글로벌 보안 액세스는 다양한 규제 산업 및 글로벌 시장에서 규정 준수를 지원합니다. 이 문서에서는 Global Secure Access가 새 인증을 획득함에 따라 현재 인증 및 업데이트를 나열합니다.
지원되는 인증
글로벌 보안 액세스는 여러 Azure 규정 준수 감사에 포함됩니다. 지원되는 인증은 다음과 같습니다.
| 인증 | 세부 정보 | 다음에서 상속됨 |
|---|---|---|
| 캐나다 개인 정보 보호법 | 캐나다 개인 정보 보호법은 개인의 개인 정보를 보호하고 개인에 대해 수집 된 정보에 액세스 할 수있는 권리를 부여하는 것을 목표로합니다. 이러한 개인 정보 보호법에는 개인 정보 보호법, PIPEDA(개인 정보 보호 및 전자 문서법), 앨버타 개인 정보 보호법(PIPA), 브리티시 컬럼비아 정보 보호 자유 및 개인 정보 보호법(BC FIPPA)이 포함됩니다. 자세한 내용은 캐나다 개인 정보 보호법을 참조하세요. | ISO 27001:2013 |
| CDSA | CDSA(콘텐츠 배달 및 보안 연결) CPS(콘텐츠 보호 및 보안) 표준은 CSMS(콘텐츠 보안 관리 시스템) 내에서 미디어 자산을 보호하기 위한 지침과 요구 사항을 제공합니다. 이 표준에는 지적 재산을 보호하고 디지털 미디어 공급망 전체에서 미디어 자산을 안전하고 기밀로 유지하는 컨트롤이 포함됩니다. 자세한 내용은 CDSA를 참조하세요. | ISO 27001:2013 |
| CSA STAR | CSA(Cloud Security Alliance) STAR 인증은 CCM(Cloud Controls Matrix)에서 ISO 27001 인증 및 충족 조건을 달성한 것을 기반으로 합니다. 클라우드 서비스 공급자가 ISO 27001 요구 사항을 충족하고, CCM의 주요 클라우드 보안 문제를 해결하며, CCM 제어 영역의 활동을 관리하기 위한 STAR 기능 완성 모델에 대해 평가됨을 보여 줍니다. 자세한 내용은 CSA(Cloud Security Alliance) STAR 인증을 참조하세요. | ISO 27001:2013 |
| DoD DISA SRG 수준 2 | DISA(국방 정보 시스템 기관)는 DoD SRG(클라우드 컴퓨팅 보안 요구 사항 가이드)를 개발하고 유지 관리하는 미국 국방부(DoD)의 기관입니다. SRG는 CSP가 DoD 임무를 호스트할 수 있도록 하는 DOD PA(임시 권한 부여)를 부여하는 결정을 지원하는 CSP(클라우드 서비스 공급자)의 보안 상태를 평가하기 위해 DoD에서 사용하는 기준 보안 요구 사항을 정의합니다. 이전에 게시된 DoD CSM(클라우드 보안 모델)을 통합, 대체 및 철회합니다. 자세한 내용은 국방부(DoD) IL2(영향 수준 2)를 참조하세요. | FedRAMP High |
| 귀 | 미국 상무부는 BIS(산업안보국)를 통해 EAR(수출관리규정)를 시행할 책임이 있습니다. BIS 정의에 따르면 Export는 보호된 기술 또는 정보를 외국 목적지로 전송하거나 보호된 기술 또는 정보를 미국의 외국인(수출로 간주됨)에게 공개하는 것입니다. 자세한 내용은 EAR(내보내기 관리 규정)를 참조하세요. | FedRAMP High |
| FedRAMP High | 미국 연방 위험 및 권한 부여 관리 프로그램(FedRAMP)은 CSP(클라우드 서비스 공급자)를 평가, 모니터링 및 승인하기 위한 표준화된 접근 방식을 제공하기 위해 2011년 12월에 설립되었습니다. 자세한 내용은 FedRAMP(Federal Risk and Authorization Management Program)를 참조하십시오. | NA |
| FIPS 140-2 | FIPS(Federal Information Processing Standard) Publication 140-2는 제품 및 시스템의 암호화 모듈에 대한 최소 보안 요구 사항을 정의하는 미국 정부 표준입니다. 암호화 기반 보안 시스템을 사용하여 디지털로 저장된 민감하지만 분류되지 않은 정보를 보호하는 모든 미국 연방 정부 기관에 FIPS 140-2 표준에 대한 유효성 검사가 필요합니다. 자세한 내용은 FIPS(Federal Information Processing Standard) 140을 참조하세요. | FedRAMP High |
| GDPR | GDPR(일반 데이터 보호 규정)은 2018년 5월에 발효된 유럽 개인 정보 보호법입니다. 유럽 연합(EU)의 사람들에게 상품과 서비스를 제공하거나 EU 개인에 속한 데이터를 수집하고 분석하는 조직에 새로운 규칙을 적용합니다. GDPR을 사용하려면 Azure를 사용하는 조직과 같은 데이터 컨트롤러가 GDPR의 주요 요구 사항을 충족하기에 충분한 보장을 제공하는 Microsoft와 같은 데이터 프로세서만 사용해야 합니다. 자세한 내용은 일반 데이터 보호 규정 요약을 참조하세요. | ISO 27001:2013 |
| GxP(FDA 21 CFR Part 11) | Azure는 고객이 GxP(Good Clinical, Laby 및 Manufacturing Practices)에 따른 요구 사항과 21 CFR 11부에 따라 미국 식품의약국(FDA)이 시행하는 규정을 충족하는 데 도움을 줄 수 있습니다. 자세한 내용은 GxP(FDA 21 CFR Part 11)를 참조하세요. | ISO 27001:2013 |
| HDS (프랑스) | Microsoft Azure에는 프랑스 법률의 적용을 받는 개인 건강 데이터를 호스트하는 모든 엔터티에 필요한 Health Data Hosting(Hébergeurs de Données de Santé, HDS) 인증이 있습니다. Microsoft는 상태 데이터를 저장하고 처리하기 위한 엄격한 프랑스어 표준을 충족하는 최초의 주요 클라우드 서비스 공급자입니다. 자세한 내용은 HDS(Health Data Hosting) 프랑스를 참조하세요. | ISO 27001:2013 |
| HIPAA BAA(미국) | HIPAA(건강 보험 이식성 및 책임법)는 PHI(보호된 건강 정보)의 사용, 공개 및 보호에 대한 요구 사항을 설정하는 미국 법률입니다. PHI에 대한 액세스 권한이 있는 의사 사무실, 병원, 건강 보험 회사 및 기타 의료 회사 및 PHI를 대신하여 PHI를 처리하는 클라우드 서비스 공급자와 같은 비즈니스 동료에게 적용됩니다. 자세한 내용은 HIPAA(US)를 참조하십시오. | NA |
| ISO 20000-1:2011 | ISO 20000-1:2011은 IT 서비스 관리 시스템의 개발, 구현, 모니터링, 유지 관리 및 개선에 대한 요구 사항을 정의하는 IT 서비스 관리를 위한 국제 표준입니다. 자세한 내용은 ISO/IEC 20000-1:2018을 참조하세요. | ISO 27001:2013 |
| ISO 22301:2012 | ISO 22301:2012는 공식적인 인증을 제공하는 비즈니스 연속성 관리를 위한 프리미엄 국제 표준입니다. 자세한 내용은 ISO 22301:2019를 참조하세요. | ISO 27001:2013 |
| ISO 27001:2013 | ISO 27000 표준 제품군은 조직의 정보 위험 관리를 위한 Microsoft Azure 규정 준수 제품의 모든 법률, 물리적 및 기술 제어를 포함하는 정책 및 절차에 대한 프레임워크를 제공합니다. ISO 27001에는 ISMS(정보 보안 관리 시스템)를 구현, 유지 관리, 모니터링 및 개선하기 위한 요구 사항이 나열되어 있습니다. 자세한 내용은 ISO 27001:2013을 참조하세요. | NA |
| ISO 27017:2015 | ISO 27017 연습 코드는 ISO 27002 기반 클라우드 컴퓨팅 정보 보안 관리 시스템을 구현할 때 클라우드 서비스 정보 보안 제어를 선택하는 참조로 조직에서 사용할 수 있도록 설계되었습니다. 클라우드 서비스 공급자는 일반적으로 허용되는 보호 제어를 구현하기 위한 지침 문서로 ISO 27017을 사용할 수도 있습니다. 자세한 내용은 ISO/IEC 27017:2015를 참조하세요. | ISO 27001:2013 |
| ISO 27018:2019 | ISO 27018은 ISO 27002 지침 및 정보 보안 관리에 대한 모범 사례를 기반으로 하는 지침을 제공하는 클라우드 개인 정보 보호에 대한 최초의 국제 사례 코드입니다. EU 데이터 보호법에 따라 위험을 평가하고 PII를 보호하기 위한 최신 제어를 구현하는 PII(개인 식별 정보)의 프로세서 역할을 하는 클라우드 서비스 공급자에게 특정 지침을 제공합니다. ISO 27018은 ISO 29100의 개인 정보 보호 원칙에 따라 PII에 대한 클라우드별 제어 목표 및 지침을 설정합니다. 자세한 내용은 ISO/IEC 27018:2019를 참조하세요. | ISO 27001:2013 |
| ISO 27701:2019 | ISO 27701은 정보 보안 관리에 널리 사용되는 ISO/IEC 27001 표준의 확장으로 구축되어 PIMS의 개인 정보 관리 시스템 구현을 ISO/IEC 27001에 의존하는 많은 조직에 유용한 규정 준수 확장으로 만들고 보안 및 개인 정보 제어를 조정하기 위한 강력한 통합 지점을 만듭니다. 자세한 내용은 ISO/IEC 27701:2019를 참조하세요. | ISO 27001:2013. |
| ISO 9001:2015 | ISO 9001은 품질 관리 시스템의 기준을 설정하는 국제 표준입니다. ISO 9000 제품군에서 정식 인증을 제공하는 유일한 표준입니다. 이 표준은 고객 요구 사항 충족에 대한 명확한 초점, 강력한 기업 거버넌스 및 품질 목표에 대한 리더십 의지, 목표 충족에 대한 프로세스 중심 접근 방식, 지속적인 개선에 초점을 맞추는 등 여러 품질 관리 원칙을 기반으로 합니다. 자세한 내용은 ISO 9001:2015를 참조하세요. | ISO 27001:2013 |
| MARS-E(미국) | 2012년, 메디케어 및 메디케이드 서비스 센터(CMS)는 CMS 정보 보안 및 개인 정보 보호 프로그램에 따라 교환에 허용되는 최소 위험 표준(MARS-E)을 발표했습니다. 지침, 요구 사항 및 템플릿을 포함한 문서 제품군은 ACA에 적용되는 환자 보호 및 저렴한 케어 법 (ACA) 및 보건 복지부의 규정을 해결하기 위해 설계되었습니다. 자세한 내용은 MARS-E(미국)를 참조하세요. | FedRAMP High |
| NERC | 북미 전기 안정성 공사(NERC)는 북미 대량 전력 시스템의 신뢰성을 보장하는 비영리 규제 기관입니다. NERC는 미국 연방 에너지 규제 위원회(FERC) 및 캐나다 정부 당국의 감독을 받습니다. 자세한 내용은 NERC(North American Electric Reliability Corporation)를 참조하세요. | FedRAMP High |
| NIST 사이버 보안 프레임워크 | NIST CSF(사이버 보안 프레임워크)는 중요한 인프라 조직이 사이버 보안 위험을 더 잘 이해하고 관리하고 줄이기 위한 지침으로 2014년 2월에 발표되었습니다. CSF는 2013년 2월에 발표된 중요 인프라 보안 개선에 대한 대통령 행정 명령에 따라 개발되었습니다. 자세한 내용은 NIST CSF(사이버 보안 프레임워크)를 참조하세요. | FedRAMP High |
| PCI 3DS | Europay, Mastercard 및 Visa(EMV) 3개 도메인 보안(3차원 보안 또는 3DS)은 카드 소유자가 CNP(카드 없음) 온라인 거래를 할 때 카드 발급자로 인증할 수 있도록 하는 EMVCo 메시징 프로토콜입니다. PCI 3DS Core Security Standard는 이러한 중요한 EMV 3DS 함수에 대한 프레임워크를 제공하여 3DS 트랜잭션의 무결성 및 기밀성을 지원하는 보안 제어를 구현합니다. 자세한 내용은 PCI 3DS를 참조하세요. | NA |
| PCI DSS 수준 1 | PCI(결제 카드 산업) DSS(데이터 보안 표준)는 신용 카드 데이터를 제어하여 사기를 방지하는 데 도움이 되는 글로벌 정보 보안 표준입니다. PCI DSS 규정 준수는 결제 및 카드 소유자 데이터를 저장, 처리 또는 전송하는 모든 조직에 필요합니다. 자세한 내용은 PCI DSS를 참조하세요. | NA |
| SOC 1 유형 2 | 미국 공인 회계사 연구소(AICPA)는 SOC 1, SOC 2 및 SOC 3의 세 가지 SOC(서비스 조직 제어) 보고 옵션을 설정합니다. 이러한 컨트롤은 CA가 서비스 조직의 컨트롤을 검사하고 보고하는 데 도움이 됩니다. SOC 1 Type 2 증명은 증명 계약 18 표준에 대한 AICPA 문(SSAE 18) 표준(AT-C 섹션 105 참조) 및 보증 계약 번호 3402(ISAE 3402)에 대한 국제 표준을 기반으로 합니다. 자세한 내용은 SOC(시스템 및 조직 컨트롤) 1 유형 2를 참조하세요. | NA |
| SOC 2 유형 2 | SOC 2 유형 2는 보안, 가용성, 기밀성, 처리 무결성 및 개인 정보 시스템 특성과 관련된 컨트롤을 보고하기 위한 제한된 사용 보고서입니다. 자세한 내용은 SOC(시스템 및 조직 컨트롤) 2 유형 2를 참조하세요. | NA |
| SOC 3 | SOC 3 보고서는 SOC 2 Type 2 증명 보고서의 짧은 공개 버전입니다. SOC 3 보고서는 클라우드 서비스 공급자의 컨트롤에 대한 보증을 원하지만 전체 SOC 2 보고서가 필요하지 않은 사용자를 위한 것입니다. 자세한 내용은 SOC(시스템 및 조직 컨트롤) 3을 참조하세요. | NA |
| 영국 Cyber Essentials Plus | Cyber Essentials는 조직이 일반적인 사이버 보안 위협에서 IT 시스템에 대한 위험을 확인하고 줄이는 데 도움이 되는 영국 정부 지원 계획입니다. 사이버 에센셜은 개인 데이터를 처리하는 모든 영국 정부 공급업체에 필요합니다. 자세한 내용은 영국 사이버 에센셜 플러스를 참조하세요. | ISO 27001:2013 |
| 영국 G-Cloud | G-Cloud(Government Cloud)는 정부 부서의 클라우드 서비스 조달을 용이하게 하고 정부 차원의 클라우드 컴퓨팅 채택을 촉진하기 위한 영국 정부의 이니셔티브입니다. G-Cloud는 클라우드 서비스 공급업체(예: Microsoft)와의 일련의 프레임워크 계약과 온라인 스토어의 서비스 목록인 디지털 마켓플레이스로 구성됩니다. 이 접근 방식을 사용하면 공공 부문 조직이 자체 전체 검토 프로세스를 수행하지 않고도 클라우드 서비스를 비교하고 조달할 수 있습니다. 자세한 내용은 영국 G-Cloud를 참조하세요. | ISO 27001:2013 |
| WCAG 2.0 | WCAG 2.0(웹 콘텐츠 접근성 지침 2.0)은 장애가 있는 사용자와 그래픽 기능이 제한된 디바이스 사용자의 접근성을 향상시키는 웹 콘텐츠를 개발하기 위한 프레임워크를 제공합니다. 자세한 내용은 웹 콘텐츠 접근성 지침을 참조하세요. | ISO 27001:2013 |