Обзор управления, рисков и соответствия требованиям
Как корпорация Майкрософт обеспечивает эффективное управление безопасностью на предприятии?
Корпорация Майкрософт понимает, что эффективные политики безопасности должны быть последовательно реализованы на предприятии для защиты информационных систем и клиентов Майкрософт. Политики безопасности также должны учитывать универсальные варианты бизнес-функций и информационных систем. В соответствии с этими требованиями корпорация Майкрософт реализует комплексную программу управления безопасностью в рамках Microsoft Policy Framework. На управление безопасностью распространяется политика безопасности Майкрософт.
MSP систематизирует политики безопасности, стандарты и требования Майкрософт, чтобы их можно было реализовать во всех инженерных группах и бизнес-подразделениях Майкрософт. Отдельные подразделения отвечают за определенные реализации политик безопасности Майкрософт. Например, Microsoft 365 документирует свои реализации безопасности в политике информационной безопасности Microsoft 365 и связанной платформе управления Microsoft 365. Azure и Dynamics 365 документировать свои реализации безопасности в стандартных операционных процедурах (SOP) и Azure Control Framework. Эти реализации безопасности соответствуют целям и задачам MSP.
Программа управления безопасностью Майкрософт информируется о различных системах регулирования и соответствия требованиям. Требования к безопасности постоянно развиваются с учетом новых технологий, нормативных требований и требований к соответствию, а также угроз безопасности. Из-за этих изменений корпорация Майкрософт регулярно обновляет наши политики безопасности и вспомогательные документы для защиты систем и клиентов Майкрософт, выполнения наших обязательств и поддержания доверия клиентов.
Как Microsoft веб-службы реализовать политику безопасности Майкрософт (MSP)?
Microsoft 365 документирует реализации безопасности в политике информационной безопасности Microsoft 365. Эта политика соответствует политике безопасности Майкрософт и регулирует информационную систему Microsoft 365, включая все среды Microsoft 365 и все ресурсы, участвующие в сборе, обработке, обслуживании, использовании, совместном применении, распространении и утилизации данных. Аналогичным образом, Azure и Dynamics 365 использовать политику безопасности Майкрософт для управления своей информационной системой.
Информационные системы включают следующие компоненты, регулируемые Политикой информационной безопасности Microsoft 365 (для Microsoft 365) и Политикой безопасности Майкрософт (для Azure и Dynamics 365):
- Инфраструктура: физические и аппаратные компоненты систем Azure, Dynamics 365 и Microsoft 365 (средства, оборудование и сети).
- Программное обеспечение. Программы и операционное программное обеспечение систем Azure, Dynamics 365 и Microsoft 365 (системы, приложения и служебные программы)
- Люди: персонал, участвующий в эксплуатации и использовании систем Azure, Dynamics 365 и Microsoft 365 (разработчики, операторы, пользователи и руководители).
- Процедуры: запрограммированные и ручные процедуры, связанные с работой систем Azure, Dynamics 365 и Microsoft 365.
- Данные: информация, созданная, собираемая и обрабатываемая системами Azure, Dynamics 365 и Microsoft 365 (потоки транзакций, файлы, базы данных и таблицы).
Политика информационной безопасности Microsoft 365 дополняется платформой управления Microsoft 365. Платформа управления Microsoft 365 содержит сведения о минимальных требованиях к безопасности для всех служб и компонентов информационной системы Microsoft 365. Он также ссылается на юридические и корпоративные требования, стоящие за каждым элементом управления. Платформа включает имена действий средств контроля, описания и рекомендации для обеспечения эффективного внедрения средств контроля командами обслуживания. Microsoft 365 использует платформу управления для отслеживания реализаций элементов управления для внутренних и внешних отчетов. Аналогичным образом Azure и Dynamics 365 записывать реализации управления в Azure Control Framework.
Как веб-службы ограничить и отслеживать исключения для установленных политик и процедур?
Все исключения из платформ управления должны иметь законное бизнес-обоснование и утверждаться соответствующим субъектом управления в каждой веб-службы команде. В зависимости от области действия исключения и создаваемого им потенциального риска может потребоваться получить утверждение для исключений от корпоративного вице-президента или руководителя более высокого уровня. Управление исключениями осуществляется с помощью средства отслеживания, где они проверяются и утверждаются на предмет постоянной релевантности.
Как корпорация Майкрософт оценивает риски и управляет ими на предприятии?
Управление рисками — это процесс выявления, оценки и реагирования на угрозы или события, которые могут повлиять на цели компании или клиентов. Управление рисками в корпорации Майкрософт предназначено для прогнозирования новых угроз и обеспечения постоянной защиты для наших облачных систем и клиентов, которые их используют.
Управление рисками Майкрософт соответствует платформе Управления рисками предприятия (ERM). ERM обеспечивает общий процесс управления корпоративными рисками и взаимодействует с системой управления на предприятии для выявления наиболее значимых рисков корпорации Майкрософт, а также для обеспечения ответственности за их устранение.
Microsoft ERM обеспечивает общие принципы управления рисками на предприятии, чтобы бизнес-подразделения могли независимо упростить последовательные и сравнительные оценки рисков. Такая координация дает корпорации Майкрософт возможность агрегировать и сообщать сведения о рисках консолидированным образом для управления. ERM предоставляет подразделениям Майкрософт общие методологии, инструменты и цели для процесса управления рисками. Microsoft 365 и другие инженерные группы и бизнес-подразделения используют эти средства для проведения индивидуальных оценок рисков в рамках собственных программ управления рисками под руководством ERM.
Как Microsoft веб-службы работает с ERM?
Каждая веб-служба соответствует рекомендациям ERM по управлению рисками в службах Майкрософт. Программа ориентирована на согласование платформы ERM с существующими процессами проектирования, обслуживания и соответствия требованиям Майкрософт, что делает программу управления рисками более эффективной и эффективной. В конечном итоге действия по управлению рисками каждой веб-службы объединяются и информируют о процессе ERM.
В рамках действий по оценке рисков каждая веб-служба анализирует структуру и эффективность работы элементов управления, реализованных в рамках Microsoft Controls Framework (Framework). Платформа представляет собой рационализированный набор средств управления, который при правильном внедрении вместе с поддержкой мероприятий по обеспечению соответствия позволяет инженерным командам соблюдать ключевые правила и сертификаты.
Как веб-службы обновлять требования к безопасности и соответствию?
Команды по управлению, рискам и соответствию требованиям каждой веб-службы (GRC) работают над поддержанием платформы управления на постоянной основе. В нескольких сценариях может потребоваться, чтобы команда GRC обновила платформу управления, включая изменения в соответствующих нормативных актах или законах, возникающие угрозы, результаты тестов на проникновение, инциденты безопасности, отзывы об аудите и новые требования к соответствию. Когда требуется изменение платформы, группа доверия определяет ключевых заинтересованных лиц, ответственных за утверждение и реализацию изменения, чтобы убедиться, что это возможно и не приведет к непредвиденным проблемам с веб-службами. После того как команда GRC и соответствующие заинтересованные лица договорятся о том, что требуется для изменения, рабочие нагрузки, ответственные за реализацию изменения, устанавливают целевые даты завершения и работают над реализацией изменения в своих соответствующих службах. После достижения целевых показателей реализации команда доверия обновляет платформу управления новыми или обновленными элементами управления.
Связанные внешние правила & сертификации
Веб-службы Корпорации Майкрософт регулярно проверяются на соответствие внешним нормативным требованиям и сертификациям. Сведения о проверке элементов управления, связанных с управлением, рисками и соответствием, см. в следующей таблице.
Azure и Dynamics 365
| Внешний аудит | Section | Дата последнего отчета |
|---|---|---|
|
ISO 27001 Заявление о применимости Сертификат |
A.5. Политики информационной безопасности A.18.1. Соответствие юридическим и договорным требованиям A.18.2. Проверки информационной безопасности |
8 апреля 2024 г. |
|
ISO 27017 Заявление о применимости Сертификат |
A.5. Политики информационной безопасности A.18.1. Соответствие юридическим и договорным требованиям A.18.2. Проверки информационной безопасности |
8 апреля 2024 г. |
|
ISO 27018 Заявление о применимости Сертификат |
A.5. Политики информационной безопасности | 8 апреля 2024 г. |
|
ISO 22301 Сертификат |
6.1.1. Определение рисков и возможностей 6.1.2. Устранение рисков и возможностей |
8 апреля 2024 г. |
| SOC 1; | IS-1: политика безопасности Майкрософт IS-2: обзор политики безопасности Майкрософт IS-3: роли и обязанности в области безопасности |
16 августа 2024 г. |
|
SOC 2; SOC 3 |
C5-1: стандартные операционные процедуры IS-1: политика безопасности Майкрософт IS-2: обзор политики безопасности Майкрософт IS-3: роли и обязанности в области безопасности SOC2-14: соглашения о конфиденциальности и неразглашении SOC2-18: нормативные, нормативные и договорные требования SOC2-19: кроссфункциональная программа соответствия требованиям SOC2-20: программа ISMS SOC2-26: ежегодная оценка рисков |
Пятница, 20 мая 2024 г. |
Microsoft 365
| Внешний аудит | Section | Дата последнего отчета |
|---|---|---|
| FedRAMP | CA-2: оценки безопасности CA-5: план действий и вехи PL-2: план безопасности системы RA-3: оценка рисков |
21 августа 2024 г. |
|
ISO 27001/27017 Заявление о применимости Сертификация (27001) Сертификация (27017) |
A.5. Политики информационной безопасности A.18.1. Соответствие юридическим и договорным требованиям A.18.2. Проверки информационной безопасности |
Март 2024 г. |
| SOC 1; | CA-03: управление рисками | 1 августа 2024 г. |
| SOC 2; | CA-02: обязанности группы по управлению, рискам и соответствию CA-03: управление рисками CA-11: обновления платформы политик CA-17: политика безопасности Майкрософт CA-24: внутренняя оценка рисков CA-25: обновления платформы управления |
23 января 2024 г. |