ISO/IEC 27001:2013 信息安全管理标准
ISO/IEC 27001 概述
国际标准化组织 (ISO) 是一个独立的非政府组织,是全球最大的自愿性国际标准开发者联盟。 国际电工委员会 (IEC) 是世界领导组织,负责制定和发布有关电气、电子和相关技术领域的国际标准。
ISO/IEC 27000 系列标准由 ISO/IEC 联合小组委员会发布,概述了数百个控制措施和控制机制,以帮助所有类型和规模的组织确保信息资产安全。 这些全球标准针对政策与流程提供了一个框架,其中包括所有与组织信息风险管理流程相关的法律、物理和技术控制措施。
ISO/IEC 27001 是一个正式规范信息安全管理体系 (ISMS) 的安全标准,旨在通过明确的管理控制实现信息安全。 作为正式规范,它规定了定义如何实施、监控、维护及不断改进 ISMS 的各项要求。 此外,其中还规定了一系列最佳实践,包括文档编制要求、责任划分、可用性、访问控制、安全性、审核,以及纠正和预防措施。 通过 ISO / IEC 27001 认证,有助于组织遵守与信息安全有关的各种法规及法律要求。
Microsoft 和 ISO/IEC 27001
ISO/IEC 27001 的国际接受度和适用性是此标准认证成为 Microsoft 实施和管理信息安全举措重心的关键原因。 Microsoft 在 ISO/IEC 27001 认证方面取得的成就表明,Microsoft 致力于从业务、安全合规角度兑现客户的承诺。 目前,Azure 公用和 Azure 德国由一个经认可的第三方认证机构对其是否符合 ISO/IEC 27001 进行一年一次的审核,以提供独立验证,证明安全控制措施已经就位且有效运行。
了解 Microsoft 云上的 ISO/IEC 27001 的优势: 下载 ISO/IEC 27001:2013。
Microsoft 范围内的云平台和云服务
- Azure、Azure 政府和 Azure 德国
- Azure DevOps Services
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Endpoint
- Dynamics 365、Dynamics 365 政府和 Dynamics 365 德国
- Microsoft Graph
- Microsoft 医疗保健机器人
- Intune
- Microsoft 托管桌面
- Power Automate (以前称为 Microsoft Flow) 云服务,作为独立服务提供,或者随 Office 365 或 Dynamics 365 品牌计划或套件一并提供
- Office 365、Office 365 美国政府版和 Office 365 美国政府国防部版
- Office 365 德国
- OMS Service Map
- PowerApps 云服务,作为独立服务提供,或者随 Office 365 或 Dynamics 365 品牌计划或套件一并提供
- Power BI 云服务,作为独立服务提供,或者随 Office 365 品牌计划或套件一并提供
- Power BI Embedded
- Power Virtual Agents
- Microsoft 专业服务
- Microsoft Stream
- Microsoft 威胁专家
- Microsoft Translator
- 主题
- Windows 365
Azure、Dynamics 365 和 ISO 27001
有关 Azure、Dynamics 365和其他联机服务合规性的详细信息,请参阅 Azure ISO 27001 产品/服务。
Office 365 和 ISO 27001
Office 365环境
Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。
本部分介绍以下Office 365环境:
- 客户端软件(客户端):客户设备上运行的商业客户端软件。
- Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
- Office 365 政府社区云 (GCC):Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
- Office 365 政府社区云 - 高 (GCC High):Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
- Office 365 DoD (DoD):Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。
使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。
你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。
Office 365 适用性和范围内的服务
使用下表确定 Office 365 服务和订阅的适用性:
| 适用性 | 范围内服务 |
|---|---|
| 商业 | Access Online、Microsoft Entra ID、Azure 通信服务、合规性管理器、客户密码箱、Delve、Exchange Online、Exchange Online Protection、Forms、Griffin、Identity Manager、Lockbox (Torus) Microsoft Defender for Office 365、Microsoft Teams、Microsoft Viva Topics、MyAnalytics、Office 365 高级合规版加载项、Office 365客户门户Office 365微服务 (包括不限于 Kaizala、ObjectStore、Sway、Power Automate、PowerPoint Online 文档服务、查询注释服务、学校数据同步、虹吸管、语音、StaffHub、eXtensible Application Program) 、Office 365 Security & Compliance Center、Office Online、Office Pro Plus、Office Services 基础结构、OneDrive for Business、Planner、PowerApps、Power BI、Project Online、使用 Microsoft Purview 客户密钥进行服务加密、SharePoint Online、Skype for Business、Stream |
| GCC | Microsoft Entra ID、Azure 通信服务、合规性管理器、Delve、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Microsoft Viva Topics、MyAnalyticsOffice 365 高级合规版加载项、Office 365安全 & 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream |
| GCC 高级 | Microsoft Entra ID、Azure 通信服务、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 高级合规版加载项Office 365安全 & 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online Skype for Business |
| DoD | Microsoft Entra ID、Azure 通信服务、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 高级合规版加载项Office 365安全 & 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、Power BI、SharePoint Online Skype for Business |
Office 365 审核、报告及证书
Office 365 云服务至少每年依据 ISO 27001:2013 标准进行一次审核。
Office 365 评估和报告
常见问题解答
为什么 Office 365 符合 ISO/IEC 27001 很重要?
通过公认审核员确认符合这些标准,即表明 Microsoft 使用国际认可的流程及最佳实践来管理支持和提供其服务的基础结构和组织。 该认证可证实 Microsoft 已实施关于建立、实施、维护和改进信息安全管理的一系列指导方针及一般原则。
可从哪里获得 ISO/IEC 27001 审核报告和 Office 365 服务的范围声明?
服务信任门户提供独立审核的合规性报告。 你可以使用此门户来请求报告,以便审核员可以将 Microsoft 的云服务结果与自己的法律和法规要求进行比较。
是否每年运行测试查找 Office 365 基础结构故障?
是。 Microsoft 云基础结构和运营团队的年度 ISO/IEC 27001 认证过程包括对操作灵活性的审核。 若要查看最新证书,请选择下面的链接。
- Microsoft 365 和Office 365证书:Office 365 - ISO 27001:2013 证书 (2021-2024)
从何处着手开展我自己组织的 ISO/IEC 27001 合规性工作?
采用 ISO/IEC 27001 是一项战略承诺。 可以先从查阅 ISO/IEC 27000 目录入手。
可否在我所在组织的认证中使用符合 ISO/IEC 27001 的 Office 365 服务?
能。 如果你的企业需要对 Microsoft 服务中部署的实施流程进行 ISO/IEC 27001 认证,则可以在你的合规性评估中利用适用的认证。 但是,你需要负责聘请评估方来评估自己组织中的控制措施和流程,以及 ISO/IEC 27001 合规性的实施情况。
使用 Microsoft Purview 合规性管理器评估风险
Microsoft Purview 合规性管理器是Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况,并采取措施来帮助降低风险。 合规性管理器为企业版 E5 客户提供了此规则的预建评估。 在合规性管理器的“评估模板”页面中找到用于建立评估的模板。 了解如何在合规性管理器中建立评估。
资源
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈