西班牙 Esquema Nacional de Seguridad (ENS) 高级别安全措施
西班牙 ENS 概述
2007 年,西班牙政府颁布了第 11/2007 号法律,其建立了一个法律框架,使公民可以电子方式获得政府和公共服务。 该法律是 Esquema Nacional de Seguridad(国家/地区安全框架)的基础,受第 3/2010 号皇家法令 (RD) 监管。 此框架的目标是建立对电子服务条款的信任,确保数据、信息和服务的可访问性、完整性、可用性、真实性、机密性、可追溯性和保存性。
该框架适用于在西班牙购买了云服务的所有公共组织和政府机构,以及信息和通信技术 (ICT) 提供商。 它将指导这些机构和公司在云中和本地实施有效的安全控制措施,并遵守西班牙和欧盟的安全和隐私标准。
该框架建立了政府机构及其服务提供商必须满足的核心策略和强制要求。 它定义了一组与可用性、真实性、完整性、机密性和可追溯性相关的特定安全控制措施(其中许多措施直接符合 ISO/IEC 27001)。 信息的敏感度(低、中或高)确定了必须应用以提供保护信息的安全措施。
每个政府机构都需要采用风险管理方法来实现安全性,这样他们就可以识别并评估风险,然后就这些风险应用安全控制措施。 服务提供商也必须遵守严格的框架要求,帮助确保其过程、技术能力和运营安全,并使各机构遵守法规。
该框架规定了一个认证流程,此流程对于处理低敏感度信息的系统是自愿采用的,但对于处理中高敏感度信息的系统是强制性的。 由通过认证的独立审核员进行审核。 然后,在认证的最后一步中接受风险管理控制措施之前,在认证流程中审核该报告。
Microsoft 和西班牙 ENS 高级别安全措施
Microsoft Azure 和 Microsoft Office 365 已通过独立审计机构 BDO 的严格评估,并出具了有关其合规性的正式声明。 BDO 报告这两种服务的安全措施及其信息系统和数据处理设施高度符合 RD 3/2010 的要求,无需采取任何纠正措施。 Microsoft 是在西班牙首个获得此认证的超大型云服务提供商。
Microsoft 范围内的云平台和云服务
- Azure
- Office 365
Office 365 和 ENS 高级
Office 365环境
Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。
本部分介绍以下Office 365环境:
- 客户端软件(客户端):客户设备上运行的商业客户端软件。
- Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
- Office 365 政府社区云 (GCC):Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
- Office 365 政府社区云 - 高 (GCC High):Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
- Office 365 DoD (DoD):Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。
使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。
你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。
Office 365 适用性和范围内的服务
使用下表确定 Office 365 服务和订阅的适用性:
| 适用性 | 范围内服务 |
|---|---|
| 商业 | Exchange Online、Exchange Online Protection、Microsoft Teams、MyAnalytics、Office 365 客户门户、Office Online、Office 服务基础结构、Outlook Mobile、SharePoint Online、Skype for Business |
审核、报告和证书
认证有效期为两年,并且每年要进行监督审核。
Azure
- Azure 国家/地区安全框架 ENS 认证
- Azure 西班牙国家/地区安全框架 (ENS) 审核报告
- Azure 审核报告 ENS(西班牙语)
- Azure 国家/地区安全框架证书 ENS(西班牙语)
Office 365
- Office 365 国家/地区安全框架 ENS 认证
- Office 365 西班牙语国家/地区安全框架 (ENS) 审核报告
- Office 365 审核报告 ENS(西班牙语)
- Office 365 国家/地区安全框架证书 ENS(西班牙语)
常见问题解答
如何获得审核报告和认证的副本?
服务信任门户提供西班牙语和英语两个版本的审核报告和认证。 你的审核员可以使用这些报告将 Microsoft 云服务结果与你自己的法律和法规要求相比较。
从何处着手开展我自己组织的合规工作?
如果你的组织使用的是 Azure 或 Office 365,则可以在你自己的认证流程中使用 ENS Microsoft 审核报告和认证。 但是,你需要负责聘请审核员来评估合规性的实施情况,并确保你自己组织中的控制措施和流程符合此框架。
资源
- Esquema Nacional de Seguridad of Spain(西班牙语和英语)
- Microsoft 在线服务条款
- Microsoft 信任中心内的合规性
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈