ENISA Information Assurance Framework

Informazioni su ENISA Information Assurance Framework

L'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA) è un centro di competenza in materia di rete e informazioni, Esso collabora a stretto contatto con i paesi membri dell'Unione europea e con i privati per offrire suggerimenti e consigli su buone procedure di cybersecurity. ENISA supporta anche lo sviluppo e l'implementazione di criteri e norme UE in materia di sicurezza delle informazioni nazionali.

Information Assurance Framework (IAF) è un insieme di criteri per la garanzia della protezione dei dati dei clienti a disposizione di organizzazioni e provider di servizi cloud. IAF ha lo scopo di assistere le organizzazioni nella valutazione dei rischi relativi all'adozione di servizi cloud, confrontando al meglio le offerte di servizi diversi e riducendo la responsabilità di controllo da parte dei provider.

Microsoft ed ENISA IAF

ENISA Information Assurance Framework si basa sulle grandi classi di controlli da ISO/IEC 27001, lo standard internazionale sulla gestione della sicurezza delle informazioni, al Cloud Security Alliance (CSA) Cloud Controls (CCM) v 3.0.1. Il CCM
è un quadro di controlli che include i principi fondamentali sulla sicurezza in 16 domini consentendo ai clienti cloud di valutare il rischio di sicurezza complessivo di un provider di servizi cloud (CSP).

Per l'autovalutazione CSA STAR, Microsoft ha inviato una relazione che documenta la conformità di Microsoft Azure a CSA CCM, Microsoft pubblica anche un questionario dell'iniziativa Consensus Assessments (CAIQ) completato per Azure. Tale autovalutazione
della conformità conferma l'allineamento di Microsoft con ENISA IAF.

Azure Compliance è elencato nel CSA STAR Registry, un registro di sistema accessibile pubblicamente in cui i CSP pubblicano le loro valutazioni correlate al CSA. In questo registro, Azure dispone anche di una certificazione formale CSA STAR e attestazione CSA STAR.

Dato che questi report di autovalutazione sono accessibili pubblicamente, i clienti Azure possono ottenere una panoramica delle procedure di sicurezza Microsoft e confrontare diversi CSP usando lo stesso strumento di riferimento.

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

• Azure
• Office 365

Azure, Dynamics 365 ed ENISA IAF

Per altre informazioni su Azure, Dynamics 365 e la conformità dei servizi online, vedere l'offerta ENISA IAF.

Office 365 ed ENISA IAF

ambienti Office 365

Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.

Questa sezione illustra gli ambienti di Office 365 seguenti:

• Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
• Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
• Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
• Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
• Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.

Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.

L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.

Applicabilità di Office 365 e servizi inclusi nell'ambito

Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:

Applicabilità

Servizi inclusi nell'ambito

Commerciale

Microsoft Entra ID, Azure Information Protection, Bookings, Compliance Manager, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender per Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do per il Web, MyAnalytics, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Cloud App Security, gruppi di Office 365, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Viva Engage

Risorse

• Microsoft e l'autovalutazione CSA STAR
• Microsoft e ISO/IEC 27001