Entender o programa de políticas e padrões de segurança da Microsoft
O Programa de Políticas e Padrões de Segurança da Microsoft faz parte do Microsoft Policy Framework e fornece um programa abrangente de governança de segurança para todos os funcionários da Microsoft, grupos de engenharia e unidades de negócios. Como os requisitos de segurança estão em constante mudança para contabilização de novas tecnologias, requisitos regulatórios e de conformidade e ameaças à segurança, a Microsoft atualiza regularmente nossas políticas de segurança e documentos de suporte para proteger os sistemas e clientes da Microsoft, cumprir nossos compromissos e manter a confiança do cliente.
Programa de Políticas e Padrões de Segurança da Microsoft
O Programa de Políticas e Padrões de Segurança da Microsoft é organizado em políticas, padrões, requisitos e linhas de base. Políticas, padrões e requisitos fornecem diretrizes de toda a empresa para dar suporte a práticas consistentes de segurança e privacidade na Microsoft. Unidades de negócios individuais, como Microsoft 365, usam SOPs (procedimentos operacionais padrão) para detalhar como suas unidades de negócios implementam os requisitos.
O Programa de Políticas e Padrões de Segurança da Microsoft e seus requisitos de segurança relacionados incluem:
- Política de Segurança da Microsoft (MSP): O MSP é uma coleção não técnica de objetivos de segurança que se aplicam a toda a equipe da Microsoft. Os objetivos no MSP orientam todas as políticas de segurança, padrões e requisitos em toda a Microsoft.
- Política do Programa de Segurança da Microsoft (MSPP): a Política do Programa de Segurança da Microsoft (MSPP) define um conjunto comum de objetivos de segurança para direcionar em direção a uma estrutura de governança para os resultados de segurança esperados. O MSPP aplica-se, mas não se limita a, a equipe da Microsoft em funções de desenvolvimento, operações, segurança, conformidade e auditoria durante a criação, manutenção e/ou operação de software e/ou serviços da Microsoft.
- Padrões: OsSS (Padrão de Segurança dos Serviços Online) e EISS (Enterprise Information Security Standards) descrevem os requisitos de toda a empresa para serviços online segurança corporativa e corporativa. O OSSS orienta a segurança para todos os serviços online, enquanto o EISS é implementado por equipes de segurança corporativas.
- Requisitos: requisitos são mais detalhados do que os padrões e fornecem implementações técnicas específicas que devem ser atendidas por sistemas e unidades de negócios aplicáveis. Por exemplo, qualquer unidade de negócios que desenvolva produtos ou serviços da Microsoft deve implementar o SDL (Security Development Lifecycle) da Microsoft para impor práticas de desenvolvimento seguras. Outros requisitos da Microsoft incluem OSA (Garantia de Segurança Operacional) para sistemas de produção operacionais com segurança, PKI (Infraestrutura de Chave Pública) para criptografia de chave pública segura e requisitos de INTEGRIDADE de Software (SI) para proteger e verificar a integridade do código.
- Procedimentos Operacionais Padrão (SOPs): grupos de produtos individuais e unidades de negócios usam SOPs para detalhar como sua organização implementa padrões e requisitos para atender aos objetivos de segurança definidos no MSP.
Funções e responsabilidades MSP e MSPP
As atualizações para a Política de Segurança da Microsoft (MSP) e a Política de Programa de Segurança da Microsoft (MSPP) são orientadas pela Segurança e Confiança do Cliente, uma unidade de negócios sob Microsoft Corporate, External e Legal Logs (CENTRAL) com a entrada de todos os grupos de engenharia e unidades de negócios relevantes. O CVP de Segurança e Confiança do Cliente e o CISO da Estratégia Corporativa atuam como aprovadores finais para todas as alterações no MSP.
Processo de revisão do MSP e do MSPP
No mínimo, as políticas de segurança, os padrões e os requisitos da Microsoft são revisados e atualizados anualmente. A revisão anual da política de segurança considera uma variedade de fatores, incluindo:
- Alterações nos requisitos regulatórios ou de conformidade externos. Exemplos incluem legislação ou atualizações para padrões externos, como ISO ou NIST. O processo de revisão da política de segurança inclui a revisão de todas as alterações propostas para garantir o alinhamento com os regulamentos aplicáveis.
- Alterações no cenário de segurança. Isso inclui ameaças emergentes, problemas de segurança e lições aprendidas com incidentes anteriores.
- Alterando as necessidades de negócios e clientes. À medida que os negócios são alterados, as políticas e os padrões podem precisar ser atualizados para levar em conta as novas tecnologias. Por exemplo, novos produtos e serviços podem exigir novas abordagens de segurança.
Os stakeholders relevantes, seus representantes e revisores avaliam como as condições de alteração podem exigir atualizações para as políticas e padrões de segurança da Microsoft. As alterações propostas são enviadas aos revisores relevantes para aprovação. Após a conclusão da revisão, as versões atualizadas das políticas e padrões de segurança da Microsoft são disseminadas e implementadas pelas unidades de negócios da Microsoft, que atualiza seus SOPs (procedimentos operacionais padrão) para contabilizá-lo em caso de alterações nas implementações de segurança específicas da organização.
Tratamento de exceções
Exceções às políticas e padrões de segurança da Microsoft representam desvios dos requisitos com uma justificativa comercial legítima para o desvio. Todas as exceções são revisadas e aprovadas por uma entidade de governança apropriada. Dependendo do escopo da exceção e do risco potencial que ela representa, a aprovação de exceção de um executivo apropriado pode ser necessária. Todas as exceções devem ser rastreadas na ferramenta apropriada.