NIST(National Institute of Standards and Technology) CSF(사이버 보안 프레임워크)

NIST CSF 개요

NIST(국립표준기술원)는 조직이 위험을 평가할 수 있도록 측정 표준 및 지침을 홍보하고 유지 관리합니다. NIST는 연방 네트워크 및 중요 인프라의 사이버 보안 강화에 관한 행정 명령 13636에 대한 응답으로 2014년 2월 FICIC(중요 인프라 사이버 보안)를 개선하기 위한 프레임워크를 발표했습니다.

FICIC의 기본 우선 순위는 조직이 사이버 보안 위험을 관리하는 동시에 비즈니스 효율성을 가능하게 하는 데 도움이 되는 일련의 표준 및 사례를 수립하는 것이었습니다. NIST 프레임워크는 정부 및 민간 부문 조직 모두에 대한 추가 규제 요구 사항을 부과하지 않고 사이버 보안 위험을 해결합니다.

FICIC는 중요한 인프라 사이버 보안을 개선하기 위한 NIST 프레임워크의 부록 A에 있는 NIST SP 800-53을 포함하여 세계적으로 인정받는 표준을 참조합니다. FICIC 프레임워크 내의 각 컨트롤은 FedRAMP Moderate Baseline 내의 해당 NIST 800-53 컨트롤에 매핑됩니다.

Microsoft 및 NIST CSF

NIST CSF(사이버 보안 프레임워크)는 사이버 보안 관련 위험을 관리하기 위한 표준, 지침 및 모범 사례로 구성된 자발적인 프레임워크입니다. Microsoft 클라우드 서비스는 독립적인 타사 FedRAMP Moderate 및 High Baseline 감사를 거쳤으며 FedRAMP 표준에 따라 인증되었습니다. 또한 선도적인 보안 및 개인 정보 보호 표준 개발 및 인증 organization HITRUST가 수행한 검증된 평가를 통해 Office 365 NIST CSF에 지정된 목표에 따라 인증됩니다.

준수 관리자 및 Azure 보안 및 규정 준수 청사진을 사용하여 NIST 사이버 보안 프레임워크 배포를 가속화하는 방법을 알아봅니다.

• NIST SP 800-53 R4 청사진 샘플 개요
• 준수 관리자의 Office 365 대한 NIST CSF 평가에 대해 자세히 알아보기

Microsoft 범위 내 클라우드 플랫폼 및 서비스

• Azure Government
• 정부용 Dynamics 365
• Office 365

Azure, Dynamics 365 및 NIST CSF

Azure, Dynamics 365 및 기타 온라인 서비스 규정 준수에 대한 자세한 내용은 Azure NIST CSF 제품을 참조하세요.

Office 365 및 NIST CSF

Office 365 환경

Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.

이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.

• 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
• Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
• Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
• Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
• Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.

이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부 및 Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.

조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.

Office 365 적용 가능성 및 범위 내 서비스

다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.

적용 가능성	범위 내 서비스
상업용	활동 피드 서비스, Bing Services, Delve, Exchange Online, 지능형 서비스, Microsoft Teams, Office 365 고객 포털, Office Online, Office 서비스 인프라, Office 사용 현황 보고서, 비즈니스용 OneDrive, 사람 카드, SharePoint Online, 비즈니스용 Skype Windows Ink

감사 주기 및 인증 Office 365

Office 365 NIST CSF 인증은 2년 동안 유효합니다.

• Office 365 NIST CSF 인증서

질문과 대답

독립적인 평가자가 Office 365 NIST CSF 요구 사항을 지원하는지 확인되었나요?

예, Office 365 2019년 7월 HITRUST로부터 NIST CSF 인증서를 받았습니다.

Microsoft Cloud Services 프레임워크 준수를 어떻게 보여 주나요?

Microsoft는 FedRAMP 인증을 위해 제3자가 작성한 공식 감사 보고서를 사용하여 이러한 보고서 내에 언급된 관련 컨트롤이 중요한 인프라 사이버 보안을 개선하기 위한 NIST 프레임워크의 준수를 입증하는 방법을 보여줄 수 있습니다. Microsoft에서 구현한 감사된 컨트롤은 Microsoft의 책임으로 확인된 Azure, Office 365 및 Dynamics 365 저장, 처리 및 전송되는 데이터의 기밀성, 무결성 및 가용성을 보장하는 역할을 합니다.

이 이니셔티브 준수를 유지하기 위한 Microsoft의 책임은 무엇인가요?

FICIC 참여는 자발적입니다. 그러나 Microsoft는 Office 365 규정하는 온라인 서비스 약관 및 해당 서비스 수준 계약에 정의된 조건을 충족하는지 확인합니다.

내 organization Microsoft의 규정 준수를 사용할 수 있나요?

예. FedRAMP 표준에 대한 독립적인 타사 규정 준수 보고서는 Microsoft가 Microsoft Cloud Services 보안 및 개인 정보를 유지하기 위해 구현한 컨트롤의 효율성을 확인합니다. Microsoft 고객은 자체 FedRAMP 및 NIST FICIC의 위험 분석 및 자격 노력의 일환으로 이러한 관련 보고서에 설명된 감사된 컨트롤을 사용할 수 있습니다.

미국 정부가 중요한 인프라로 간주하는 조직은 무엇입니까?

국토 안보부에 따르면, 여기에는 화학, 상업 시설, 통신, 중요한 제조, 댐, 국방 산업 기지, 응급 서비스, 에너지, 금융 서비스, 식품 및 농업, 정부 시설, 의료 및 공중 보건, 정보 기술, 원자력 (원자로 재료 및 폐기물), 교통 시스템 및 물 (및 폐수) 분야의 조직이 포함됩니다.

일부 Office 365 서비스가 이 인증의 scope 없는 이유는 무엇인가요?

Microsoft는 다른 클라우드 서비스 공급자에 비해 가장 포괄적인 제품을 제공합니다. 지역 및 산업 전반에서 광범위한 규정 준수 제품을 유지하기 위해 시장 수요, 고객 피드백 및 제품 수명 주기에 따라 보증 노력의 scope 서비스를 포함합니다. 서비스가 특정 규정 준수 제품의 현재 scope 포함되지 않은 경우 organization 규정 준수 의무에 따라 위험을 평가하고 해당 서비스에서 데이터를 처리하는 방법을 결정할 책임이 있습니다. Microsoft는 고객의 피드백을 지속적으로 수집하고 규제 기관 및 감사자와 협력하여 규정 준수 범위를 확장하여 보안 및 규정 준수 요구 사항을 충족합니다.

Microsoft Purview 준수 관리자를 사용하여 위험 평가

Microsoft Purview 준수 관리자는organization 규정 준수 상태를 이해하고 위험을 줄이기 위한 조치를 취하는 데 도움이 되는 Microsoft Purview 규정 준수 포털 기능입니다. 준수 관리자는 이 규제에 대한 평가를 빌드하기 위한 프리미엄 서식 파일을 제공합니다. 준수 관리자의 평가 서식 파일 페이지에서 서식 파일을 찾습니다. 준수 관리자의 평가 빌드 방법에 대해 알아봅니다.

리소스

• Microsoft 사이버 제품을 매핑 대상: NIST CSF(사이버 보안 프레임워크), CIS 제어, ISO27001:2013 및 HITRUST CSF
• 중요한 인프라 사이버 보안을 개선하기 위한 프레임워크
• 연방 네트워크 및 중요 인프라의 사이버 보안 강화에 대한 대통령 행정 명령
• Microsoft Government 클라우드
• 온라인 서비스 약관
• Microsoft 보안 센터에 대한 규정 준수