Spain Esquema Nacional de Seguridad(ENS) 높은 수준의 보안 조치
스페인 ENS의 개요
2007년 스페인 정부는 정부 및 공공 서비스에 시민이 전자 방식으로 액세스할 수 있게 해주는 법률 체계인 11/2007 법률을 제정했습니다. 이 법은 업데이트된 RD(로얄 법령) 311/2022의 적용을 받는 에스케마 나시오날 드 세구리다드(국가 안보 프레임워크)의 기초입니다. 이 체계의 목적은 전자 서비스 제공에 있어서 신뢰를 구축하고, 데이터, 정보 및 서비스의 액세스, 무결성, 가용성, 진실성, 기밀성, 추적성 및 보존을 보장하는 것입니다.
클라우드 서비스를 구매하는 스페인의 모든 공공 조직 및 정부 기관뿐만 아니라 정보 및 커뮤니케이션 기술(ICT)의 공급자에게 이 체계가 적용됩니다. 스페인 및 EU 보안 및 프라이버시 표준을 준수하면서 클라우드 및 온-프레미스의 보안을 위해 효율적인 통제를 구현하는 과정에서 해당 기관 및 기업을 안내합니다.
이 체계에서는 정부 기관 및 해당 서비스 공급자가 충족해야 하는 핵심 정책 및 필수 요구 사항을 설정합니다. 이는 가용성, 진실성, 무결성, 기밀성 및 추적성과 관련된, 대부분이 ISO/IEC 27001에 직접 부합하는 특정 보안 통제 수단 세트를 정의합니다. 정보의 민감성(낮음, 중간 또는 높음)에 따라 정보를 보호하기 위해 적용해야 하는 보안 조치가 결정됩니다.
모든 정부 기관은 보안에 대한 위험 관리 접근 방식을 채택해야 합니다. 이 방식에 따라 위험을 식별 및 평가한 다음, 해당 위험에 적합한 보안 통제 수단을 적용합니다. 서비스 공급자도 자신의 절차, 기술 능력 및 운영상의 보안을 보장하고 기관이 규정을 준수할 수 있게 하려면 엄격한 체계 요구 사항을 준수해야 합니다.
프레임워크에서는 중요도가 낮은 정보를 처리하는 시스템의 경우 자발적인 인증 프로세스를 규정하지만 중요도가 중간이거나 높은 정보를 처리하는 시스템의 경우 필수적인 인증 프로세스를 규정합니다. 감사는 독립된 공인 감사자에 의해 수행됩니다. 그 후 인증의 최종 단계에서 위험 관리 제어가 수락되기 전에 인증 프로세스에서 보고서가 검토됩니다.
Microsoft 및 스페인 ENS 높은 수준의 보안 조치
Microsoft Azure 및 Microsoft Office 365는 이들에 대한 규정 준수 공식 문서를 발행한 독립된 감사자인 BDO의 엄격한 평가를 거쳤습니다. 두 개의 서비스 모두와 이 서비스의 정보 시스템 및 데이터 처리 시설의 보안 조치는 RD 3/2010의 높은 수준을 준수하며 시정 조치를 취할 필요가 없다고 BDO는 보고합니다. Microsoft는 스페인에서 이 인증을 받은 최초의 하이퍼스케일 클라우드 서비스 공급업체입니다.
Microsoft 범위 내 클라우드 플랫폼 및 서비스
- Azure
- Microsoft 365 & 교육용 Microsoft 365
- Dynamics 365
Microsoft 365 및 ENS High
Microsoft 365(Office 365) 환경
Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.
이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.
- 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
- Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
- Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
- Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
- Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.
이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부 및 Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.
조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.
Microsoft 365 & 교육용 Microsoft 365 적용 가능성 및 scope 서비스
다음 표를 사용하여 교육용 Microsoft 365 및 Microsoft 365 서비스 및 구독에 대한 적용 가능성을 확인합니다.
적용 가능성 | 범위 내 서비스 |
---|---|
상업용 | Microsoft Viva(Connections, 인사이트, 학습 및 Engage 포함), Microsoft 365(Word, Excel, PowerPoint, Outlook, Sharepoint, Exchange, OneNote, OneDrive, Microsoft Planner, Sway, Whiteboard, Delve 포함) Microsoft Forms, Microsoft To Do 및 Windows), Microsoft Purview(감사, 적응형 보호, 통신 규정 준수, eDiscovery, 준수 관리자, Information Protection, 데이터 수명 주기 관리, 내부자 위험 관리, 데이터 손실 방지 및 통합 데이터 거버넌스(Azure Purview 포함), Microsoft Teams(오디오 회의 및 전화 시스템 포함) Microsoft Outlook Web App, Microsoft Outlook Mobile, Microsoft 365용 Microsoft Copilot, Windows의 Copilot, 상업용 데이터 보호가 Microsoft Copilot Microsoft Exchange Online Protection, Microsoft Defender XDR(엔드포인트용 Microsoft Defender, Microsoft Defender for Identity 및 포함) Office 365용 Microsoft Defender 및 Microsoft Defender for Cloud Apps), 엔드포인트용 Microsoft Defender, Microsoft Defender for Identity, Office 365용 Microsoft Defender, Microsoft Defender for Cloud Apps, Microsoft Intune |
Dynamics 365 및 ENS High
적용 가능성 및 scope 서비스 Dynamics 365
다음 표를 사용하여 Dynamics 365 서비스 및 구독에 대한 적용 가능성을 확인합니다.
적용 가능성 | 범위 내 서비스 |
---|---|
상업용 | Copilot Studio, Dynamics 365 Sales, Dynamics 365 Customer Insights Journey, Dynamics 365 Customer Insights Data, Dynamics 365 Finance, Dynamics 365 Supply Chain Management, Dynamics 365 Business Central, Dynamics 365 고객 서비스(옴니채널 포함), Dynamics 365 현장 서비스(원격 지원 포함), Dynamics 365 인사, Dynamics 365 Project Operations, Dynamics 365 Commerce, Dynamics 365 Fraud Protection, Dynamics 365 Customer Voice, Power Platform(Power BI, Power Apps, Power Automate 및 Power Pages 포함), Power Platform의 Copilot(Power Apps용 Copilot, Power Automate용 Copilot, Power Pages용 Copilot 및 Power BI용 Copilot 포함), 영업용 Copilot, 서비스용 Copilot, 금융용 Copilot, copilot for Dynamics 365 |
Microsoft Azure 및 ENS High
Azure 적용 가능성 및 scope 서비스
다음 표를 사용하여 Azure 서비스 및 구독에 대한 적용 가능성을 확인합니다.
적용 가능성 | 범위 내 서비스 |
---|---|
상업용 | Azure 기밀 컴퓨팅, Microsoft Entra(Entra ID, Entra ID 거버넌스, Entra 외부 ID, Entra Domain Services, Entra 확인된 ID, Entra 사용 권한 관리, Entra 워크로드 ID, Entra Internet Access y Entra Private Access 포함), Azure Site Recovery, Azure Virtual Network, Azure ExpressRoute, Azure Load Balancer, Azure Backup, Azure AI Services(Azure OpenAI, Azure Cognitive Search, Azure AI Vision 포함, Azure AI Custom Vision, Azure AI Language, Azure AI Speech, Azure AI Translator, Azure AI Document Intelligence, Azure AI Bot Service, Azure AI Audio & Video, Azure AI Anomaly Detector, Azure AI 콘텐츠 보안, Azure AI Personalizer, Azure AI 메트릭 관리자 y Azure AI 몰입형 리더) Azure AI 스튜디오 (Azure OpenAI Studio, Azure Machine Learning Studio, Azure Language Studio, Azure Speech Studio, Azure Vision Studio, Azure Custom Translator Studio, Azure Document Intelligent Studio y Azure Content Safety Studio 포함), Azure, Azure SQL, Azure Cosmos DB, Azure SQL Database, Azure Database for PostgreSQL, Azure SQL Managed Instance, Azure Database for MySQL, Azure Cache for Redis, Azure Database for MariaDB, Azure Storage(Blob, 보관, 디스크, 파일 y 데이터 상자 포함) Azure Synapse 분석 |
Azure Databricks, Azure Data Factory, Azure HDInsight, Azure Analysis Services, Azure Data Lake, Azure Data Lake Analytics, Microsoft Fabric, Fabric Copilot, Power BI Embedded, Azure DevOps, Azure IoT Hub, Azure Event Hubs, Azure Log Analytics, Azure Monitor, Azure Key Vault(Standard, Premium y Managed HSM 포함), Microsoft Sentinel, 보안용 Microsoft Copilot, IoT용 Microsoft Defender, 클라우드용 Microsoft Defender, Microsoft Defender 클라우드 보안 태세 관리, Microsoft Defender 외부 공격 표면 관리( EASM), Azure DDOS Protection, Azure Firewall, Azure Firewall Manager, Azure Web Application Firewall, Azure Application Gateway, Azure VPN Gateway, Azure Bastion, Azure Virtual Machines, Azure Kubernetes Service, Azure Container Instances, Azure Container Registry, Azure Containers Apps, Azure App Service, Azure Web Apps, Azure Logic Apps, Azure API Management, Azure Service Bus, Azure Event Grid, Azure VMWare Solution, AVD(Azure Virtual Desktop), Azure Arc, Azure NetApp Files |
감사, 보고서 및 인증서
인증은 연례 중간확인심사를 포함하며 2년간 유효합니다.
Azure
- ENS(Azure National Security Framework) 인증서(스페인어)
- ENS(Azure National Security Framework) 감사 보고서(스페인어)
교육용 Microsoft 365 및 Microsoft 365
- Microsoft 365 & MICROSOFT 365 for Education ENS(국가 안보 프레임워크) 인증서(스페인어)
- Microsoft 365 & MICROSOFT 365 for Education ENS(국가 안보 프레임워크) 감사 보고서(스페인어)
Dynamics 365
자주 묻는 질문
감사 보고서 및 인증 사본을 구하려면 어떻게 해야합니까?
Service Trust Portal에서는 감사 보고서와 인증을 스페인어 및 영어로 제공합니다. 감사자는 이를 사용하여 Microsoft의 클라우드 서비스 결과를 파트너의 법률 및 규제 요건과 비교할 수 있습니다.
우리 회사의 자체 규정 준수 활동은 어느 것부터 시작해야 하나요?
조직이 Azure 또는 Office 365를 사용하는 경우에는 ENS Microsoft 감사 보고서와 승인을 회사 고유의 승인 프로세스의 일부로 활용할 수 있습니다. 하지만 규정 준수의 구현을 평가하도록 감사자를 관여시키고 고유의 조직 내 컨트롤 및 프로세스가 해당 프레임워크와 일관되었는지를 확인하는 책임은 사용자에게 있습니다.
리소스
- Esquema Nacional de Seguridad of Spain(스페인어 및 영어)
- Microsoft 온라인 서비스 사용 약관
- Microsoft 보안 센터에 대한 규정 준수