infrastructure de gouvernance pour les résultats de sécurité attendus. Le MSPP s'applique, sans s'y limiter, au personnel de Microsoft occupant des fonctions de développement, d'exploitation, de sécurité, de conformité et d'audit lors de la création, de la maintenance et/ou de l'exploitation de logiciels et/ou de services Microsoft.
- Normes : les normes de sécurité des services en ligne (OSSS) et de la sécurité des informations d’entreprise (EISS) présentent les exigences à l’échelle de l’entreprise pour la sécurité des services en ligne et de l’entreprise. OSSS guide la sécurité pour tous les services en ligne, tandis que EISS est implémenté par les équipes de sécurité d’entreprise.
- Configuration requise : les exigences de sont plus détaillées que les normes et fournissent des implémentations techniques spécifiques qui doivent être satisfaites par les systèmes et unités métier applicables. Par exemple, les entreprises qui développent des produits ou services Microsoft doivent implémenter SDL (Security Development Lifecycle) pour appliquer les pratiques de développement sécurisé. D’autres exigences de Microsoft incluent l’assurance de sécurité opérationnelle (OSA) pour les systèmes de production opérationnels sécurisés, PKI (Public Key Infrastructure) pour la sécurisation sécurisée des clés publiques et la nécessité d’intégrité des logiciels (SI) pour protéger et vérifier l’intégrité du code.
- Procédures d’exploitation standard (SOP) : les groupes de produits individuels et les unités d’entreprise utilisent des modes d’organisation normalisés pour détailler la façon dont leur organisation met en place les normes et exigences pour satisfaire les objectifs de sécurité définis dans le MSP.
Rôles et responsabilités de MSP et MSPP
Les mises à jour de la stratégie de sécurité Microsoft (MSP) et de la stratégie de programme de sécurité Microsoft (MSPP) sont dirigées par le client en matière de sécurité et de confiance, une unité d’organisation sous Microsoft Corporate, External et Legal (CELA) avec les informations de tous les groupes d’ingénierie et unités d’organisation pertinents. Le CVP de la sécurisation des clients & confiance et la CISO de la stratégie d’entreprise agissent comme approbateurs finaux pour toutes les modifications apportées au MSP.
Processus de révision des MSP et MSPP
Au minimum, les stratégies, normes et exigences de sécurité de Microsoft sont examinées et mises à jour sur une base annuelle. La révision de la stratégie de sécurité annuelle considère plusieurs facteurs, notamment :
- Modifications apportées aux exigences de conformité ou de réglementation externes. Les exemples incluent des dispositions législatives ou des mises à jour apportées à des normes externes, telles que ISO ou NIST. Le processus de révision de la stratégie de sécurité inclut l’examen de toutes les modifications proposées afin d’assurer l’alignement avec les réglementations applicables.
- Modifications apportées au paysage de sécurité. Il s’agit des menaces émergentes, des problèmes de sécurité et des leçons apprises par rapport aux incidents passés.
- Les besoins de votre entreprise et des clients. Au fur et à mesure de l’évolution des évolutions, les stratégies et les normes devront être mises à jour pour tenir compte des nouvelles technologies. Par exemple, les nouveaux produits et services peuvent nécessiter de nouvelles approches en matière de sécurité.
Les parties prenantes, leurs délégués et les réviseurs concernés évaluent la façon dont les conditions changeantes peuvent nécessiter des mises à jour des stratégies et normes de sécurité de Microsoft. Les modifications proposées sont envoyées aux réviseurs concernés pour approbation. Une fois la révision terminée, les versions mises à jour des stratégies et normes de sécurité de Microsoft sont diffusées et mises en œuvre par les unités Microsoft Business, qui mettent à jour leurs procédures d’exploitation standard (SOP) pour tenir compte des modifications apportées aux implémentations de sécurité spécifiques de leur organisation.
Exception handling
Les exceptions aux stratégies et normes de sécurité de Microsoft représentent les écarts par rapport aux besoins, avec une justification professionnelle légitime pour l’écart. Toutes les exceptions sont examinées et approuvées par une entité de gouvernance appropriée. Selon l’étendue de l’exception et le risque potentiel qu’elle représente, l’approbation des exceptions d’un dirigeant approprié peut être requise. Toutes les exceptions doivent être suivies dans l’outil approprié.