供应商管理概述
Microsoft 如何管理与供应商相关的风险?
Microsoft 与第三方公司合作,帮助满足客户的需求。 这些第三方公司称为供应商。 Microsoft 的供应商安全和隐私受我们的供应商安全和隐私保障 (SSPA) 计划的约束,该计划是针对与 Microsoft 合作交付联机服务的所有供应商的一组企业范围要求。 虽然 SSPA 计划为我们的供应商基础提供全面的治理和管理,但各个业务部门可能会对其供应商保持额外的要求。
Microsoft 的供应商安全和隐私保障 (SSPA) 计划如何保护客户数据?
SSPA 是 Microsoft 采购、公司外部和法律事务以及公司安全之间的合作关系,旨在确保供应商遵守 Microsoft 的隐私和安全原则。 SSPA 的范围涵盖处理个人数据或 Microsoft 机密数据的所有供应商。 SSPA 计划注册包括遵守 Microsoft 的数据保护要求 (DPR) 。 DPR 包含供应商在开始与 Microsoft 签订合同之前必须实施的安全和隐私控制措施。 所有注册的供应商每年都会自我证明符合 DPR。
DPR 要求的范围基于供应商在 SSPA 中注册过程中可以批准的六个不同的数据处理类别。 这些类别用于识别与供应商向 Microsoft 提供的服务相关的风险。 供应商的数据处理配置文件确定哪些 DPR 控制措施被视为在范围内,以提供适当的数据保护。 处理被视为较高风险的数据的供应商必须符合所有 DPR 要求,并且可能还需要提供独立的合规性验证。 在允许该供应商采购之前,Microsoft 采购工具会验证所有供应商的 SSPA 状态,包括对 DPR 适用部分的合规性。
哪些类型的子处理器为 Microsoft 提供服务?
“子处理者”是 Microsoft 参与的第三方,其职责包括处理 Microsoft 作为处理者的 Microsoft 个人数据。 Microsoft 的子处理器分为三类。 在代表 Microsoft 处理客户数据之前,每个用户都必须证明对 SSPA 的合规性。
- 技术子处理器为与 Microsoft 无缝集成的技术提供支持联机服务部分支持 Microsoft 云功能。 如果客户部署了其中一项服务,则为该服务标识的子处理者可能会处理、存储或以其他方式访问客户数据或个人数据,同时帮助提供服务。
- 辅助子处理器,提供服务以帮助支持、操作和维护联机服务。 在这种情况下,标识的子处理者可能会在提供其辅助服务时处理、存储或以其他方式访问客户数据和个人数据 (包括假名个人标识符) 。
- 合同员工组织 为与 Microsoft 全职员工并肩工作的合同员工提供运营、交付和维护 Microsoft Online Services。 在所有此类情况下,客户数据或个人数据仅驻留在 Microsoft 系统上,并受 Microsoft 策略和监督的约束。
此外, Microsoft 数据中心基础结构实体 提供运行 Microsoft Online Services 的数据中心基础结构。 数据中心内的数据已加密,数据中心内没有任何人员可以访问这些数据。
技术和辅助第三方必须按照 Microsoft 的数据保护要求 (DPR) 实施访问控制。 这些要求满足或超过 Microsoft 在 产品条款中对其客户做出的合同承诺。 执行合同员工工作的供应商受到与 Microsoft 全职员工相同的访问控制。
Microsoft 如何加入供应商?
作为加入过程的一部分,第三方供应商必须签署 Microsoft 主协议。 本协议管理 Microsoft 与其供应商之间的关系,并确保对供应商关系的一致管理。 作为加入的一部分,供应商在 SSPA 中注册,并且必须完成所有适用的要求,然后才能获得任何数据处理类别的批准。 仅当预订的数据处理活动与已批准供应商的数据处理类别匹配时,Microsoft 业务部门才能与供应商创建预订。
Microsoft 如何通知客户处理其数据的供应商发生更改?
根据 Microsoft 产品和服务数据保护附录 (DPA) ,Microsoft 对添加任何子处理器的通知期限做出其他承诺。 请注意,时间范围取决于子处理者将代表 Microsoft 处理的数据类型。 如 DPA 中所述,Microsoft 承诺在处理客户数据的任何新子处理者之前至少六个月向客户发出通知。 对于任何其他个人数据,Microsoft 将至少提供 30 天的通知。 Microsoft Online Services 子处理器列表的更新提供了通知。
相关的外部法规 & 认证
定期审核 Microsoft 联机服务是否符合外部法规和认证。 有关与供应商管理相关的控制措施的验证,请参阅下表。
Azure 和 Dynamics 365
| 外部审核 | Section | 最新报告日期 |
|---|---|---|
| ISO 27001/27002 适用性声明 证书 |
A.15.1:供应商关系中的信息安全 | 2023 年 11 月 6 日 |
| ISO 27017 适用性声明 证书 |
A.15.1:供应商关系中的信息安全 | 2023 年 11 月 6 日 |
| ISO 27018 适用性声明 证书 |
A.8.1:披露分包 PII 处理 | 2023 年 11 月 6 日 |
| SOC 2 SOC 3 |
SOC2-25:供应商风险管理 C5-2:供应商风险状况审查 |
2023 年 11 月 17 日 |
Microsoft 365
| 外部审核 | Section | 最新报告日期 |
|---|---|---|
| FedRAMP (Office 365) | CA-3:系统互连 IA-4:标识符管理 PS-6:访问协议 PS-7:第三方人员安全 SA-4:购置过程 SA-9:外部信息系统服务 SA-12:供应链保护 |
2023 年 7 月 31 日 |
| ISO 27001/27002/27017 适用性声明 认证 (27001/27002) 认证 (27017) |
A.15.1:供应商关系中的信息安全 | 2024 年 3 月 |
| ISO 27018 适用性声明 证书 |
A.8.1:披露分包 PII 处理 | 2024 年 3 月 |
| SOC 2 | CA-53:第三方监视 | 2024 年 1 月 23 日 |
资源
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈