数据中心资产管理

Microsoft 数据中心由各种物理和虚拟组件组成，每个组件都称为资产。 Microsoft 云运营和创新 (CO+I) 工程组遵循用于部署、跟踪和解除物理资产和虚拟资产的安全标准化流程。

供应链完整性

保护资产首先保护供应链。 Microsoft 致力于实现供应链完整性和端到端供应链安全性。 供应商在传输云组件时遵循严格的监管链程序，以降低更改和篡改的风险。 所有入站和出站库存都会经过仔细检查和监视，以确保固件和组件的完整性。

通常会计划向 Microsoft 数据中心传递信息系统组件。 对于计划不安排的交付，Microsoft 会彻底检查并确保在物理进入之前批准它们进入 Microsoft 计算机室。 当信息系统组件进入大楼时，资产管理团队会将收到的项与引用的票证进行比较，并将设备扫描到资产管理工具中。 收到或寄送的所有信息系统组件都通过工作流票证工具和资产管理工具中的发货日志进行跟踪。 除了紧急呼叫和记笔记) 外，游客不得使用个人笔记本电脑和手机 (，尽管他们被允许在生产环境中 (共置) 。 每个数据中心策略都禁止将手机插入设备或拍照。 如果进入数据中心的设备用于维护目的，则设备需要数据中心访问工具系统中的数据中心管理批准。

资产库存

Microsoft 要求所有数据中心资产都要有人负责并具有指定的所有者。 所有者负责维护其物理和虚拟资产的最新资产信息。 将新的物理资产添加到数据中心时，将对其进行签名、扫描、添加唯一标记并签入到库存控制系统。 自动化监视工具可帮助跟踪物理资产和虚拟资产。

资产维护

Microsoft 有两个团队提供不同类型的资产维护：关键环境 (CE) 和站点服务团队。 CE 团队为电气、机械和物理系统提供设施管理，这些系统由设施的运营基础结构组成。 它们还计划、执行、记录和查看对 CE 组件执行的所有维护活动。 Microsoft 数据中心依赖于计算机化维护管理系统来管理维护计划和工作订单。 Site Services 团队为位于 Microsoft 数据中心的所有 Microsoft 联机服务资产提供服务。 此外，Site Services 团队还为数据中心属性预配服务的资产提供现场技术支持和中断修复服务。

资产分类

Microsoft 资产（包括数据）按照企业数据分类准则进行分类。 这些指南促进整个企业的标准化，并每年进行审查和更新。 资产分类和资产保护标准概述了员工在与每个资产交互时必须遵循的安全过程。 请注意，客户被视为其存储在 Microsoft 云环境中的数据的所有者。 分类为客户内容或客户数据的数据资产受适用的安全程序保护。

Microsoft 认为所有文档都归类为系统资产。 Site Services 团队负责对其资产进行分类，并根据资产分类和资产保护标准以及服务团队定义的任何其他要求使用关联的保障措施。

资产所有者必须无一例外地为其资产分配资产分类。 在 Microsoft 数据中心环境中，资产是指服务器和网络设备。 其他数字媒体（如 USB 闪存驱动器、外部硬盘驱动器或 CD/DVD）不用于服务操作。 数据中心不使用非数字媒体。

媒体存储

Microsoft 数字媒体资产以物理方式安全地存储在 Microsoft 数据中心共置室中。 已建立多层物理访问控制和视频监视来保护和监视这些资产。 当数字媒体资产达到生命周期的末尾时，使用与 NIST SP 800-88 一致的方法在处置前清除、清除或销毁它们。 数据承载设备销毁一文介绍了安全处置资产的过程。

媒体传输

Microsoft 通过监管保护链将资产传输活动限制为授权人员。 使用锁、防篡改封和资产清单的必需验证可确保只有授权人员参与资产传输。

从 Microsoft 数据中心传输的所有媒体都需要准确的跟踪。 Microsoft 已与多个经批准的供应商签约，以提供安全的发货服务。 安全传输从准确的清单和监管链开始。 在交付地点，运输公司的核准人员必须看到拆除防篡改封和解锁容器。 接收人员清点货物，并发送确认收到资产的消息。 Microsoft 还与供应商签订合同，提供设备销毁。 根据资产分类，需要现场销毁一些设备。

Microsoft 数字媒体在安全控制空间之外的传输需要两名数据中心运营团队成员的监督。 这些资产持续由授权人员陪同和监督，直到这些资产被销毁。

数据中心管理团队通过票证工具中跟踪的票证控制信息系统组件的传递和删除。 传递和删除信息系统组件由系统所有者授权。

资产保留

根据公司记录管理、资产分类或合同要求设置的保留要求，Microsoft 拥有的资产会根据相应方式保留。 有关数据保留的详细信息，请参阅 Microsoft 365 中的数据保留、删除和销毁。