Standard di gestione della sicurezza delle informazioni ISO/IEC 27001:2013
Panoramica di ISO/IEC 27001
International Organization for Standardization (ISO) è un'organizzazione non governativa indipendente nonché il più grande sviluppatore al mondo di standard internazionali volontari. International Electrotechnical Commission (IEC) è l'organizzazione leader al mondo per la preparazione e la pubblicazione di standard internazionali per tecnologie elettriche, elettroniche e correlate.
Pubblicata dalla sottocommissione congiunta ISO/IEC, la famiglia di standard ISO/IEC 27000 riporta centinaia di controlli e meccanismi di controllo per aiutare le organizzazioni di ogni tipo e dimensione a mantenere protette le loro risorse di informazioni. Questi standard globali forniscono un framework per criteri e procedure che includono tutti i controlli legali, fisici e tecnici coinvolti nei processi di gestione dei rischi correlati alle informazioni di un'organizzazione.
ISO/IEC 27001 è uno standard di sicurezza che specifica formalmente un Information Security Management System (ISMS), il cui scopo è fornire un controllo di gestione esplicito per la sicurezza delle informazioni. In quanto specifica formale, impone requisiti che definiscono come implementare, monitorare mantenere e migliorare costantemente l'ISMS. Prescrive inoltre un set di best practice che includono requisiti per documentazione, suddivisione delle responsabilità, disponibilità, controllo dell'accesso, sicurezza, controllo, nonché misure correttive e preventive. La certificazione ISO/IEC 27001 aiuta le organizzazioni a conformarsi a numerosi requisiti normativi e legali correlati con la sicurezza delle informazioni.
Microsoft e ISO/IEC 27001
L'accettazione internazionale e l'applicabilità di ISO/IEC 27001 sono il motivo essenziale per cui la certificazione per questo standard è alla base dell'approccio di Microsoft all'implementazione e alla gestione della sicurezza delle informazioni. Il conseguimento della certificazione ISO/IEC 27001 di Microsoft indica il suo impegno a mantenere le promesse fatte ai clienti in termini di conformità ai requisiti di sicurezza. Attualmente, sia Azure pubblico che Azure Germania vengono sottoposti una volta all'anno a controlli di conformità agli standard ISO/IEC 27001 svolti da un organismo di certificazione di terze parti, che fornisce una convalida indipendente dell'implementazione e dell'efficacia dei controlli di sicurezza applicabili.
Informazioni sui vantaggi di ISO/IEC 27001 in Microsoft Cloud: Scaricare ISO/IEC 27001:2013.
Piattaforme e servizi cloud Microsoft inclusi nell'ambito
- Azure, Azure per enti pubblici e Azure Germania
- Azure DevOps Services
- Microsoft Defender for Cloud Apps
- Microsoft Defender per endpoint
- Dynamics 365, Dynamics 365 Government e Dynamics 365 Germany
- Microsoft Graph
- Microsoft Healthcare Bot
- Intune
- Microsoft Managed Desktop
- Servizio cloud Power Automate (in precedenza Microsoft Flow), autonomo o incluso in un piano o in una famiglia di prodotti Office 365 o Dynamics 365
- Office 365, Office 365 U.S. Government e Office 365 U.S. Government Defense
- Office 365 Germany
- Mapping dei servizi OMS
- Servizio cloud PowerApps, autonomo o incluso in un piano o in una famiglia di prodotti con marchio Office 365 o Dynamics 365
- Servizio cloud Power BI, autonomo o incluso in un piano o in una famiglia di prodotti con marchio Office 365
- Power BI Embedded
- Power Virtual Agents
- Microsoft Professional Services
- Microsoft Stream
- Microsoft Threat Experts
- Microsoft Translator
- Topics
- Windows 365
Azure, Dynamics 365 e ISO 27001
Per altre informazioni sulla conformità di Azure, Dynamics 365 e altri servizi online, vedere l'offerta Azure ISO 27001.
Office 365 e ISO 27001
Ambienti di Office 365
Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.
Questa sezione illustra gli ambienti di Office 365 seguenti:
- Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
- Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
- Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
- Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
- Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.
Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.
L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.
Applicabilità di Office 365 e servizi inclusi nell'ambito
Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:
Applicabilità | Servizi inclusi nell'ambito |
---|---|
Commerciale | Access Online, Microsoft Entra ID, Servizio comunicazioni di Azure, Compliance Manager, Customer Lockbox, Delve, Exchange Online, Exchange Online Protection, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender per Office 365, Microsoft Teams, Microsoft Viva Topics, MyAnalytics, office 365 Advanced Compliance add-on, Portale clienti di Office 365, Microservizi di Office 365 (inclusi, a titolo esemplificativo, Kaizala, ObjectStore, Sway, Power Automate) Servizio documenti di PowerPoint Online, Servizio annotazione query, Sincronizzazione dati dell'istituto di istruzione, Sifone, Voce, StaffHub, Programma applicazione eXtensible), Centro conformità di Office 365 Security &, Office Online, Office Pro Plus, Infrastruttura di Office Services, OneDrive for Business, Planner, PowerApps, Power BI, Project Online, Crittografia dei servizi con Chiave cliente Microsoft Purview, SharePoint Online, Skype per le aziende, Flusso |
GCC | ID Microsoft Entra, Servizio comunicazioni di Azure, Compliance Manager, Delve, Exchange Online, Moduli, Microsoft Defender per Office 365, Microsoft Teams, Microsoft Viva Topics, MyAnalytics, componente aggiuntivo Conformità avanzata di Office 365, Centro conformità & sicurezza di Office 365, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream |
GCC High | ID Microsoft Entra, Servizio comunicazioni di Azure, Exchange Online, Moduli, Microsoft Defender per Office 365, Microsoft Teams, componente aggiuntivo Conformità avanzata di Office 365, Centro conformità & sicurezza di Office 365, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business |
DoD | ID Microsoft Entra, Servizio comunicazioni di Azure, Exchange Online, Moduli, Microsoft Defender per Office 365, Microsoft Teams, componente aggiuntivo Conformità avanzata di Office 365, Centro conformità & sicurezza di Office 365, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business |
Controlli, report e certificati di Office 365
I servizi cloud di Office 365 vengono controllati almeno ogni anno rispetto allo standard ISO 27001:2013.
Valutazioni e report di Office 365
- Microsoft 365 ISO Assessment Report Final (2023)
- Office 365 - ISO 27001, 27017, 27018, 27701 Dichiarazione di applicabilità (2.23.2022)
Domande frequenti
Perché è importante la conformità di Office 365 allo standard ISO/IEC 27001?
La conformità a questi standard, confermata da un revisore accreditato, dimostra che Microsoft usa processi e best practice riconosciuti a livello internazionale per gestire l'infrastruttura e l'organizzazione che supporta e fornisce i suoi servizi. Il certificato conferma che Microsoft ha implementato le linee guida e i principi generali per l'avvio, l'implementazione, il mantenimento e il miglioramento della gestione della sicurezza delle informazioni.
Dove è possibile ottenere i report di controllo e le descrizioni dell’ambito riguardo allo standard ISO/IEC 27001 per i servizi Office 365?
Il Service Trust Portal fornisce report di conformità controllati in modo indipendente. È possibile usare il portale per richiedere report, in modo che i revisori possano confrontare i risultati dei servizi cloud di Microsoft ai requisiti normativi e legali che li riguardano.
Vengono eseguiti test annuali per gli errori dell'infrastruttura di Office 365?
Sì. Il processo annuale di certificazione ISO/IEC 27001 per il gruppo Microsoft Cloud Infrastructure and Operations include un controllo della resilienza operativa. Per visualizzare il certificato più recente, selezionare il collegamento seguente.
- Certificato di Microsoft 365 e Office 365: Office 365 - CERTIFICATO ISO 27001:2013 (2021-2024)
Quali sono i primi passaggi per garantire la conformità dell’organizzazione allo standard ISO/IEC 27001?
L'adozione di ISO/IEC 27001 è un impegno strategico. Come punto di partenza, consultare ISO/IEC 27000 Directory.
È possibile usare la conformità allo standard ISO/IEC 27001 dei servizi Office 365 nel processo di certificazione dell’organizzazione?
Sì. Se l'azienda richiede la certificazione ISO/IEC 27001 per le implementazioni distribuite su servizi Microsoft, è possibile usare la certificazione applicabile nella propria valutazione della conformità. Tuttavia, si ha la responsabilità di affidare l'incarico a un perito che valuti l'implementazione aziendale e i controlli e processi all'interno dell'organizzazione in termini di conformità agli standard ISO/IEC 27001.
Usare Microsoft Purview Compliance Manager per valutare il rischio
Microsoft Purview Compliance Manager è una funzionalità del portale di conformità di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre una valutazione predefinita per questa normativa ai clienti Enterprise E5. Il modello per realizzare la valutazione è disponibile nella pagina dei modelli di valutazioni di Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.
Risorse
- Mapping delle cyber offerte Microsoft a NIST Cybersecurity Framework (CSF), controlli CIS e ISO27001:2013
- Standard ISO/IEC 27001: 2013 (per l'acquisto)
- Microsoft alza l'asticella della sicurezza delle informazioni (case study BSI)
- Hub dei controlli comuni del framework di conformità Microsoft
- Condizioni di Microsoft Online Services
- Microsoft Cloud per enti pubblici