Стандарты управления информационной безопасностью ISO/IEC 27001:2013

Обзор ISO/IEC 27001

Международная организация по стандартизации (ISO) — это независимая неправительственная организация и крупнейший в мире разработчик рекомендательных международных стандартов. Международная электротехническая комиссия (МЭК) является ведущей мировой организацией по подготовке и публикации международных стандартов для электрических, электронных и смежных технологий.

Семейство стандартов ISO/IEC 27000, опубликованное в рамках объединенного подкомитета ISO/IEC, описывает сотни элементов управления и механизмов контроля, чтобы помочь организациям любых типов и размеров в вопросах обеспечения безопасности информационных активов. Эти глобальные стандарты обеспечивают платформу для политик и процедур, которые включают в себя все юридические, физические и технические аспекты контроля, участвующие в процессах управления информационными рисками для организации.

ISO/IEC 27001 — это стандарт безопасности, который официально определяет систему управления информационной безопасностью (СУИБ), предназначенную для обеспечения информационной безопасности под явным контролем управления. В качестве официальной спецификации он устанавливает требования, которые определяют порядок внедрения, контроля, поддержания и непрерывного улучшения СУИБ. Кроме того, он предписывает набор советов и рекомендаций, которые включают требования к документации, зоны разделения ответственности, доступность, контроль доступа, безопасность, аудит, а также корректирующие и профилактические меры. Сертификация по ISO/IEC 27001 помогает организациям соблюдать множество нормативных и законодательных требований, связанных с безопасностью информации.

Microsoft и ISO/IEC 27001

Международное признание и применимость ISO / IEC 27001 является основной причиной, по которой сертификация по этому стандарту выдвинута на передний план подхода корпорации Майкрософт к внедрению и управлению информационной безопасностью. Получение корпорацией Майкрософт сертификата ISO / IEC 27001 указывает на ее приверженность выполнению обещаний клиентам с точки зрения корпоративного соответствия требованиям безопасности. В настоящее время как Azure общедоступный, так и Azure для Германии проходят проверку один раз в год на соответствие стандарту ISO / IEC 27001 сторонним уполномоченным органом по сертификации, обеспечивая независимую проверку наличия средств управления безопасностью и их эффективной работы.

Узнайте о преимуществах ISO/IEC 27001 в облачной службе Microsoft: Загрузите ISO/IEC 27001: 2013

Службы облачных & платформ Майкрософт в области действия

  • Azure, Azure для государственных организаций и Azure — Германия
  • Azure DevOps Services
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender для конечной точки
  • Dynamics 365, Dynamics 365 для государственных учреждений и Dynamics 365 — Германия
  • Microsoft Graph
  • Microsoft Healthcare Bot
  • Intune
  • Компьютеры, управляемые Майкрософт
  • Облачная служба Power Automate (ранее Microsoft Flow) в виде автономной службы или в составе плана либо набора Office 365 или Dynamics 365
  • Office 365, Office 365 для государственных организаций США и Office 365 U.S. Government Defense
  • Office 365 Germany
  • OMS Service Map
  • Облачная служба PowerApps в виде автономной службы или в составе плана либо набора Office 365 или Dynamics 365
  • Облачная служба Power BI в виде автономной службы или в составе плана либо набора Office 365
  • Power BI Embedded
  • Power Virtual Agents
  • Профессиональные услуги Майкрософт
  • Microsoft Stream
  • Microsoft Threat эксперт
  • Microsoft Translator
  • Windows 365

Azure, Dynamics 365 и ISO 27001

Дополнительные сведения о соответствии требованиям Azure, Dynamics 365 и другим веб-службам см. в разделе Предложение Azure ISO 27001:2013.

Office 365 и ISO 27001

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе описываются следующие Office 365 среды:

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость Затрагиваемые службы
Коммерческий сектор Access Online, Azure Active Directory, Служба коммуникации Azure, диспетчер соответствия требованиям, защищенное хранилище клиентов, Delve, Exchange Online, Exchange Online Protection, Forms, Forms, Identity Manager, Lockbox (Torus), Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance надстройки, портал Office 365, микрослужбы Office 365 (включая Kaizala, ObjectStore, Sway, Power Automate, Службу документов PowerPoint Online, службу заметок к запросам, school Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Office 365 безопасности & Центр соответствия требованиям, Office Online, Office Pro Plus, инфраструктура служб Office, OneDrive для бизнеса, Планировщик, PowerApps, Power BI, Project Online, шифрование служб с помощью ключа клиента Microsoft Purview, SharePoint Online, Skype для бизнеса, Stream
GCC Azure Active Directory, Служба коммуникации Azure, диспетчер соответствия требованиям, Delve, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics, надстройка Office 365 Advanced Compliance, Office 365 Центр & соответствия требованиям безопасности, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса, Stream
GCC High Azure Active Directory, Служба коммуникации Azure, Exchange Online, forms, Microsoft Defender для Office 365, Microsoft Teams, надстройка Office 365 Advanced Compliance, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive для бизнеса, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса
DoD Azure Active Directory, Служба коммуникации Azure, Exchange Online, forms, Microsoft Defender для Office 365, Microsoft Teams, надстройка Office 365 Advanced Compliance, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive для бизнеса, Planner, Power BI, SharePoint Online, Skype для бизнеса

Аудит, отчеты и сертификаты Office 365

Облачные службы Office 365 подлежат аудиту не менее одного раза в год по стандарту ISO 27001:2013.

Оценки и отчеты Office 365

Вопросы и ответы

Почему важно соответствие Office 365 требованиям ISO/IEC 27001?

Соответствие этим стандартам, подтвержденное аккредитованным аудитором, показывает, что корпорация Майкрософт использует международно признанные процессы и передовые практики для управления инфраструктурой и организацией, которые поддерживают и предоставляют свои услуги. Сертификат подтверждает, что корпорация Майкрософт применила рекомендации и общие принципы для инициирования, внедрения, поддержки и улучшения подхода к управлению информационной безопасностью.

Где можно получить отчеты аудита по ISO 27001 и SCOPE для служб Office 365?

На портале Service Trust Portal представлены отчеты независимых аудитов соответствия требованиям. Вы можете воспользоваться порталом для запроса отчетов, что позволит вашим аудиторам сравнить результаты для облачных служб Майкрософт с вашими юридическими и нормативными требованиями.

Проводятся ли ежегодные тесты на предмет сбоев инфраструктуры Office 365?

Да. Ежегодный процесс сертификации ISO / IEC 27001 для группы облачной инфраструктуры и операций Майкрософт включает в себя аудит операционной устойчивости. Для просмотра последнего сертификата щелкните ссылку под ним.

С чего мне начать свои действия по обеспечению соответствия стандарту ISO/IEC 27001 для моей организации?

Внедрение ISO/IEC 27001 является стратегическим обязательством. В качестве отправной точки обращайтесь к каталогу ISO/IEC 27000.

Можно ли использовать соответствие стандарту ISO/IEC 27001 для служб Office 365 в сертификации моей организации?

Да. Если вашей организации требуется сертификат ISO/IEC 27001 для реализаций, развернутых в службах Майкрософт, то можно использовать применимые сертификаты в процессе оценки соответствия требованиям. Однако вы несете ответственность за привлечение аудитора для оценки средств и процессов управления в рамках вашей организации, а также за соответствие вашей реализации требованиям стандарта ISO/IEC 27001.

Использование диспетчера соответствия требованиям Microsoft Purview для оценки рисков

Диспетчер соответствия требованиям Microsoft Purview — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия вашей организации и принимать меры для снижения рисков. В диспетчере соответствия требованиям есть встроенная оценка регламента для клиентов, использующих Корпоративный E5. Найдите шаблон для создания оценки на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.

Ресурсы