다음을 통해 공유


CyberGRX

CyberGRX 평가 방법론은 내재된 위험과 잔여 위험을 모두 식별하고 거의 실시간 위협 분석 및 독립적인 증거 유효성 검사를 사용하여 고객에게 타사 사이버 위험 태세에 대한 전체적인 보기를 제공합니다.

CyberGRX는 세계 최초이자 가장 큰 공동 작업 위험 교환입니다. CyberGRX의 분석 방법론은 하나의 검증된 평가에서 위협 인텔리전스 및 정교한 위험 모델을 빌드합니다. CyberGRX 평가는 데이터 보안 및 개인 정보 보호 전반의 위험에 대한 인사이트를 통해 잔류 위험에 대한 심층 인사이트뿐만 아니라 공격 시나리오 모델링과 MITRE ATT&CK 킬 체인 을 결합하여 위협 환경에서 진화하는 전술과 기술을 모니터링합니다.

Microsoft 및 CyberGRX

전략적 파트너 딜로이트와 터치, KPMG를 활용하는 CyberGRX는 1,000개가 넘는 보안 질문과 해당 Microsoft 응답으로 구성된 Microsoft 클라우드의 평가에 대해 유효성을 검사하고 보고했습니다. CyberGRX는 내재된 위험, 업계별 위협 인텔리전스 및 실제 공격 시나리오를 해결합니다. 이를 통해 고객은 간단한 규정 준수가 아닌 위험에 초점을 맞춘 결과를 생성하기 위해 외부 증거로 Microsoft의 보안 태세의 유효성을 검사할 수 있습니다.

Microsoft는 고객이 당사와 같은 주요 서비스에 타사를 사용하기 때문에 발생할 수 있는 잠재적 위험을 평가하기 위해 organization 신속하게 위험을 평가하는 데 도움이 되는 효율적인 차량을 사용해야 하는 필요성을 이해하고 있습니다. 세계에서 가장 큰 클라우드 서비스 공급자 중 하나인 Microsoft는 고객 기반이 방대하고 다양하며 이러한 고객이 다양한 우선 순위를 가지며 다양한 산업에서 온다는 것을 알고 있습니다. 이러한 다양한 요구 사항에 맞게 크기를 조정하려면 Microsoft가 모든 고객에게 보안 우선 순위와 사용하는 Microsoft Cloud 서비스에 관계없이 주요 지식을 공유하는 기능을 확대하고 증폭하는 효과적인 방법을 찾아야 합니다. CyberGRX와 같은 타사 평가 회사와 협력하는 것은 고객이 위험 평가 추구에 민첩해지도록 돕는 한 가지 방법입니다.

CyberGRX의 모델은 Microsoft Cloud의 보안 제어 구현에 관심이 있는 조직에게 가장 관심 있는 컨트롤을 선택할 수 있는 기능을 제공하고 검토에 대한 검증된 응답을 제공합니다. Microsoft는 업데이트를 제공하는 기능에서도 민첩할 수 있으므로 이 모델의 이점을 누릴 수 있으며, CyberGRX 교환의 모든 구성원이 응답을 사용할 수 있으므로 이 주요 정보에 대한 고객 액세스 권한을 더 많이 제공합니다. 즉, CyberGRX는 Microsoft가 위험 평가 요구 사항으로 더 많은 고객에게 도달할 수 있도록 도와주며 투명성과 보안에 대한 당사의 노력을 강조합니다.

또한 고객은 CyberGRX의 프레임워크 매퍼 기능을 사용하여 평가 제어 및 응답을 NIST 800-53, NIST CSF(사이버 보안 프레임워크), ISO 27001, PCI DSS, HIPAA와 같은 잘 알려진 산업 표준 및 프레임워크에 매핑할 수 있으며, 이 모든 것이 실사 부담을 크게 줄일 수 있습니다.

scope Microsoft scope 클라우드 플랫폼 & 서비스

  • Azure
  • Dynamics 365
  • Microsoft 365
  • Power Platform

CyberGRX 감사 scope Microsoft 온라인 서비스 전체 목록은 다음을 참조하세요.

Office 365 및 CyberGRX

Office 365 환경

Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.

이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.

  • 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
  • Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
  • Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
  • Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
  • Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.

이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.

조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.

Office 365 적용 가능성 및 범위 내 서비스

다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.

적용 가능성 범위 내 서비스
상업용 Cortana, Customer Lockbox, Exchange Online Archiving, Exchange Online Protection, Exchange Online, Kaizala Pro, Microsoft Bookings Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream, Microsoft Teams(Bookings, Lists 및 Shifts 포함), Microsoft To-Do Office 365용 Microsoft Defender, Office 365 비디오, 웹용 Office, 비즈니스용 OneDrive, Project, SharePoint Online, 비즈니스용 Skype Online, Sway, Whiteboard, Viva Engage

감사, 보고서 및 인증서

Microsoft Cloud의 무료 CyberGRX 평가 보고서에 액세스하려면 이 양식을 작성하세요.

구현 방법

  • 재무 사용 사례: 사례 개요, 자습서 및 기타 리소스를 사용하여 금융 서비스를 위한 Microsoft 클라우드 솔루션을 빌드합니다.
  • 미국 금융 서비스 규정: Microsoft 온라인 서비스가 미국 금융 기관에 대한 주요 규제 기대에 부합하는 방법

자주하는 질문

CyberGRX의 유효성 검사 방법론, 성숙도 점수 매기기 모델 및 기타 관련 영역에 대한 자세한 내용은 보안 평가 FAQ를 참조하세요.

리소스