Explorar a política de segurança de informações do Microsoft 365
As unidades de negócios e os grupos de produtos da Microsoft são responsáveis por implementar as políticas de segurança, os padrões e os requisitos do Programa de Política e Padrões da Segurança da Microsoft. Microsoft 365 documenta essas implementações de segurança na Política de Segurança de Informação do Microsoft 365. Essa política se alinha à Política de Segurança da Microsoft e rege o sistema de informações do Microsoft 365, incluindo todos os ambientes do Microsoft 365 e todos os recursos envolvidos na coleta, processamento, manutenção, uso, compartilhamento, compartilhamento e descarte de dados.
Escopo
A finalidade da Política de Segurança da Informação do Microsoft 365 é permitir que o Microsoft 365 opere de acordo com as práticas recomendadas, atingir o objetivo corporativo de criar e manter a confiança do cliente, cumprir os requisitos regulatórios e compromissos do cliente e dar suporte a promessas públicas em relação à confidencialidade, integridade e disponibilidade dos serviços Microsoft 365.
O sistema de informação do Microsoft 365 inclui os seguintes componentes regidos pela Política de Segurança de Informação do Microsoft 365:
- Infraestrutura: Os componentes físicos e de hardware do Microsoft 365 (instalações, equipamentos e redes)
- Software: Os programas e o software operacional de sistemas Microsoft 365 (sistemas, aplicativos e utilitários)
- Pessoas: A equipe envolvida na operação e no uso de sistemas Microsoft 365 (desenvolvedores, operadores, usuários e gerentes)
- Procedimentos: Os procedimentos programados e manuais envolvidos na operação de sistemas Microsoft 365
- Dados: As informações geradas, coletadas e processadas por sistemas Microsoft 365 (fluxos de transações, arquivos, bancos de dados e tabelas)
Todos os componentes de sistema de informação do Microsoft 365 são regidos pela Política de Segurança de Informação do Microsoft 365.
Estrutura de Controle do Microsoft 365
A Política de Segurança de Informação do Microsoft 365 é complementada pela Estrutura de Controle do Microsoft 365. A Estrutura de Controle do Microsoft 365 detalha os requisitos de segurança mínima para todos os serviços Microsoft 365 e componentes do sistema de informações e faz referência aos requisitos legais e corporativos por trás de cada controle. A estrutura inclui nomes de atividades de controle, descrições e diretrizes para garantir implementações de controle eficazes por equipes de serviço. Microsoft 365 usa a estrutura de controle para rastrear evidências de implementações de controle para relatórios internos e externos.
A Estrutura de Controle consiste em 18 objetivos nas seguintes áreas de domínio principais:
- Controle de Acesso (AC)
- Reconhecimento e Treinamento (AT)
- Auditoria e Responsabilidade (AU)
- Avaliação de Segurança (CA)
- Gerenciamento de Configuração (CM)
- Planejamento de Contingência (CP)
- Identificação e Autenticação (IA)
- Resposta a Incidentes (IR)
- Manutenção (MA)
- Proteção de Mídia (MP)
- Acesso Físico (PE)
- Planejamento de Segurança (PL)
- Gerenciamento de Programas (PM)
- Segurança da Equipe (PS)
- Avaliação de Risco (RA)
- Aquisição de Sistema e Serviços (SA)
- Proteção do Sistema e de Comunicações (SC)
- Integridade do Sistema e das Informações (SI)
Funções e responsabilidades
Cada equipe de serviço no Microsoft 365 designa indivíduos responsáveis por conduzir a conformidade com a Política de Segurança da Informação do Microsoft 365, implementar controles de segurança relevantes e verificar se os controles foram implementados corretamente. A tabela a seguir resume brevemente as funções com responsabilidades importantes para impulsionar o alinhamento com a Política de Segurança de Informação do Microsoft 365.
| Função | Descrição das responsabilidades |
|---|---|
| Diretor de Segurança do Sistema de Informações | Indivíduo responsável por manter a postura de segurança operacional do sistema de informações. |
| Diretor de Conformidade da GRC | Indivíduo responsável por definir os requisitos mínimos de segurança e verificar se esses requisitos são atendidos pelo Microsoft 365. |
| EVP, Experiência + Dispositivos | Gerente principal responsável por definir a direção estratégica para o Grupo de Engenharia, incluindo objetivos de segurança e conformidade. |
| Campeões de Conformidade da Equipe de Serviço | Especialistas em cada equipe de serviço que auxiliam os membros da equipe de serviço na implementação de requisitos de política e padrão. |
| Membros da Equipe de Serviço | Membros de equipes de serviço responsáveis pela implementação de requisitos de política e padrão. |
Atualizações da Estrutura de Controle do Microsoft 365
A equipa do Microsoft 365 Trust trabalha para manter o Microsoft 365 Control Framework interno de forma contínua. Vários cenários podem exigir que a equipa de Confiança atualize a estrutura de controlo, incluindo: alterações em regulamentos ou leis relevantes, ameaças emergentes, resultados de testes de penetração, incidentes de segurança, comentários de auditoria e novos requisitos de conformidade. Quando é necessária uma alteração de arquitetura, a equipa de Confiança identifica os principais intervenientes responsáveis pela aprovação e implementação da alteração para garantir que é viável e não causará problemas inesperados com os serviços do Microsoft 365. Assim que a equipa de Confiança e os intervenientes relevantes chegarem a acordo sobre o que a alteração requer, as cargas de trabalho responsáveis pela implementação das datas de conclusão de destino do conjunto de alterações e trabalham para implementar a alteração nos respetivos serviços. Depois de os destinos de implementação terem sido cumpridos, a equipa de Confiança atualiza a estrutura de controlo com os controlos novos ou atualizados.
Processo de exceção
Todas as exceções à Política de Segurança da Informação do Microsoft 365 devem ter uma justificativa comercial legítima e ser aprovadas por uma entidade de governança apropriada dentro do Microsoft 365. As exceções também devem ter aprovação de gerenciamento de equipe de serviço e ser documentadas na ferramenta de gerenciamento de riscos do Microsoft 365. Dependendo do escopo da exceção e do risco potencial que ela representa, a aprovação de exceções pode precisar ser obtida de um vice-presidente corporativo ou superior. As exceções são inseridas na ferramenta de gerenciamento de riscos do Microsoft 365, em que são revisadas e aprovadas para relevância contínua.