西班牙 Esquema Nacional de Seguridad (ENS) 高级别安全措施

西班牙 ENS 概述

2007 年,西班牙政府颁布了第 11/2007 号法律,其建立了一个法律框架,使公民可以电子方式获得政府和公共服务。 该法律是国家安全框架) (国家安全框架 (的基础,该法受更新的皇家法令 (RD) 311/2022 的约束。 此框架的目标是建立对电子服务条款的信任,确保数据、信息和服务的可访问性、完整性、可用性、真实性、机密性、可追溯性和保存性。

该框架适用于在西班牙购买了云服务的所有公共组织和政府机构,以及信息和通信技术 (ICT) 提供商。 它将指导这些机构和公司在云中和本地实施有效的安全控制措施,并遵守西班牙和欧盟的安全和隐私标准。

该框架建立了政府机构及其服务提供商必须满足的核心策略和强制要求。 它定义了一组与可用性、真实性、完整性、机密性和可追溯性相关的特定安全控制措施(其中许多措施直接符合 ISO/IEC 27001)。 信息的敏感度(低、中或高)确定了必须应用以提供保护信息的安全措施。

每个政府机构都需要采用风险管理方法来实现安全性,这样他们就可以识别并评估风险,然后就这些风险应用安全控制措施。 服务提供商也必须遵守严格的框架要求,帮助确保其过程、技术能力和运营安全,并使各机构遵守法规。

该框架规定了一个认证流程,此流程对于处理低敏感度信息的系统是自愿采用的,但对于处理中高敏感度信息的系统是强制性的。 由通过认证的独立审核员进行审核。 然后,在认证的最后一步中接受风险管理控制措施之前,在认证流程中审核该报告。

Microsoft 和西班牙 ENS 高级别安全措施

Microsoft Azure 和 Microsoft Office 365 已通过独立审计机构 BDO 的严格评估,并出具了有关其合规性的正式声明。 BDO 报告这两种服务的安全措施及其信息系统和数据处理设施高度符合 RD 3/2010 的要求,无需采取任何纠正措施。 Microsoft 是在西班牙首个获得此认证的超大型云服务提供商。

Microsoft 范围内的云平台和云服务

  • Azure
  • Microsoft 365 & Microsoft 365 教育版
  • Dynamics 365

Microsoft 365 和 ENS High

Microsoft 365 (Office 365) 环境

Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。

本部分介绍以下Office 365环境:

  • 客户端软件(客户端):客户设备上运行的商业客户端软件。
  • Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
  • Office 365 政府社区云 (GCC)Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
  • Office 365 政府社区云 - 高 (GCC High)Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
  • Office 365 DoD (DoD)Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。

使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。

你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。

Microsoft 365 & Microsoft 365 教育版适用性和范围内服务

使用下表确定 Microsoft 365 和 Microsoft 365 教育版服务和订阅的适用性:

适用性 范围内服务
商业 Microsoft Viva (包括Connections、见解、学习和Engage) ,Microsoft 365 (包括Word、Excel、PowerPoint、Outlook、Sharepoint、Exchange、OneNote、OneDrive、Microsoft Planner、Sway、Whiteboard、DelveMicrosoft Forms、Microsoft To Do 和 Windows) ,Microsoft Purview (包括审核、自适应保护、通信合规性、电子数据展示、合规性管理器、信息保护、数据生命周期管理、内部风险管理、数据丢失防护和统一数据管理(又称 Azure Purview) ),Microsoft Teams (包括音频会议和电话系统) ,Microsoft Outlook Web App、Microsoft Outlook Mobile、适用于 Microsoft 365 的 Microsoft Copilot、Windows 中的 Copilot、具有商业数据保护的 Microsoft Copilot、Microsoft Exchange Online保护、Microsoft Defender XDR (包括Microsoft Defender for Endpoint、Microsoft Defender for Identity和Microsoft Defender for Office 365和Microsoft Defender for Cloud Apps) 、Microsoft Defender for Endpoint、Microsoft Defender for Identity、Microsoft Defender for Office 365、Microsoft Defender for Cloud Apps、Microsoft Intune

Dynamics 365和 ENS 高

Dynamics 365适用性和范围内服务

使用下表确定Dynamics 365服务和订阅的适用性:

适用性 范围内服务
商业 Copilot Studio、Dynamics 365 Sales、Dynamics 365 Customer Insights 旅程、Dynamics 365 Customer Insights 数据、Dynamics 365 Finance Dynamics 365供应链管理、Dynamics 365 Business Central,Dynamics 365 Customer Service (包括全渠道) 、Dynamics 365 Field Service (包括 Remote Assist) 、Dynamics 365 人力资源、Dynamics 365 Project Operations、Dynamics 365 Commerce、Dynamics 365 Fraud Protection、Dynamics 365 Customer Voice、Power Platform (包括 Power BI、Power Apps、Power Automate 和 Power Pages) ,Power Platform 中的 Copilot (包括适用于 Power Apps 的 Copilot、适用于 Power Automate 的 Copilot、适用于 Power 的 Copilot用于 Power BI) 的 Pages 和 Copilot、Copilot for Sales、Copilot for Service、财经用 Copilot、Copilot for Dynamics 365

Microsoft Azure 和 ENS High

Azure 适用性和范围内服务

使用下表确定 Azure 服务和订阅的适用性:

适用性 范围内服务
商业 Azure 机密计算,Microsoft Entra (包括 Entra ID、Entra ID 治理、Entra 外部 ID、Entra 域服务、Entra 验证 ID、Entra 权限管理、Entra Workload ID、Entra Internet 访问 y Entra Private Access) 、Azure Site Recovery、Azure 虚拟网络、AzureExpressRoute、Azure 负载均衡器、Azure 备份、Azure AI 服务 (包括 Azure OpenAI、Azure 认知搜索、Azure AI 视觉、Azure AI 自定义视觉、Azure AI 语言、Azure AI 语音、Azure AI 翻译器、Azure AI 文档智能、Azure AI 机器人服务、Azure AI 音频 & 视频、Azure AI异常检测器、Azure AI 内容安全、Azure AI 个性化体验创建服务、Azure AI 指标顾问 y Azure AI 沉浸式阅读器) 、Azure AI Studio (包括 Azure OpenAI Studio、Azure 机器学习工作室、Azure 语言工作室、Azure 语音工作室、Azure 视觉工作室、Azure 自定义翻译工作室、Azure Document Intelligent Studio y AzureContent Safety Studio) 、Copilot for Azure、Azure SQL、Azure Cosmos DB、Azure SQL Database、Azure Database for PostgreSQL、Azure SQL 托管实例、Azure Database for MySQLAzure Cache for Redis、Azure Database for MariaDB、Azure 存储 (包括 Blob、存档、磁盘、文件 y Data Box) 、Azure Synapse Analytics
Azure Databricks、Azure 数据工厂、Azure HDInsight、Azure Analysis Services、Azure Data Lake、Azure Data Lake Analytics、Microsoft Fabric、Fabric Copilot、Power BI Embedded、Azure DevOps、Azure IoT 中心Azure 事件中心、Azure Log Analytics、Azure Monitor、Azure 密钥保管库 (包括 Standard、Premium y Managed HSM) 、Microsoft Sentinel、Microsoft 安全 Copilot、Microsoft Defender for IoT、Microsoft Defender for Cloud、Microsoft Defender 云安全态势管理、Microsoft Defender 外部攻击面管理 (EASM) 、Azure DDOS 防护、Azure 防火墙、Azure 防火墙管理器、Azure Web 应用程序防火墙、Azure 应用程序网关、Azure VPN 网关、Azure Bastion、Azure 虚拟机、Azure Kubernetes 服务、Azure 容器实例、Azure 容器注册表、Azure 容器应用、Azure 应用服务、Azure Web 应用、Azure 逻辑应用、Azure API 管理、Azure 服务总线、Azure 事件网格、Azure VMWare 解决方案、Azure 虚拟桌面 (AVD) 、Azure Arc

审核、报告和证书

认证有效期为两年,并且每年要进行监督审核。

Azure

Microsoft 365 和 Microsoft 365 教育版

Dynamics 365

常见问题解答

如何获得审核报告和认证的副本?

服务信任门户提供西班牙语和英语两个版本的审核报告和认证。 你的审核员可以使用这些报告将 Microsoft 云服务结果与你自己的法律和法规要求相比较。

从何处着手开展我自己组织的合规工作?

如果你的组织使用的是 Azure 或 Office 365,则可以在你自己的认证流程中使用 ENS Microsoft 审核报告和认证。 但是,你需要负责聘请审核员来评估合规性的实施情况,并确保你自己组织中的控制措施和流程符合此框架。

资源