Microsoft 365 인증 샘플 증거 가이드 개요

이 샘플 증거 가이드는 ISV가 Microsoft 365 인증을 완료하는 데 필요한 올바른 증거를 생성하는 데 도움이 됩니다. 이 문서에는 각 컨트롤의 의도와 컨트롤의 모든 하위 부분, 샘플 증거 문서, 정책 및 스크린샷을 사용하여 컨트롤에 대한 증거를 수집할 수 있는 잠재적인 방법이 포함되어 있습니다. 또한 이 가이드는 제출된 증거를 구성하는 방법에 대한 지원을 제공합니다.

이 문서에서 공유되는 예제는 컨트롤이 충족되고 있음을 증명하는 데 사용할 수 있는 유일한 증거를 나타내지 않습니다. 이는 인증 분석가가 ISV에 의해 제어가 충족되었는지 여부를 결정하는 데 도움이 될 수 있는 증거 유형에 대한 지침입니다.

참고: 인증 요구 사항을 충족하는 데 사용되는 실제 인터페이스, 스크린샷 및 설명서는 제품 사용, 시스템 설정 및 내부 프로세스에 따라 달라집니다. 정책 또는 절차 설명서가 필요한 경우 ISV는 일부 예제와 같이 스크린샷이 아닌 실제 문서의 전체 버전을 보내야 합니다.

제출될 모든 스크린샷은 로그인한 사용자(로그인한 사용자의 이름이 스크린샷에 표시됨)와 시간 및 날짜 스탬프가 포함된 모든 URL이 있는 전체 화면 스크린샷이어야 합니다. Linux 기반 시스템의 경우 명령 프롬프트를 사용하여 제어 증명 정보에 이 정보를 포함/에 포함하세요.

제출된 모든 증거는 인증을 완료할 때까지 증거가 여전히 관련성이 있고 부실하지 않은지 확인하기 위해 3개월 미만이어야 합니다. 이를 따르지 않으면 새로운 증거를 수집하라는 메시지가 표시될 수 있습니다.

참고: 이 인증 또는 이 프로세스 내에서 사용되는 샘플을 위해 베타 API를 사용할 수 없습니다.

증거 부족으로 인해 평가가 지연되지 않도록 하려면 다음 지침을 따르는 것이 좋습니다.

참고

2023년 12월 12일 이전에 Microsoft 365 인증을 시작한 경우 레거시 샘플 증거 가이드를 참조하세요.

Microsoft 365 인증 구조

인증은 다음 세 가지 보안 도메인으로 구성되었습니다.

• 애플리케이션 보안 (필요한 경우 연결 검사 포함)

• 운영 보안

• 데이터 보안 및 개인 정보 보호

침투 테스트는 인증에 필요하며 애플리케이션 보안 도메인에서 검토됩니다. 자세한 내용은 증거 제출 구조의 섹션 3 및 4를 참조하세요.

보안 도메인은 ISV가 작업의 구조를 이해하고 증거 수집을 관리하기 쉬운 작은 부분으로 분할하는 데 도움이 되는 제어 그룹으로 나뉩니다. 이러한 제어 그룹은 지원을 위해 내부 팀을 식별하는 동시에 팀이 증거 수집 프로세스를 신속하게 처리할 수 있도록 하기 위해 일반적인 엔터프라이즈 소싱 구조와 일치했습니다.

컨트롤: 평가 활동 설명 - 이러한 컨트롤 및 관련 번호(아니요)는 Microsoft 365 인증 검사 목록에서 직접 가져옵니다.

의도: 보안 제어가 프로그램에 포함된 이유와 완화하려는 특정 위험의 의도입니다. 희망은이 정보는 더 나은 수집 해야 하는 증거의 유형을 이해 하기 위해 제어 뒤에 추론을 ISV를 제공 할 것입니다 그리고 ISV의 관심을 지불 하 고 그들의 증거를 생산에 대 한 인식과 이해를 해야 합니다.

증거 지침 예제: Microsoft 365 인증에 대한 증거 수집 작업을 안내하는 데 도움이 되도록 제공됩니다. 이를 통해 ISV는 제어가 제자리에 있고 유지 관리된다는 확신을 가지고 결정하는 데 사용할 인증 분석가가 사용할 수 있는 증거 유형의 예를 명확하게 볼 수 있습니다. 이는 본질적으로 완전하지 않습니다.

예시 증거: 이 섹션에서는 특히 운영 보안 및 데이터 보안 및 개인 정보 보호 보안 도메인에 대해 Microsoft 365 인증 내의 각 컨트롤에 대해 캡처된 잠재적 증거의 스크린샷과 이미지를 제공합니다. 예제 내에 빨간색 화살표와 상자가 있는 정보는 컨트롤을 충족하는 데 필요한 요구 사항을 더 잘 이해하는 데 도움이 됩니다.

증거 제출 구조

Microsoft 규정 준수 기록 및 컨택 센터 인증을 지원하는 평가를 제외하고 모든 적용 가능한 컨트롤에 대한 증거 제출은 파트너 센터를 통해 수행됩니다. 이러한 작업은 일반적으로 수동 프로세스를 거쳐야 합니다. 이 섹션을 건너뛰고 규정 준수 기록 & 연락처 센터에서 인증 완료와 관련된 다음 섹션을 참조하세요.

인증 분석가가 제공된 증거를 쉽게 식별하고 성공적으로 검토할 수 있도록 하려면 다음 권장 사항을 따르세요.

1. 각 섹션에 대해 제출 전에 증거가 명확하게 표시되어 있는지 확인합니다. 제어당 두 개 이상의 증거가 있는 경우 증거가 표시되는 내용에 대한 논평을 포함하여 증거를 단일 단어/pdf 파일에 넣습니다. 증거가 여러 단어/pdf 문서(예: 지원 설명서)로 구성된 경우 개별 파일로 업로드하세요. 맬웨어의 위험으로 인해 zip 파일을 허용하지 않으므로 파트너 센터에 업로드하기 위해 zip 파일에 넣지 마십시오.

2. 모든 외부 프레임워크 정보는 수정 없이 완전히 제공되어야 합니다(PII(개인 식별 정보)에 해당하므로 이러한 보고서에서 개인의 부분 이름만 수정할 수 있습니다.) - 보고서의 모든 부분(예: ISO 27001 SOA(적용 가능성 명세서) 및 인증서, 전체 SOC 2 유형 2 보고서 및/또는 전체 PCI-DSS 규정 준수 증명(AOC))이 포함되어야 합니다. 모든 문서는 제7항에 따른 Microsoft 파트너 센터 계약의 적용을 받습니다.

섹션 7(a)에는 다음 NDA가 포함됩니다.

3. 요청 시 전체 수정되지 않은 침투 테스트 보고서를 파트너 센터를 통해 보내야 합니다. 이 보고서가 제공되지 않으면 인증 분석가가 Microsoft 365 인증에 대한 감사를 완료할 수 없습니다.

4. 내부 및 외부 인프라 및 웹 애플리케이션 침투 테스트 – 모든 호스팅 환경에 침투 테스트 보고서가 필요합니다.

   • IaaS(Infrastructure as a Service) 또는 ISV 호스팅(온-프레미스, 프라이빗 데이터 센터)의 경우 내부 및 외부 인프라 및 웹 애플리케이션 테스트가 필요합니다.

   • Platform as a Service 'PaaS/Serverless'의 경우 펜 테스트는 웹 애플리케이션 및 기본 지원 인프라에서 수행해야 합니다.

참고: 무료 침투 테스트 – 무료 Microsoft 펜 테스트는 12일로 제한됩니다. 펜 테스트를 scope 경우 앱에 12일 이상의 테스트가 필요한 경우 추가 일 수에 대한 비용을 지불하라는 메시지가 표시됩니다. 또한 시간 외에 펜 테스트가 필요한 경우 추가 비용이 발생합니다. 제공된 펜 테스트 서비스는 연간 하나의 펜 테스트(다시 테스트 1회 포함)로 제한됩니다. 예를 들어 2022년 9월 1일에 침투 테스트를 수행한 경우 2023년 8월 31일까지 다른 펜 테스트를 받을 수 없습니다.

이는 모든 제출 시도에 적용됩니다. 즉, 현재 제출 주기에 적용되며, 현재 제출을 종료하고 같은 해 내에 프로세스를 다시 시작하기로 결정한 경우 이미 수행되었으므로 추가 펜 테스트를 받을 수 없습니다.

5. 모든 ISV는 Microsoft 관리 팀에서 티켓 시작 전자 메일을 받은 후 14일 이내에 초기 문서 제출을 완료해야 합니다(여기에는 분석가와의 이전 버전 및 전달이 포함됨). 14일 기간은 전체 완료, 검토 및 제출을 전체 증거 단계로 이동하기 위한 것입니다. ISV는 분석가가 수정을 요구했거나 추가 정보 또는 문서를 요청했는지 확인하기 위해 정기적으로 확인해야 합니다. 14일 기간 동안 ISV는 필요한 정보를 필요한 만큼 여러 번 제출할 수 있지만 제출이 적극적으로 수행되지 않는 경우 파트너 센터에서 부실하고 닫힌 것으로 간주되며 인증을 다시 시작해야 합니다. 특정 상황에서 ISV는 완료를 위해 최대 30일 동안 제공될 수 있습니다. ISV가 지정된 기간 내에 초기 문서 제출을 완료할 수 없는 경우 제출이 닫힙니다.

또한 모든 ISV는 초기 문서 제출 단계에서 전체 증거 수집 단계로 전송된 후 60일 이내에 인증을 완료해야 합니다. 여기에는 프로세스 전반에 걸쳐 평가자/감사자가 제공한 수정 및 피드백이 포함됩니다. 60일 기간은 증거의 전체 완료, 검토 및 최종 QA를 위한 것이며, 이는 ISV가 완료 날짜 최소 2주 전에 증거를 제출하여 인증이 정시에 완료되도록 해야 한다는 것을 의미합니다. 60일 기간 동안 ISV는 파트너 센터에 필요한 횟수만큼 증거를 제출할 수 있습니다. 그러나 명시된 최종 제출은 완료 날짜 최소 2주 전에 인증 분석가에게 제출을 검토하고 QA할 시간을 주기 위한 것입니다. 60일이 지나면 ISV가 프로세스를 다시 시작해야 합니다.

인증 프로세스 중에 문제가 발생하는 경우 인증 분석가는 유효한 문제에 대한 잠재적 확장을 부여할 수 있습니다. 분석가는 재량에 따라 ISV가 제출에 적극적으로 작업하는 것으로 보이는 경우 최대 30일의 추가 시간 연장을 부여할 수 있습니다. 확장이 0~30일인 경우 ISV는 확장 종료 날짜 2주 전에 증거를 검토할 수 있는지 확인해야 합니다.

확장이 부여되었지만 증거가 3 개월 이상 된 경우 제공 된 시간과 최종 QA 사이의 기간으로 인해 잠재적으로 부실한 것으로 간주되어 해당 제어에 대한 새로운 증거가 필요하다는 것을 의미하므로 잠재적으로 QA에 실패 할 수 있습니다. 확장 시간이 끝나면 더 이상 확장이 없으며 ISV는 증거를 제출해야 합니다(확장이 끝나기 최소 2주 전). 제출하지 않으면 제출이 실패로 분류되고 닫힙니다. 초기 60일 동안 또는 연장 시간(최대 30일) 동안 제출에 대한 활성 작업이 시작되지 않은 경우 제출은 중단된 것으로 분류되며 닫힙니다.

제출이 중단된 것으로 분류된 경우 ISV는 현재 증거가 부실한 것으로 간주되므로 새로운 증명과 새로운 증거로 프로세스를 다시 시작해야 합니다. ISV는 1년에 하나의 제출만 허용됩니다. 어떤 이유로든 ISV가 전체 증거 수집 단계에 있고 제출이 중단된 것으로 표시되면 프로세스를 중단하면 다음 해까지 프로세스를 다시 시작할 수 없습니다.

수동 증거 제출 구조 – 준수 기록 & 연락처 센터

인증 분석가가 제공된 증거를 쉽게 식별하고 성공적으로 검토할 수 있도록 하려면 인증 팀의 요청에 의해 수동으로 제출하는 경우 증거 제출 구조에 대한 권장 사항을 따르세요.

1. 각 보안 제어 그룹(예: 바이러스 백신, 패치 관리 등)에 대해 쉽게 검토할 수 있는 단일 문서(예: Word 또는 PDF)를 만듭니다.

2. 문서에 포함된 내용을 명확히 하려면 보안 제어 그룹 다음에 단일 문서의 이름을 지정합니다.

3. 증거 아티팩트 추가, 컨트롤 그룹을 지원하는 organization 지원 설명서 및 아티팩트가 무엇인지, 이 증거가 컨트롤을 충족하는지 설명하는 인증 분석가에 대한 추가 참고 사항을 참조하세요(즉, 데이터 보안 및 개인 정보 제어 번호 1번)로 이미지 이름을 지정하는 경우 인증 분석가에게 도움이 됩니다.

참고: 샘플링이 사용되는 경우 샘플 집합의 각 디바이스에서 아티팩트가 가져와야 합니다. 아티팩트가 평가 중인 디바이스에서 온 것이며 데이터가 가려지거나 수정되지 않았는지 확인하기 위해 시스템 이름도 표시해야 합니다.

4. 모든 외부 프레임워크 정보는 수정 없이 완전히 제공되어야 합니다(PII에 포함되므로 이러한 보고서에서 개인 이름만 수정할 수 있습니다.) - 보고서의 모든 부분(예: ISO 27001 SOA(적용 가능성 명세서) 및 인증서, 전체 SOC 2 유형 2 보고서 및/또는 전체 PCI-DSS 규정 준수 증명(AOC) 전체 HIPAA 보고서 또는 FedRAMP를 포함해야 합니다. 모든 문서는 섹션 7에 따라 Microsoft 파트너 센터 계약의 적용을 받습니다.

섹션 7(a)에는 다음 NDA가 포함됩니다.

5. 요청 시 전체 수정되지 않은 침투 테스트 보고서를 인증 분석가에게 보내야 합니다. 이 보고서가 제공되지 않으면 인증 분석가가 Microsoft 365 인증을 완료할 수 없습니다.

6. 내부 및 외부 인프라 및 웹 애플리케이션 – 모든 호스팅 환경에 침투 테스트 보고서가 필요합니다.

   • IaaS(Infrastructure as a Service) 또는 ISV 호스팅(온-프레미스, 프라이빗 데이터 센터)의 경우 내부 및 외부 인프라 및 웹 애플리케이션 테스트가 필요합니다.

   • Platform as a Service 'PaaS/Serverless'의 경우 펜 테스트는 웹 애플리케이션 및 기본 지원 인프라에서 수행해야 합니다.

무료 침투 테스트 - 무료 Microsoft 펜 테스트는 12일로 제한됩니다. 앱에 12일 이상의 테스트가 필요한 경우 ISV는 추가 일수에 대한 비용을 지불하라는 요청을 받게 됩니다. 또한 ISV에 감사자의 위치에 따라 정상 업무 시간 외 펜 테스트가 필요한 경우 추가 비용도 발생합니다. 제공된 펜 테스트 서비스는 제출 시도당 연간 하나의 무료 펜 테스트(다시 테스트 1회 포함)로 제한됩니다.

7. 모든 ISV는 Microsoft 관리 팀에서 티켓 시작 전자 메일을 받은 후 14일 이내에 초기 문서 제출을 완료해야 합니다(여기에는 분석가와의 이전 버전 및 전달이 포함됨). 14일 기간은 전체 완료, 검토 및 제출을 전체 증거 단계로 이동하기 위한 것입니다. ISV는 분석가가 수정을 요구했거나 추가 정보 또는 문서를 요청했는지 확인하기 위해 정기적으로 확인해야 합니다. 14일 기간 동안 ISV는 필요한 정보를 필요한 만큼 여러 번 제출할 수 있지만 제출이 적극적으로 수행되지 않는 경우 파트너 센터에서 부실하고 닫힌 것으로 간주되며 인증을 다시 시작해야 합니다. 특정 상황에서 ISV는 완료를 위해 최대 30일 동안 제공될 수 있습니다. ISV가 지정된 기간 내에 초기 문서 제출을 완료할 수 없는 경우 제출이 닫힙니다.

또한 모든 ISV는 초기 문서 제출 단계에서 전체 증거 수집 단계로 전송된 후 60일 이내에 인증을 완료해야 합니다. 여기에는 프로세스 전반에 걸쳐 평가자/감사자가 제공한 수정 및 피드백이 포함됩니다. 60일 기간은 증거의 전체 완료, 검토 및 최종 QA를 위한 것이며, 이는 ISV가 완료 날짜 최소 2주 전에 증거를 제출하여 인증이 정시에 완료되도록 해야 한다는 것을 의미합니다. 60일 기간 동안 ISV는 파트너 센터에 필요한 횟수만큼 증거를 제출할 수 있습니다. 그러나 명시된 최종 제출은 완료 날짜 최소 2주 전에 인증 분석가에게 제출을 검토하고 QA할 시간을 주기 위한 것입니다. 60일이 지나면 ISV가 프로세스를 다시 시작해야 합니다.

인증 프로세스 중에 문제가 발생하는 경우 인증 분석가는 유효한 문제에 대한 잠재적 확장을 부여할 수 있습니다. 분석가는 재량에 따라 ISV가 제출에 적극적으로 작업하는 것으로 보이는 경우 최대 30일의 추가 시간 연장을 부여할 수 있습니다. 확장이 0~30일인 경우 ISV는 확장 종료 날짜 2주 전에 증거를 검토할 수 있는지 확인해야 합니다.

확장이 부여되었지만 증거가 3 개월 이상 된 경우 제공 된 시간과 최종 QA 사이의 기간으로 인해 잠재적으로 부실한 것으로 간주되어 해당 제어에 대한 새로운 증거가 필요하다는 것을 의미하므로 잠재적으로 QA에 실패 할 수 있습니다. 확장 시간이 끝나면 더 이상 확장이 없으며 ISV는 증거를 제출해야 합니다(확장이 끝나기 최소 2주 전). 제출하지 않으면 제출이 실패로 분류되고 닫힙니다. 초기 60일 동안 또는 연장 시간(최대 30일) 동안 제출에 대한 활성 작업이 시작되지 않은 경우 제출은 중단된 것으로 분류되며 닫힙니다.

제출이 중단된 것으로 분류된 경우 ISV는 현재 증거가 부실한 것으로 간주되므로 새로운 증명과 새로운 증거로 프로세스를 다시 시작해야 합니다. ISV는 1년에 하나의 제출만 허용됩니다. 어떤 이유로든 ISV가 전체 증거 수집 단계에 있고 제출이 중단된 것으로 표시되면 프로세스를 중단하면 다음 해까지 프로세스를 다시 시작할 수 없습니다.

준수 기록 & 연락처 센터에 대한 폴더 구조 만들기

다음 지침에 따라 분석가가 제공된 증거를 검토하는 데 필요한 폴더 구조를 만듭니다.

1. 컨트롤의 범위를 지정할 수 있도록 초기 문서 제출을 완료합니다. 아키텍처 다이어그램 및 데이터 흐름 다이어그램도 동일한 수준의 세부 정보를 갖습니다.

2. 내부 또는 온라인 폴더를 만들고 모든 문서를 추가합니다.

   • 실제 공유 폴더에 레이블을 Microsoft Certification

   • IDS라는 폴더의 Microsoft Certification 폴더에 초기 문서 제출 정보를 추가합니다.

   • 인증 폴더 내에 다음 이름을 가진 4개의 폴더를 만듭니다.

     • 애플리케이션 보안(펜 테스트 정보용)

     • 규정 준수(SOC 2와 같은 외부 프레임워크의 경우)

     • 운영 보안(OS)

     • 데이터 보안 & 개인 정보(DS&P)

   • OS 및 DS&P 폴더 내에서 각 컨트롤 집합(예: 맬웨어, 패치 등)에 대한 제어 그룹을 만들어 각 컨트롤에 대한 문서를 추가할 수 있습니다(구체적으로 지정하려는 경우 각 개별 컨트롤에 대한 폴더를 만들어 컨트롤 이름으로 증거를 더 쉽게 추적할 수 있습니다.이 경우 X가 컨트롤 번호를 나타내는 Control X 폴더를 호출하세요). 컨트롤의 범위가 지정될 때까지 보조 폴더 구조를 만들 수 없습니다.

폴더 구조 루트 폴더의 예:

"Evidence" 폴더 내의 하위 폴더:

3. 공유에 문서를 업로드한 후 공유 폴더에 대한 권한을 부여하고 세부 정보를 인증 분석가에게 이메일로 보내주세요. 별도의 전자 메일로 암호를 보내주세요.

4. 증거를 정렬할 때 로그인한 사용자, URL, 날짜 및 타임스탬프를 보여 주는 전체 화면 스크린샷을 찍어 보세요. Linux를 사용하는 경우 명령 프롬프트에서 이 작업을 수행할 수 있습니다. 각 컨트롤에 필요한 경우 설명을 제공하고 정책의 경우 코드 조각이나 스크린샷이 아닌 정책의 전체 복사본이 필요하다는 것을 기억하세요.

5. 이 문서를 참조하여 제어 및 필요한 증거 유형을 파악할 수 있습니다.

6. 필요할 수 있는 펜 테스트는 예약되지 않으며 컨트롤의 50%가 승인될 때까지 프로세스를 시작하기 위한 설명서를 받지 못합니다. 펜 테스트는 12일 동안만 무료입니다. 그러나 펜 테스트가 12일 이상 실행되는 경우 테스트가 시작되기 전에 추가 일을 선불로 지불해야 합니다.

7. 컨트롤에 대한 증거를 수집하기 위해 범위가 지정된 컨트롤의 복사본을 받으면 티커가 시작됩니다. 그러면 해당 효과에 대한 이메일을 받게 되며 펜 테스트를 포함한 전체 인증 프로세스를 완료하는 데 60일이 걸립니다.

8. 30일 이내에 컨트롤의 첫 번째 반복을 제출하여 문제를 식별하고 60일이 만료되기 전에 수정이 요청되도록 하세요.

자세히 알아보기

• 애플리케이션 보안 (필요한 경우 연결 검사 포함)
• 샘플 증거: 운영 보안
• 샘플 증거: 데이터 보안 및 개인 정보