Visão geral de governança, risco e conformidade

Como a Microsoft fornece uma governança de segurança eficaz em toda a empresa?

A Microsoft entende que políticas de segurança eficazes devem ser implementadas consistentemente em toda a empresa para proteger sistemas de informações e clientes da Microsoft. As políticas de segurança também devem ser contabilizados para variações em funções de negócios e sistemas de informações a serem aplicáveis universalmente. Para atender a esses requisitos, a Microsoft implementa um programa abrangente de governança de segurança como parte do Microsoft Policy Framework. A governança de segurança se enquadra na Política de Segurança da Microsoft (MSP).

O MSP organiza as políticas de segurança, os padrões e os requisitos da Microsoft para que eles possam ser implementados em todos os grupos de engenharia e unidades de negócios da Microsoft. Unidades de negócios individuais são responsáveis por implementações específicas das políticas de segurança da Microsoft. Por exemplo, o Microsoft 365 documenta suas implementações de segurança na Política de Segurança de Informações do Microsoft 365 e na Estrutura de Controle do Microsoft 365 relacionada. O Azure e Dynamics 365 documentam suas implementações de segurança nos SOPs (Procedimentos Operacionais Padrão) e na Estrutura de Controle do Azure. Essas implementações de segurança se alinham às metas e objetivos do MSP.

O programa de governança de segurança da Microsoft é informado e se alinha com várias estruturas regulatórias e de conformidade. Os requisitos de segurança estão em constante evolução para responder por novas tecnologias, requisitos regulatórios e de conformidade e ameaças à segurança. Devido a essas alterações, a Microsoft atualiza regularmente nossas políticas de segurança e documentos de suporte para proteger sistemas e clientes da Microsoft, cumprir nossos compromissos e manter a confiança do cliente.

Como a Microsoft serviços online implementar a MSP (Política de Segurança da Microsoft)?

O Microsoft 365 documenta implementações de segurança na Política de Segurança da Informação do Microsoft 365. Essa política se alinha à Política de Segurança da Microsoft e rege o sistema de informações do Microsoft 365, incluindo todos os ambientes do Microsoft 365 e todos os recursos envolvidos na coleta, processamento, manutenção, uso, compartilhamento, compartilhamento e descarte de dados. Da mesma forma, o Azure e Dynamics 365 usar a Política de Segurança da Microsoft para governar seu sistema de informações.

Os sistemas de informações incluem os seguintes componentes regidos pela Política de Segurança da Informação do Microsoft 365 (para Microsoft 365) e a Política de Segurança da Microsoft (para Azure e Dynamics 365):

  • Infraestrutura: os componentes físicos e de hardware dos sistemas Azure, Dynamics 365 e Microsoft 365 (instalações, equipamentos e redes)
  • Software: os programas e o software operacional dos sistemas Azure, Dynamics 365 e Microsoft 365 (sistemas, aplicativos e utilitários)
  • Pessoas: o pessoal envolvido na operação e no uso dos sistemas Azure, Dynamics 365 e Microsoft 365 (desenvolvedores, operadores, usuários e gerentes)
  • Procedimentos: os procedimentos programados e manuais envolvidos na operação dos sistemas Azure, Dynamics 365 e Microsoft 365
  • Dados: as informações geradas, coletadas e processadas pelos sistemas Azure, Dynamics 365 e Microsoft 365 (fluxos de transações, arquivos, bancos de dados e tabelas)

A Política de Segurança de Informação do Microsoft 365 é complementada pela Estrutura de Controle do Microsoft 365. A Estrutura de Controle do Microsoft 365 detalha os requisitos de segurança mínima para todos os componentes do sistema de informações e serviços do Microsoft 365. Ele também faz referência aos requisitos legais e corporativos por trás de cada controle. A estrutura inclui nomes de atividades de controle, descrições e diretrizes para garantir implementações de controle eficazes por equipes de serviço. O Microsoft 365 usa a estrutura de controle para acompanhar implementações de controle para relatórios internos e externos. Da mesma forma, o Azure e Dynamics 365 implementações de controle de registro na Estrutura de Controle do Azure.

Como serviços online limitar e controlar exceções a políticas e procedimentos estabelecidos?

Todas as exceções às Estruturas de Controle devem ter uma justificativa comercial legítima e ser aprovadas por uma entidade de governança apropriada em cada equipe serviços online. Dependendo do escopo da exceção e do risco potencial que ela representa, a aprovação de exceções pode precisar ser obtida de um vice-presidente corporativo ou superior. As exceções são gerenciadas em uma ferramenta de acompanhamento em que são revisadas e aprovadas para relevância contínua.

Como a Microsoft avalia e gerencia o risco em toda a empresa?

O gerenciamento de riscos é o processo de identificação, avaliação e resposta a ameaças ou eventos que podem afetar os objetivos da empresa ou do cliente. O gerenciamento de riscos na Microsoft foi projetado para prever novas ameaças e fornecer segurança contínua para nossos sistemas de nuvem e os clientes que as usam.

O gerenciamento de riscos da Microsoft se alinha à estrutura ERM (Enterprise Risk Management). O ARM permite o processo geral de gerenciamento de riscos empresariais e trabalha com o gerenciamento em toda a empresa para identificar e garantir a responsabilidade pelos riscos mais significativos da Microsoft.

Estrutura de gerenciamento de riscos.

O Microsoft ERM permite princípios comuns de gerenciamento de risco em toda a empresa para que as unidades de negócios possam facilitar independentemente avaliações de risco consistentes e comparativas. Essa coordenação fornece à Microsoft a capacidade de agregar e relatar informações de risco de forma consolidada para o gerenciamento. ONS fornece unidades de negócios na Microsoft com metodologias, ferramentas e metas comuns para o processo de gerenciamento de riscos. O Microsoft 365 e outros grupos de engenharia e unidades de negócios usam essas ferramentas para realizar avaliações de risco individuais como parte de seus próprios programas de gerenciamento de risco sob as diretrizes do ERM.

Como o Microsoft serviços online funciona com o ERM?

Cada serviço online segue as diretrizes do ERM para gerenciar riscos entre os serviços da Microsoft. O programa se concentra em alinhar a estrutura ERM com processos de engenharia, operações de serviço e conformidade existentes da Microsoft, tornando o programa de Gerenciamento de Riscos mais eficaz e eficiente. As atividades de gerenciamento de risco de cada serviço online acabam se acumulando e informando o processo ERM.

Como parte das atividades de avaliação de risco, cada serviço online analisa o design e a eficácia operacional dos controles implementados como parte do Microsoft Controls Framework (Framework). O Framework é um conjunto racionalizado de controles que, quando implementado corretamente junto com as atividades de conformidade de suporte, permite que as equipes de engenharia cumpram as principais regulamentações e certificações.

Como serviços online manter os requisitos de segurança e conformidade atualizados?

As equipes de governança, risco e conformidade de cada GRC (serviço online) trabalham para manter a Estrutura de Controle continuamente. Vários cenários podem exigir que a equipe do GRC atualize a estrutura de controle, incluindo alterações em regulamentos ou leis relevantes, ameaças emergentes, resultados de teste de penetração, incidentes de segurança, comentários de auditoria e novos requisitos de conformidade. Quando uma alteração de estrutura é necessária, a equipe do Trust identifica os principais stakeholders responsáveis pela aprovação e implementação da alteração para garantir que ela seja viável e não causará problemas não intencionais com os serviços Online. Depois que a equipe do GRC e os stakeholders relevantes concordarem sobre o que a alteração exige, as cargas de trabalho responsáveis pela implementação das datas de conclusão de destino do conjunto de alterações e trabalharão para implementar a alteração em seus respectivos serviços. Após o cumprimento das metas de implementação, a equipe do Trust atualiza a estrutura de controle com os controles novos ou atualizados.

Os serviços online da Microsoft são auditados regularmente para conformidade com regulamentos e certificações externas. Consulte a tabela a seguir para validação de controles relacionados à governança, risco e conformidade.

Azure e Dynamics 365

Auditorias externas Section Data do relatório mais recente
ISO 27001/27002

Instrução de Aplicabilidade
Certificado
A.5: Políticas de segurança da informação
A.18.1: Conformidade com requisitos legais e contratuais
A.18.2: Revisões de segurança de informações
6 de novembro de 2023
ISO 27017

Instrução de Aplicabilidade
Certificado
A.5: Políticas de segurança da informação
A.18.1: Conformidade com requisitos legais e contratuais
A.18.2: Revisões de segurança de informações
6 de novembro de 2023
ISO 27018

Instrução de Aplicabilidade
Certificado
A.5: Políticas de segurança da informação 6 de novembro de 2023
ISO 22301

Certificado
6.1.1: Determinando riscos e oportunidades
6.1.2: Abordando riscos e oportunidades
24 de abril de 2023
SOC 1 IS-1: Política de segurança da Microsoft
IS-2: Revisão da política de segurança da Microsoft
IS-3: funções de segurança e responsabilidades
17 de novembro de 2023
SOC 2
SOC 3
C5-1: procedimentos operacionais padrão
IS-1: Política de segurança da Microsoft
IS-2: Revisão da política de segurança da Microsoft
IS-3: funções de segurança e responsabilidades
SOC2-14: Contratos de confidencialidade e não divulgação
SOC2-18: Requisitos estatutários, regulatórios e contratuais
SOC2-19: programa de conformidade multifuncional
SOC2-20: programa ISMS
SOC2-26: Avaliação anual de risco
17 de novembro de 2023

Microsoft 365

Auditorias externas Section Data do relatório mais recente
FedRAMP (Office 365) CA-2: Avaliações de segurança
CA-5: Plano de ação e marcos
PL-2: plano de segurança do sistema
RA-3: Avaliação de risco
31 de julho de 2023
ISO 27001/27002/27017

Instrução de Aplicabilidade
Certificação (27001/27002)
Certificação (27017)
A.5: Políticas de segurança da informação
A.18.1: Conformidade com requisitos legais e contratuais
A.18.2: Revisões de segurança de informações
Março de 2023
SOC 1 CA-03: Gerenciamento de riscos 23 de janeiro de 2024
SOC 2 CA-02: Responsabilidades da equipe de governança, risco e conformidade
CA-03: Gerenciamento de riscos
CA-11: Atualizações da estrutura de política
CA-17: Política de segurança da Microsoft
CA-24: avaliação de risco interno
CA-25: atualizações da estrutura de controle
23 de janeiro de 2024

Recursos