治理、风险和合规性概述
Microsoft 如何在整个企业中提供有效的安全治理?
Microsoft 了解,必须在整个企业中一致地实施有效的安全策略,以保护 Microsoft 信息系统和客户。 安全策略还必须考虑到业务功能和信息系统中的变化才能做到普遍适用。 为了满足这些要求,Microsoft 实施了一个全面的安全治理计划,作为 Microsoft 策略框架的一部分。 安全治理属于 Microsoft 安全策略 (MSP) 的一部分。
MSP 组织 Microsoft 的安全策略、标准和要求,以便可以在所有 Microsoft 工程组和业务部门中实现这些策略、标准和要求。 单个业务部门负责 Microsoft 安全策略的具体实现。 例如,Microsoft 365 在 Microsoft 365 信息安全策略和相关 Microsoft 365 控制框架中记录其安全实现。 Azure 和Dynamics 365标准操作过程 (SOP) 和 Azure 控制框架中记录其安全实现。 这些安全实现与 MSP 的目标一致。
Microsoft 的安全治理计划受各种法规和合规性框架的通知,并与这些框架保持一致。 安全要求在不断发展,以考虑新技术、法规和合规性要求以及安全威胁。 由于这些更改,Microsoft 会定期更新我们的安全策略和支持文档,以保护 Microsoft 系统和客户、履行承诺并维护客户信任。
Microsoft 联机服务如何实现 MICROSOFT 安全策略 (MSP) ?
Microsoft 365 在 Microsoft 365 信息安全策略中记录了安全实现。 此策略遵循 Microsoft 安全策略并治理 Microsoft 365 信息系统,包括收集、处理、维护、使用、共享、传播和处置数据过程中涉及的所有 Microsoft 365 环境和所有资源。 同样,Azure 和 Dynamics 365使用 Microsoft 安全策略来管理其信息系统。
信息系统包括受 Microsoft 365) 的 Microsoft 365 信息安全策略 (以及适用于 Azure 和 Dynamics 365) 的 Microsoft 安全策略 (管理的以下组件:
- 基础结构:Azure、Dynamics 365和 Microsoft 365 系统的物理和硬件组件 (设施、设备和网络)
- 软件:Azure、Dynamics 365和 Microsoft 365 系统的程序和操作软件 (系统、应用程序和实用程序)
- 人员:参与 Azure、Dynamics 365和 Microsoft 365 系统的操作和使用的人员 (开发人员、操作员、用户和经理)
- 过程:Azure、Dynamics 365和 Microsoft 365 系统操作所涉及的编程和手动过程
- 数据:Azure、Dynamics 365和 Microsoft 365 系统生成、收集和处理的信息 (事务流、文件、数据库和表)
Microsoft 365 信息安全策略由 Microsoft 365 控制框架补充。 Microsoft 365 控制框架详细介绍了所有 Microsoft 365 服务和信息系统组件的最低安全要求。 它还引用了每个控件背后的法律和公司要求。 该框架包含控制活动名称、说明以及指南,以确保服务团队高效实施控制。 Microsoft 365 使用控制框架跟踪内部和外部报告的控制实现。 同样,Azure 和 Dynamics 365 Azure 控制框架中的控制实现记录。
联机服务如何限制和跟踪已建立的策略和过程的异常?
控制框架的所有例外都必须具有合法的业务理由,并得到每个联机服务团队中相应的治理实体的批准。 根据异常的范围及其代表的潜在风险,可能需要获得公司副总裁或更高层对异常的批准。 异常在跟踪工具中管理,在跟踪工具中,它们将得到审查和批准,以便继续保持相关性。
Microsoft 如何评估和管理整个企业的风险?
风险管理是识别、评估和响应可能影响公司或客户目标的威胁或事件的过程。 Microsoft 风险管理旨在预测新威胁,并为云系统和客户提供持续的安全性。
Microsoft 的风险管理与企业风险管理 (ERM) 框架保持一致。 ERM 支持整个企业风险管理流程,并与整个企业中的管理人员合作,识别并确保对 Microsoft 最重大的风险负责。
Microsoft ERM 在整个企业中实现通用风险管理原则,因此业务部门可以独立促进一致和比较风险评估。 这种协调使 Microsoft 能够以统一的方式聚合和报告风险信息,以便进行管理。 ERM 为 Microsoft 的业务部门提供风险管理流程的常见方法、工具和目标。 Microsoft 365 和其他工程组和业务部门在 ERM 的指导下,使用这些工具执行个人风险评估,作为其自己的风险管理计划的一部分。
Microsoft 联机服务如何使用 ERM?
每个联机服务都遵循 ERM 指南来管理跨 Microsoft 服务的风险。 该计划侧重于使 ERM 框架与现有的 Microsoft 工程、服务运营和合规性流程保持一致,使风险管理计划更加有效和高效。 每个在线服务的风险管理活动最终汇总到 ERM 流程中,并告知 ERM 流程。
作为风险评估活动的一部分,每个联机服务都会分析作为 Microsoft 控件框架 (框架) 一部分实施的控件的设计和操作有效性。 框架是一组合理化的控制措施,在适当实施以及支持合规性活动时,使工程团队能够遵守关键法规和认证。
如何联机服务保持安全性和合规性要求更新?
每个联机服务的治理、风险和合规性团队 (GRC) 持续维护控制框架。 几种方案可能要求 GRC 团队更新控制框架,包括相关法规或法律的更改、新出现的威胁、渗透测试结果、安全事件、审核反馈和新合规性要求。 需要更改框架时,信任团队会确定负责批准和实施更改的关键利益干系人,以确保该更改是可行的,并且不会对联机服务造成意外问题。 GRC 团队和相关利益干系人就更改要求达成一致后,负责实施更改的工作负载将设置目标完成日期,并努力在其各自的服务中实施更改。 满足实现目标后,信任团队使用新的或更新的控件更新控制框架。
相关的外部法规 & 认证
定期审核 Microsoft 联机服务是否符合外部法规和认证。 有关与治理、风险和合规性相关的控制措施的验证,请参阅下表。
Azure 和 Dynamics 365
| 外部审核 | Section | 最新报告日期 |
|---|---|---|
| ISO 27001/27002 适用性声明 证书 |
A.5:信息安全策略 A.18.1:符合法律和合同要求 A.18.2:信息安全评审 |
2023 年 11 月 6 日 |
| ISO 27017 适用性声明 证书 |
A.5:信息安全策略 A.18.1:符合法律和合同要求 A.18.2:信息安全评审 |
2023 年 11 月 6 日 |
| ISO 27018 适用性声明 证书 |
A.5:信息安全策略 | 2023 年 11 月 6 日 |
| ISO 22301 证书 |
6.1.1:确定风险和机会 6.1.2:应对风险和机会 |
2023 年 4 月 24 日 |
| SOC 1 | IS-1:Microsoft 安全策略 IS-2:Microsoft 安全策略评审 IS-3:安全角色和职责 |
2023 年 11 月 17 日 |
| SOC 2 SOC 3 |
C5-1:标准操作过程 IS-1:Microsoft 安全策略 IS-2:Microsoft 安全策略评审 IS-3:安全角色和职责 SOC2-14:保密和保密协议 SOC2-18:法定、法规和合同要求 SOC2-19:跨职能合规性计划 SOC2-20:ISMS 计划 SOC2-26:年度风险评估 |
2023 年 11 月 17 日 |
Microsoft 365
| 外部审核 | Section | 最新报告日期 |
|---|---|---|
| FedRAMP (Office 365) | CA-2:安全评估 CA-5:行动计划和里程碑 PL-2:系统安全计划 RA-3:风险评估 |
2023 年 7 月 31 日 |
| ISO 27001/27002/27017 适用性声明 认证 (27001/27002) 认证 (27017) |
A.5:信息安全策略 A.18.1:符合法律和合同要求 A.18.2:信息安全评审 |
2024 年 3 月 |
| SOC 1 | CA-03:风险管理 | 2024 年 1 月 23 日 |
| SOC 2 | CA-02:治理、风险和合规性团队职责 CA-03:风险管理 CA-11:策略框架更新 CA-17:Microsoft 安全策略 CA-24:内部风险评估 CA-25:控制框架更新 |
2024 年 1 月 23 日 |
资源
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈