Microsoft 365 の情報セキュリティ ポリシーを確認する
Microsoft のビジネス ユニットおよび製品グループは、Microsoft のセキュリティ ポリシーと標準プログラムのセキュリティ ポリシー、標準、要件の実装を担当します。 Microsoft 365 は、Microsoft 365 情報セキュリティ ポリシーでこれらのセキュリティの実装を文書化しています。 このポリシーは、Microsoft セキュリティ ポリシーに準拠し、データの収集、処理、保守、使用、共有、配布、および廃棄に関連するすべての Microsoft 365 環境とすべてのリソースを含む Microsoft 365 情報システムを管理します。
範囲
Microsoft 365 情報セキュリティ ポリシーの目的は、Microsoft 365 がベスト プラクティスに従って動作し、顧客の信頼を構築および維持するという企業目標を達成し、規制要件および顧客のコミットメントを遵守し、Microsoft 365 サービスの機密性、整合性、可用性に関する公約をサポートすることです。
Microsoft 365 情報システムには、Microsoft 365 情報セキュリティ ポリシーで管理される次のコンポーネントが含まれています。
- インフラストラクチャ: Microsoft 36 5システムの物理コンポーネントとハードウェアコンポーネント (設備、機器、ネットワーク)
- ソフトウェア: Microsoft 365 システムのプログラムとオペレーティング ソフトウェア (システム、アプリケーション、ユーティリティ)
- ユーザー: Microsoft 365 システムの操作と使用に関与する担当者 (開発者、オペレーター、ユーザー、マネージャー)
- 手順: Microsoft 365 システムの操作に関連するプログラムされた手順と手動の手順
- データ: Microsoft 365 システムによって生成、収集、処理された情報 (トランザクション ストリーム、ファイル、データベース、テーブル)
すべての Microsoft 365 情報システム コンポーネントは、Microsoft 365 情報セキュリティ ポリシーによって管理されています。
Microsoft 365 コントロール フレームワーク
Microsoft 365 情報セキュリティ ポリシーは、Microsoft 365 コントロール フレームワークによって補足されます。 Microsoft 365 コントロール フレームワークは、すべての Microsoft 365 サービスおよび情報システム コンポーネントの最小セキュリティ要件を詳述し、各コントロールの背後にある法的要件および企業要件を参照します。 フレームワークには、サービス チームによる効果的な制御の実装を確実にするための制御アクティビティ名、説明、およびガイダンスが含まれています。 Microsoft 365 は、制御フレームワークを使用して、内部および外部レポートの制御実装の証拠を追跡します。
制御フレームワークは、次の主要なドメイン領域の 18 個の目標で構成されています。
- アクセス制御 (AC)
- 意識とトレーニング (AT)
- 監査と説明責任 (AU)
- セキュリティ評価 (CA)
- 構成管理 (CM)
- 緊急時対応計画 (CP)
- 識別と認証 (IA)
- インシデント対応 (IR)
- メンテナンス (MA)
- メディア保護 (MP)
- 物理アクセス (PE)
- セキュリティ計画 (PL)
- プログラム管理 (PM)
- 人事セキュリティ (PS)
- リスク評価 (RA)
- システムとサービスの取得 (SA)
- システムおよび通信保護 (SC)
- システムと情報の完全性 (SI)
役割と責任
Microsoft 365 内の各サービス チームは、Microsoft 365 情報セキュリティ ポリシーへの準拠を推進し、関連するセキュリティ コントロールを実装し、コントロールが適切に実装されていることを確認する責任者を任命します。 以下の表は、Microsoft 365 情報セキュリティ ポリシーとの調整を推進するための重要な責任を持つ役割を簡単にまとめたものです。
| 役割 | 責任の説明 |
|---|---|
| 情報システム セキュリティ責任者 | 情報システムの運用セキュリティ体制の維持に責任を持つ個人。 |
| GRC コンプライアンス監督者 | 最小のセキュリティ要件を定義し、これらの要件を確認する責任がある個人は、Microsoft 365 によって満たされます。 |
| EVP、エクスペリエンス + デバイス | セキュリティやコンプライアンスの目標など、エンジニアリング グループの戦略的方向性を設定する責任者のトップ マネージャー。 |
| サービス チーム コンプライアンス チャンピオン | 各サービス チームの専門家であり、サービス チーム メンバーがポリシーと標準要件を実装するのを支援します。 |
| サービス チーム メンバー | ポリシーおよび標準要件の実装を担当し、責任を負うサービス チームのメンバー。 |
Microsoft 365 コントロール フレームワークの更新
Microsoft 365 信頼チームは、Microsoft 365 コントロール フレームワークの内部を継続的に維持するために取り組みます。 関連する規制や法律の変更、新たな脅威、侵入テスト結果、セキュリティ インシデント、監査フィードバック、新しいコンプライアンス要件など、信頼チームが制御フレームワークを更新する必要がある場合があります。 フレームワークの変更が必要な場合、信頼チームは、変更の承認と実装を担当する主要な利害関係者を特定して、それが実現可能であり、Microsoft 365 サービスで意図しない問題が発生しないようにします。 信頼チームと関連する利害関係者が変更に必要な内容に同意すると、変更の実装を担当するワークロードは目標の完了日を設定し、それぞれのサービス内で変更を実装する作業を行います。 実装ターゲットが満たされると、信頼チームは、新しいコントロールまたは更新されたコントロールでコントロール フレームワークを更新します。
例外プロセス
Microsoft 365 情報セキュリティ ポリシーの例外はすべて、正当なビジネス上の正当性があり、Microsoft 365 内の適切なガバナンス エンティティによって承認される必要があります。 例外には、サービス チーム管理の承認も必要であり、Microsoft 365 リスク管理ツールに文書化されている必要があります。 例外の範囲とそれが表す潜在的なリスクによっては、例外の承認を企業の副社長以上から取得する必要がある場合があります。 例外は Microsoft 365 リスク管理ツールに入力され、そこで継続的な関連性が確認および承認されます。