合規性管理員範本清單

在本文中: 檢視可在合規性管理員中建立評量的 完整範本 清單。

重要事項

貴組織預設包含的評定範本取決於您的授權合約。 檢閱授權詳細資料

提示

如果您不是 E5 客戶,您可以免費試用 Microsoft Purview 中的所有進階功能。 使用 90 天的 Purview 解決方案試用版,探索健全的 Purview 功能如何協助貴組織管理資料安全性與合規性需求。 立即從Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細資料

概觀

Microsoft Purview 合規性管理員提供一組完整的範本來建立評量。 這些範本可協助貴組織遵守有關資料收集和使用的國家、地區和產業專屬需求。

隨著新法律和法規的制定,範本會新增至合規性管理員。 合規性管理員也會在基礎法律或法規變更時更新其範本。 深入瞭解如何 檢閱和接受更新

範本清單,以及要在何處找到範本

以下是合規性管理員中的範本完整清單。 範本名稱符合相關聯的法規或認證。 在 [評定範本] 索引標籤的 [合規性管理員] 中尋找所有 範本 。選取範本名稱以檢視範本的描述、屬性、控制項和相關聯的改進動作。

除了Microsoft Data Protection 基準預設範本) 之外,每個範本 (都適用于至少一個專為特定產品而設計的版本,例如 Microsoft 365,以及可用來評估您選擇之其他產品的通用版本。 對應至具有多個層級或版本之法規的範本會被視為單一範本。

跳至下方的區段,依區域或產業檢視範本:

包含的範本

某些評定範本預設會包含在合規性管理員中,視訂用帳戶層級而定:

  • 所有訂用帳戶層級的客戶Microsoft資料保護基準範本會包含在所有組織作為其訂用帳戶的一部分。
  • A5/E5/G5 訂用帳戶層級的客戶:除了Microsoft資料保護基準之外,您還可以選擇任何三個免費使用的進階範本。
  • 美國政府社群 (GCC) Moderate、GCC High 和美國國防部 (DoD) 客戶:除了 Microsoft Data Protection 基準範本之外,還包含 (CMMC) 範本層級 1 到 5 的網路安全性成熟度模型認證。

預覽範本

以下所列的範本可在預覽版中取得。 從這些範本建立評定不會計入您使用的授權範本總數。

  • 適用于 Azure (Preview) 的 ISO 27001:2013
  • 適用于 Dynamics 365 的 ISO 27001:2013 (Preview)
  • 適用于 Dynamics 365 (Preview) 的 FedRAMP Moderate
  • 適用于 Azure (Preview) 的 FedRAMP Moderate
  • 適用于 Azure (預覽版的 FedRAMP High)
  • 適用于 Dynamics 365 的 FedRAMP High (Preview)
  • 適用于 Azure (Preview) 的 SOC 2
  • 適用于 Dynamics 365 (Preview) 的 SOC 2
  • 適用于 Azure (Preview) 的 ISO 27018:2019
  • 適用于 Dynamics 365 的 ISO 27018:2019 (Preview)

進階範本

您組織可能會購買下列範本。 某些授權合約允許免費使用三個進階範本。 檢閱 授權詳細資料

全域

  • ICA 模組 2 (電子記錄管理系統的指導方針和功能需求)
  • ISO 15489-1:2016
  • ISO 16175-1:2020
  • ISO 19791 - 資訊技術 — 安全性技術 — 作業系統的安全性評估
  • ISO 22301:2019
  • ISO 23081-1:2017
  • ISO 27005:2018
  • ISO 27017:2015
  • ISO 27034-1 資訊技術 — 安全性技術 — 應用程式安全性
  • ISO 27799: 2016, Health informatics — 健康狀態中的資訊安全性管理
  • ISO 28000 – 供應鏈的安全性管理系統規格
  • ISO 31000:2018
  • ISO 37301
  • ISO 55001 – 資產管理 -- 管理系統-- 需求
  • ISO IEC 80001-1:2010
  • ISO/IEC 27001:2013
  • ISO/IEC 27018:2019
  • ISO/IEC 27033-1:2015
  • ISO/IEC 27701:2019
  • NIST 800-207 - 零信任架構
  • SIG 2022
  • (SOC) 1 的系統和組織控制
  • SOC) 2 (系統和組織控制

產業

美國政府

  • 附錄 III 至 OMB 迴圈否。 A-130 - 聯邦自動化資訊資源的安全性
  • CFR - 美國聯邦法規第 21 章,第 11 部分,電子記錄,電子簽名
  • 子系線上隱私權保護規則 (COPPA)
  • CMMC 層級 1、層級 2、層級 3、層級 4、層級 5
  • CMMC v2 層級 1
  • CMMC v2 層級 2
  • IS2P2 (CMS 資訊系統安全性和隱私權原則)
  • CFAA (電腦詐騙和濫用)
  • 在醫療裝置中管理網路安全性之上市前提交的內容
  • 犯罪犯罪資訊服務 (CJIS) 安全性原則
  • 網路醫療裝置的網路安全性,其中包含現成 (OTS) 軟體 - NAT
  • CMMC) 層級 1 到 5 (網路安全性成熟度模型認證
  • DFARS
  • e-CFR - 身分識別竊取規則
  • 美國聯邦法規電子代碼 - 第 748.0 部分和附錄 A
  • FDIC 隱私權規則
  • 美國聯邦金融機構檢查委員會 (FFIEC) 資訊安全手冊
  • FedRAMP Moderate
  • FedRAMP SSP 高基準
  • 資訊自由法 (FOIA)
  • 消費者財務資訊的 FTC 隱私權
  • Gramm-Leach-Bliley Act, Title V, Subtitle A, 財務隱私權
  • HIPAA/HITECH
  • HITRUST
  • 網路安全性指令 7:重要基礎結構識別、優先順序和保護
  • IRS - 營收程式 98-25 自動記錄
  • IRS-P1075
  • MARS-E) 2.0 (交換的最低可接受風險標準
  • 國家封存通用電子記錄管理 (ERM) 需求
  • NIST 800-37
  • NIST 800-53 rev.5
  • NIST 800-63 數位身分識別指導方針
  • NIST 800-78-4:個人身分識別驗證的密碼編譯演算法和金鑰大小
  • NIST 800-137A -- 評估資訊安全性持續監視 (ISCM) 程式
  • NIST 800-171
  • NIST 800-184:網路安全性事件復原指南
  • NIST CSF
  • NIST 隱私權架構
  • NIST SP 1800-5 IT 資產管理
  • NIST 特殊出版物 1800-1 保護行動裝置上的電子健康情況記錄
  • NIST 特殊發行集 800-128
  • NIST 特殊發行集 800-210:雲端系統的一般存取控制指引
  • Sarbanes-Oxley Act
  • SEC 17-4 ()
  • 美國隱私美國法案
  • 美國 - 厘清雲端) 法案 (資料的合法使用
  • 美國 - 公用公司網路安全性揭露的委員會聲明和指引
  • 美國 - 能源部門 (DOE) 外部不可部分完成能源活動的協助
  • 美國 - 家庭教育權利與隱私權法案 (FERPA)
  • 美國 - 2014 年美國聯邦資訊安全現代化法案 (FISMA)
  • 美國 - 保護及保護化學設施免于遭受網路攻擊

美國州和地區

  • 亞拉亞 - 原則 621:資料外泄通知 - DRAFT
  • 稍後 - 第 48 章 - 個人資訊保護法
  • 亞利桑那州 - 安全性系統中的缺口通知
  • 區代碼標題 4、副標題 7、第 110 章、個人資訊保護法
  • 加州 - 公民法第 1798 節
  • 加州 - 加州 SB 1386 (資料庫外泄法案)
  • 加州 - 教育代碼-EDC,第 3 章,部門 14,第 65 部分,第 2.5 章- 社交媒體隱私權
  • 加州 - 隱私權法案 (CPRA)
  • 加州 - SB-327 資訊隱私權:連線的裝置
  • 加州消費者信用報告機構法案
  • (CPA) 隱私權法案
  • 加州消費者隱私法 (CCPA)
  • 消費者資料隱私權的保護
  • 第 6-1-716 節、安全性缺口注意事項修訂了法文
  • 馬來文 - 顯示及使用社會安全號碼和個人資訊
  • 一般條款 - 一般布建,適用于接收機密資訊的州承包商
  • 保護個人資訊的網路安全性計畫
  • 州法律 - 安全性缺口重新電腦化包含個人資訊的資料
  • D.C. 法律 16-237 - 消費者個人資訊安全性漏洞通知法
  • Delaware - 學生資料隱私權保護法案
  • Delaware 電腦安全性性缺口 - 商務與交易副標題 II - 12B-100 到 12B-104
  • 格列斯標題 XXXII,第 501 章,第 501.171 節,機密個人資訊的安全性
  • 喬治亞 (美國) 個人身分識別保護法案
  • 關島的個人資訊外泄通知
  • 波士尼亞 - 個人資訊安全缺口第 487N 章
  • Idaho Identity Theft
  • (740 ILCS 14/1) 生物特徵辨識資訊隱私法
  • 馬來文個人資訊保護法案
  • 公開安全性缺口
  • 愛荷華州 - 學生個人資訊保護法案
  • 愛荷華州程式碼。 標題 XVI。 第 715C 章。 個人資訊安全性缺口保護
  • 英國消費者資訊、安全性缺口事件
  • 外泄資料外泄通知
  • 382) 第 382 號法案 (資料庫安全性缺口通知法
  • Maine - 保護線上取用者資訊隱私權的動作
  • Maine - 個人資料風險注意事項
  • 政府機關的程式碼 - 政府機關的資訊保護
  • 個人資訊保護法案 - 安全性缺口通知需求,HB 1154
  • 他的學生資料隱私權法案
  • 馬塞省 - 201 CMR 17.00:保護居民個人資訊的標準
  • 地州資料外泄通知法 93H 第 1-6 節
  • 身分識別竊取保護法案
  • 安全性缺口通知
  • 繼承 - 身分識別遭竊的阻礙
  • Nebraska 的資料保護和資料安全性缺口法案的取用者通知
  • 第 603A 章 - 個人資訊的安全性和隱私權
  • 第 220 版線上隱私權法法案
  • 新版的隱私權法案
  • 新西西島安全性缺口洩漏
  • 新墨西哥第 57 章 - 隱私權保護 (文章 57-12B-1 到 4)
  • 新的墨西哥消費者資訊隱私權法案
  • 新墨西哥的資料外泄通知法案
  • 紐約 - 23 NYCRR 第 500 部分
  • 紐約市管理碼 - 安全性缺口通知
  • 紐約一般商務法 - 資料安全性缺口通知和資料安全性保護
  • 紐約隱私法
  • 北德州 - 身分識別竊取保護法案
  • 北大公國第 51-30 章個人資訊的安全性缺口注意事項
  • 英國 - 安全性缺口通知
  • 2018 年18 月政府資料保護法案
  • 外泄安全性缺口通知法案
  • 資訊保護 Act 的馬勒達消費者身分識別竊取
  • 違反個人資訊通知法案
  • 波多黎各 - 關於資料銀行安全法案的公民資訊
  • 羅德島 - 身分識別竊取保護法案
  • 南德州 - 外泄通知
  • 南索引 - 外泄通知
  • 和個人取用者資訊 47-18-2107 版
  • 德州 - 身分識別竊取強制和保護法案
  • 保護社會安全號碼的德州隱私權原則
  • 消費者信用保護法案
  • 電子資訊或資料隱私權
  • 馬來登 - 對資料隱私權和消費者保護採取行動
  • 維吉尼亞州違反個人資訊法案
  • 維吉尼亞州消費者資料隱私 (CDPA)
  • 華盛頓特區 - 消費者安全性缺口通知標準
  • 西維吉尼亞州 - 違反消費者資訊的安全性
  • 安全性缺口通知

地區

Asia-Pacific國家/地區

  • 亞太地區經濟 () 隱私權架構
  • 澳洲 - ASD Essential 8
  • 澳洲 - ASD Essential 8 Maturity Level 1
  • 澳洲 - ASD Essential 8 Maturity Level 2
  • 澳洲 - ASD Essential 8 Maturity Level 3
  • 澳大利亞 - 國家封存法
  • 澳洲 - 公用記錄 Office 記錄保存標準
  • 澳洲 - 垃圾郵件法 2003
  • 澳洲隱私權 (信用報告) 碼
  • 澳洲隱私權法案
  • 澳大利亞公用記錄法
  • 澳大利亞能源部門網路安全性架構 (AESCSF)
  • 澳大利亞資訊安全性註冊評估人員計畫 (ISM 3.5 版的 IRAP) - 官方
  • ISM 3.5 版的澳大利亞資訊安全性註冊評估人員計畫 (IRAP) - 受保護
  • 澳大利亞審慎法規授權單位 CPS
  • 保護資料安全標準 V2.0 (VPDSS 2.0)
  • 澳大利亞政府資訊管理標準 - 澳大利亞國家檔案 (NAA)
  • 中國 - 個人資訊安全規格
  • 網路安全性中華人民共和國法
  • 香港 - 銀行實務和付款卡的程式碼
  • 香港 - 個人資料 (隱私權) 身分
  • 印度資訊技術 (合理的安全性做法和程式,以及敏感性個人資料或資訊) 規則
  • 印度 - 資訊技術法案
  • 保留印度銀行網路安全性架構
  • 印尼 - 2008 年 11 月 11 日法律
  • 日本 - 禁止未經授權的電腦存取
  • 日本 - 政府機構和相關機構的資訊安全措施通用模型
  • 日本 - 政府機關和相關機構資訊安全措施的一般標準
  • 日本隱私權標記 - JIS Q 15001:2017
  • 2003 年第 57 號日文保護個人資訊 (法)
  • 韓國 - 信用資訊使用與保護法案
  • 韓國 - 促進資訊和通訊網路使用率和資料保護的法案
  • 韓國個人資訊保護法
  • 馬來西亞 - PDPA (的個人資料保護法案)
  • 馬來西亞技術風險管理 (RMiT)
  • 緬甸 - 保護公民隱私權和安全的法律
  • 尼泊爾 - 資訊權法案
  • 紐西蘭 - 隱私權法案 / 2020
  • 紐西蘭 - 公用記錄法案
  • 紐西蘭 - 保留銀行 BS11 外包原則
  • 紐西蘭 - 電信資訊隱私權代碼
  • 紐西蘭健全狀況資料保留原則
  • 紐西蘭健康情況資訊隱私代碼
  • 紐西蘭健康情況資訊安全性架構 (HISF)
  • 紐西蘭資訊安全手冊 (NZISM)
  • 巴基斯坦 - 電子資料保護法 - DRAFT
  • 菲律賓 BSP 資訊安全性管理指導方針
  • 2012 年菲律賓資料隱私權法案
  • 新加坡 - 針對外包服務提供者控制目標和程式的 ABS 指導方針
  • 新加坡 - 銀行法 (Cap.19)
  • 新加坡 - 網路安全性 2018
  • 新加坡 - IMDA IoT 網路安全性指南
  • 新加坡 - 新加坡金融管理局技術風險管理架構
  • 新加坡 - 多層式雲端安全性 (MTCS) Standard
  • 新加坡 - 個人資料保護法案 / 2012
  • 新加坡垃圾郵件控制法案
  • 臺灣 - 電子付款機構內部稽核和內部控制系統的實作規則 - 2015
  • 臺灣 - 金融持有公司和銀行內部稽核和內部控制系統的實作規則
  • 臺灣 - 管理金融資訊服務企業核准和管理的法規參與銀行間資金轉移和結算
  • 臺灣 - 管理電子付款機構資訊系統和安全性管理標準的法規
  • 臺灣 – 營業秘密法案
  • 臺灣個人資料保護法 (PDPA)
  • 泰國 PDPA
  • 臺灣 – 營業秘密法案
  • 烏茲別克 - 關於個人資料的共和國法律
  • 越南 - 消費者權利保護法
  • 越南 - 網路安全性法律
  • 越南 - 網路安全性法律
  • 越南 - 資訊技術法

歐洲、中東和非洲 (EMEA)

  • 阿爾巴尼亞 - 保護個人資料法 9887
  • 2003 年電信法
  • 亞美尼亞 - 亞美尼亞共和國關於保護個人資料的法律
  • 關於資訊、資訊和資訊保護的白俄羅斯法律
  • 比利時 - 針對處理個人資料的自然人採取行動
  • 比利時 NBB 2015 年 12 月
  • 波士尼亞-赫塞哥維納關於保護個人資料的法律
  • Botswana - 資料保護法案
  • 保護個人資料的保加利亞法律 2002
  • 中非中央銀行網路安全性架構
  • 處理個人資料法
  • 捷克文 - 2019 年 11 月 110 日共同處理個人資料 - 2019 年
  • 捷克文 - 網路安全性與相關行為變更 (網路安全) 採取行動 - 第 181 號法案
  • 丹麥 - 資料保護法案
  • 丹麥 - 在終端機設備中儲存和存取訊號時所需的資訊和同意End-User
  • 歐洲委員會和歐盟的指示詞 2013/40/EU
  • 杜拜 - 健康情況資料保護規定
  • 電信法規頒發機構 (許可證)
  • 杜拜 ISR
  • 埃及 - 資料保護法
  • 愛沙尼亞 - 個人資料保護法
  • 愛沙尼亞 - 資訊系統的安全性措施系統
  • 歐盟 - 指示詞 2006/24/EC
  • EU - ePrivacy 指示詞 2002 58 EC
  • EudraLex - 歐盟治理英國產品的規則
  • 歐洲網路與資訊安全機構 (ENISA) - 雲端運算資訊保證架構
  • 芬蘭 - 資料保護法
  • 芬蘭文資訊安全性評估準則雲端服務
  • 法國 - 資料保護法案
  • 喬治亞個人資料保護法
  • 德國 - 風險管理的最低需求註解文字
  • 德國 - 雲端運算合規性控制目錄 (C5)
  • 德國 - 聯邦資料保護法
  • 德國 - 金融機構中 IT 的監管需求 (BAIT)
  • 拉納 - 資料保護法案
  • 愛爾蘭資料保護法案
  • 以色列 - 隱私權保護 (將資料傳輸至資料庫) 法規
  • 以色列隱私權法
  • Jordan 雲端平臺 & 服務原則
  • 亞馬利亞資料保護法
  • 盧森堡法案
  • 斯洛伐克 - 資料保護法案
  • Mauritius Data Protection Act 2004
  • 關於個人資料保護的共和國法律
  • 蒙特內哥羅 - 個人資料保護法
  • 奈及利亞資料保護規定
  • Oman - 電子交易法
  • 卡達雲端安全性原則
  • 卡達尼亞國家資訊保證 (NIA)
  • 羅馬尼亞 - 資料保護法 190/2018
  • 俄羅斯 - 美國聯邦法律 149-FZ 資訊、資訊技術和資訊安全
  • 關於個人資料的俄聯邦法律
  • 南非消費者保護法案 68 2008
  • 南非電子通訊與交易法,2002 年
  • 南非 - 提升資訊存取權法案
  • 南非 POPIA
  • 保護個人資料的斯洛伐克法案
  • 西班牙 - 國家安全性架構
  • 瑞士 - 聯邦資料保護法案 (FAP)
  • 土耳其 - KVKK 個人資料保護 6698
  • 阿拉伯聯合大公國 - 聯邦法律中有關網路犯罪的相關法律
  • 阿拉伯聯合大公國 - 關於電子交易和商業的聯邦法律
  • 阿拉伯聯合大公國 - 2019 年美國聯邦法律第 2 號關於在健全狀況欄位中使用資訊與通訊技術 (ICT)
  • 阿拉伯聯合大公國 - NESA 資訊保證標準
  • 阿拉伯聯合大公國資料隱私權法
  • 阿拉伯聯合大公國法規原則 TRA - 物聯網
  • 阿拉伯聯合大公國聯邦法律規範電信業
  • 並將資料保護與隱私權法案
  • 英國 - 適用于供應商供應商標準 05-138 的網路安全性
  • 英國 - 2011 年英國境內活動的法規
  • UK Cyber Essentials
  • 英國資料保護法案
  • 英國資料保留法案
  • 英國隱私權與電子通訊
  • 烏克蘭 - 個人資料保護法
  • 馬來亞 - 資訊系統的存取權法律

拉丁美洲

  • 安地卡和巴布達 - 資料保護法/2013
  • 巴哈馬 - 資料保護法案
  • 巴貝多 - 資料保護帳單 2019
  • 巴貝多 - 電子交易法
  • 百馬達 - 電子交易法案
  • 聖 Lucia 資料保護法
  • 2011 年 13 月 13 日 Trinidad 和 Tobago Data Protection ()

北美

  • 加拿大 - 違反安全性保護法規
  • 加拿大 - 英國加拿大 - 資訊隱私 & 權安全性 - FOIPPA
  • 加拿大 - 金融機構網路安全性Self-Assessment指南辦公室
  • 加拿大 - 個人健康情況資訊保護 2020 年 (PHIPA) 法案
  • 加拿大 - 個人資訊保護和電子檔法 (PIPEDA)
  • 加拿大 - 受保護的 B
  • 加拿大網路安全性 - 中小型組織的基準網路安全性控制
  • CAN-SPAM Act
  • 資訊安全管理法 - 英國哥倫比亞省,CA
  • 墨西哥 - 聯邦消費者保護法
  • 墨西哥 - 保護私人持有的個人資料的聯邦法律

南美洲

  • 阿根廷 - 個人資料保護法 25.326
  • 巴西 - 消費者保護法 8078 (Office 365)
  • 巴西 - 一般資料保護法 (LGPD)
  • 哥倫比亞 - 第 1377/2013 號
  • 哥倫比亞 - 2018 年外部迴圈信件 007
  • 哥倫比亞 - 法律 1266/2008- Habeas Data Act
  • 法律法律 29733 資料隱私權保護法