ENISA 信息保障框架

关于 ENISA 信息保障框架

欧洲网络和信息安全局 (ENISA) 是网络和信息技术中心。 它与欧盟成员国和私营部门密切合作,提供有关良好网络安全做法的建议。 ENISA 还支持制定和实现与国家/地区信息安全相关的欧盟政策和法律。

信息保障框架 (IAF) 是一组保障条件,组织可以通过云服务提供商审阅这些条件,以确保它们能够充分保护客户数据。 IAF 旨在帮助组织评估采用云服务的风险,更好地比较不同云服务中的产品/服务,并减少云服务提供商的保障负担。

Microsoft 和 ENISA IAF

ENISA 信息保障框架以 ISO/IEC 27001、国际信息安全管理标准和云安全联盟 (CSA) 云控制矩阵 (CCM) v3.0.1 中规定的各类控制为依据。 CCM
是一种控制框架,涵盖了跨 16 个域的基本安全原则,以帮助云客户评估云服务提供商 (CSP) 的整体安全风险。

对于 CSA STAR 自我评估,Microsoft 提交了一份报告,说明 Microsoft Azure 符合 CSA CCM。 (Microsoft 还发布了完整的共识评估计划问卷 (CAIQ) for Azure.) 自我评估
让它符合 ENISA IAF。

CSA STAR 注册表中列出了 Azure 合规性,该注册表是一个免费的、可供公众访问的注册表,CSP 在此发布其与 CSA 相关的评估。 此外,Azure 还会在其中维护正式的 CSA STAR 认证和 CSA STAR 证明。

由于这些自我评估报告是公开提供的,Azure 客户可以了解 Microsoft 安全实践,并采用同一基准比较各个 CSP。

Microsoft 范围内的云平台和云服务

  • Azure
  • Office 365

Azure、Dynamics 365 和 ENISA IAF

有关 Azure、Dynamics 365 和其他联机服务合规性的详细信息,请参阅 Azure ENISA IAF 产品/服务

Office 365 和 ENISA IAF

Office 365环境

Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。

本部分介绍以下Office 365环境:

  • 客户端软件(客户端):客户设备上运行的商业客户端软件。
  • Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
  • Office 365 政府社区云 (GCC)Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
  • Office 365 政府社区云 - 高 (GCC High)Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
  • Office 365 DoD (DoD)Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。

使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。

你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。

Office 365 适用性和范围内的服务

使用下表确定 Office 365 服务和订阅的适用性:

适用性 范围内服务
商业 Microsoft Entra ID、Azure 信息保护、Bookings、Compliance Manager、Delve、Exchange Online、Exchange Online Protection、Forms、Kaizala、Microsoft Analytics、Microsoft Booking、Microsoft Defender for Office 365、Microsoft Graph、Microsoft Teams、适用于 Web 的 Microsoft To-Do、MyAnalytics、Office 365 高级合规版 加载项、Office 365 云应用安全、Office 365 组Office 365安全 & 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、StaffHub、Stream、Sway、Viva Engage

资源