Поделиться через


Обзор управления, рисков и соответствия требованиям

Как корпорация Майкрософт обеспечивает эффективное управление безопасностью на предприятии?

Корпорация Майкрософт понимает, что эффективные политики безопасности должны быть последовательно реализованы на предприятии для защиты информационных систем и клиентов Майкрософт. Политики безопасности также должны учитывать универсальные варианты бизнес-функций и информационных систем. В соответствии с этими требованиями корпорация Майкрософт реализует комплексную программу управления безопасностью в рамках Microsoft Policy Framework. На управление безопасностью распространяется политика безопасности Майкрософт.

MSP систематизирует политики безопасности, стандарты и требования Майкрософт, чтобы их можно было реализовать во всех инженерных группах и бизнес-подразделениях Майкрософт. Отдельные подразделения отвечают за определенные реализации политик безопасности Майкрософт. Например, Microsoft 365 документирует свои реализации безопасности в политике информационной безопасности Microsoft 365 и связанной платформе управления Microsoft 365. Azure и Dynamics 365 документировать свои реализации безопасности в стандартных операционных процедурах (SOP) и Azure Control Framework. Эти реализации безопасности соответствуют целям и задачам MSP.

Программа управления безопасностью Майкрософт информируется о различных системах регулирования и соответствия требованиям. Требования к безопасности постоянно развиваются с учетом новых технологий, нормативных требований и требований к соответствию, а также угроз безопасности. Из-за этих изменений корпорация Майкрософт регулярно обновляет наши политики безопасности и вспомогательные документы для защиты систем и клиентов Майкрософт, выполнения наших обязательств и поддержания доверия клиентов.

Как Microsoft веб-службы реализовать политику безопасности Майкрософт (MSP)?

Microsoft 365 документирует реализации безопасности в политике информационной безопасности Microsoft 365. Эта политика соответствует политике безопасности Майкрософт и регулирует информационную систему Microsoft 365, включая все среды Microsoft 365 и все ресурсы, участвующие в сборе, обработке, обслуживании, использовании, совместном применении, распространении и утилизации данных. Аналогичным образом, Azure и Dynamics 365 использовать политику безопасности Майкрософт для управления своей информационной системой.

Информационные системы включают следующие компоненты, регулируемые Политикой информационной безопасности Microsoft 365 (для Microsoft 365) и Политикой безопасности Майкрософт (для Azure и Dynamics 365):

  • Инфраструктура: физические и аппаратные компоненты систем Azure, Dynamics 365 и Microsoft 365 (средства, оборудование и сети).
  • Программное обеспечение. Программы и операционное программное обеспечение систем Azure, Dynamics 365 и Microsoft 365 (системы, приложения и служебные программы)
  • Люди: персонал, участвующий в эксплуатации и использовании систем Azure, Dynamics 365 и Microsoft 365 (разработчики, операторы, пользователи и руководители).
  • Процедуры: запрограммированные и ручные процедуры, связанные с работой систем Azure, Dynamics 365 и Microsoft 365.
  • Данные: информация, созданная, собираемая и обрабатываемая системами Azure, Dynamics 365 и Microsoft 365 (потоки транзакций, файлы, базы данных и таблицы).

Политика информационной безопасности Microsoft 365 дополняется платформой управления Microsoft 365. Платформа управления Microsoft 365 содержит сведения о минимальных требованиях к безопасности для всех служб и компонентов информационной системы Microsoft 365. Он также ссылается на юридические и корпоративные требования, стоящие за каждым элементом управления. Платформа включает имена действий средств контроля, описания и рекомендации для обеспечения эффективного внедрения средств контроля командами обслуживания. Microsoft 365 использует платформу управления для отслеживания реализаций элементов управления для внутренних и внешних отчетов. Аналогичным образом Azure и Dynamics 365 записывать реализации управления в Azure Control Framework.

Как веб-службы ограничить и отслеживать исключения для установленных политик и процедур?

Все исключения из платформ управления должны иметь законное бизнес-обоснование и утверждаться соответствующим субъектом управления в каждой веб-службы команде. В зависимости от области действия исключения и создаваемого им потенциального риска может потребоваться получить утверждение для исключений от корпоративного вице-президента или руководителя более высокого уровня. Управление исключениями осуществляется с помощью средства отслеживания, где они проверяются и утверждаются на предмет постоянной релевантности.

Как корпорация Майкрософт оценивает риски и управляет ими на предприятии?

Управление рисками — это процесс выявления, оценки и реагирования на угрозы или события, которые могут повлиять на цели компании или клиентов. Управление рисками в корпорации Майкрософт предназначено для прогнозирования новых угроз и обеспечения постоянной защиты для наших облачных систем и клиентов, которые их используют.

Управление рисками Майкрософт соответствует платформе Управления рисками предприятия (ERM). ERM обеспечивает общий процесс управления корпоративными рисками и взаимодействует с системой управления на предприятии для выявления наиболее значимых рисков корпорации Майкрософт, а также для обеспечения ответственности за их устранение.

Структура управления рисками.

Microsoft ERM обеспечивает общие принципы управления рисками на предприятии, чтобы бизнес-подразделения могли независимо упростить последовательные и сравнительные оценки рисков. Такая координация дает корпорации Майкрософт возможность агрегировать и сообщать сведения о рисках консолидированным образом для управления. ERM предоставляет подразделениям Майкрософт общие методологии, инструменты и цели для процесса управления рисками. Microsoft 365 и другие инженерные группы и бизнес-подразделения используют эти средства для проведения индивидуальных оценок рисков в рамках собственных программ управления рисками под руководством ERM.

Как Microsoft веб-службы работает с ERM?

Каждая веб-служба соответствует рекомендациям ERM по управлению рисками в службах Майкрософт. Программа ориентирована на согласование платформы ERM с существующими процессами проектирования, обслуживания и соответствия требованиям Майкрософт, что делает программу управления рисками более эффективной и эффективной. В конечном итоге действия по управлению рисками каждой веб-службы объединяются и информируют о процессе ERM.

В рамках действий по оценке рисков каждая веб-служба анализирует структуру и эффективность работы элементов управления, реализованных в рамках Microsoft Controls Framework (Framework). Платформа представляет собой рационализированный набор средств управления, который при правильном внедрении вместе с поддержкой мероприятий по обеспечению соответствия позволяет инженерным командам соблюдать ключевые правила и сертификаты.

Как веб-службы обновлять требования к безопасности и соответствию?

Команды по управлению, рискам и соответствию требованиям каждой веб-службы (GRC) работают над поддержанием платформы управления на постоянной основе. В нескольких сценариях может потребоваться, чтобы команда GRC обновила платформу управления, включая изменения в соответствующих нормативных актах или законах, возникающие угрозы, результаты тестов на проникновение, инциденты безопасности, отзывы об аудите и новые требования к соответствию. Когда требуется изменение платформы, группа доверия определяет ключевых заинтересованных лиц, ответственных за утверждение и реализацию изменения, чтобы убедиться, что это возможно и не приведет к непредвиденным проблемам с веб-службами. После того как команда GRC и соответствующие заинтересованные лица договорятся о том, что требуется для изменения, рабочие нагрузки, ответственные за реализацию изменения, устанавливают целевые даты завершения и работают над реализацией изменения в своих соответствующих службах. После достижения целевых показателей реализации команда доверия обновляет платформу управления новыми или обновленными элементами управления.

Веб-службы Корпорации Майкрософт регулярно проверяются на соответствие внешним нормативным требованиям и сертификациям. Сведения о проверке элементов управления, связанных с управлением, рисками и соответствием, см. в следующей таблице.

Azure и Dynamics 365

Внешний аудит Section Дата последнего отчета
ISO 27001

Заявление о применимости
Сертификат
A.5. Политики информационной безопасности
A.18.1. Соответствие юридическим и договорным требованиям
A.18.2. Проверки информационной безопасности
8 апреля 2024 г.
ISO 27017

Заявление о применимости
Сертификат
A.5. Политики информационной безопасности
A.18.1. Соответствие юридическим и договорным требованиям
A.18.2. Проверки информационной безопасности
8 апреля 2024 г.
ISO 27018

Заявление о применимости
Сертификат
A.5. Политики информационной безопасности 8 апреля 2024 г.
ISO 22301

Сертификат
6.1.1. Определение рисков и возможностей
6.1.2. Устранение рисков и возможностей
8 апреля 2024 г.
SOC 1; IS-1: политика безопасности Майкрософт
IS-2: обзор политики безопасности Майкрософт
IS-3: роли и обязанности в области безопасности
16 августа 2024 г.
SOC 2;
SOC 3
C5-1: стандартные операционные процедуры
IS-1: политика безопасности Майкрософт
IS-2: обзор политики безопасности Майкрософт
IS-3: роли и обязанности в области безопасности
SOC2-14: соглашения о конфиденциальности и неразглашении
SOC2-18: нормативные, нормативные и договорные требования
SOC2-19: кроссфункциональная программа соответствия требованиям
SOC2-20: программа ISMS
SOC2-26: ежегодная оценка рисков
Пятница, 20 мая 2024 г.

Microsoft 365

Внешний аудит Section Дата последнего отчета
FedRAMP CA-2: оценки безопасности
CA-5: план действий и вехи
PL-2: план безопасности системы
RA-3: оценка рисков
21 августа 2024 г.
ISO 27001/27017

Заявление о применимости
Сертификация (27001)
Сертификация (27017)
A.5. Политики информационной безопасности
A.18.1. Соответствие юридическим и договорным требованиям
A.18.2. Проверки информационной безопасности
Март 2024 г.
SOC 1; CA-03: управление рисками 1 августа 2024 г.
SOC 2; CA-02: обязанности группы по управлению, рискам и соответствию
CA-03: управление рисками
CA-11: обновления платформы политик
CA-17: политика безопасности Майкрософт
CA-24: внутренняя оценка рисков
CA-25: обновления платформы управления
23 января 2024 г.

Ресурсы