联邦金融机构考试委员会 (FFIEC)
FFIEC 概述
联邦金融机构审查委员会 (FFIEC) 是一个正式的跨机构机构,由五个银行监管机构组成,负责美国政府对美国金融机构的审查。 FFIEC 考官教育办公室发布了面向 FFIEC 成员机构现场审查员的 IT 考试手册。
FFIEC 审核 IT 考试手册包含这些审查员评估金融机构和 TSP 的 IT 审核计划的质量和有效性的指导。 具体而言,它包括美国注册会计师协会 (AICPA) SOC 1、SOC 2 和 SOC 3 证明报告的提及作为独立审计报告的示例。 然而,FFIEC建议金融机构不要仅依赖这些报告中包含的信息,而是使用 FFIEC 外包技术服务 IT 考试手册中详细讨论的验证和监视程序。
Microsoft 和 FFIEC
Microsoft Azure、Microsoft Power BI 和 Microsoft Office 365旨在满足为金融服务机构提供云服务的严格要求。 Azure 向金融机构提供由独立审核公司生成的 SOC 1 类型 2、SOC 2 类型 2 和 SOC 3 证明报告,以帮助客户履行自己的 FFIEC 合规性义务。 例如, SOC 1 类型 2 证明 在以下位置执行:
- SSAE 第 18 号证明标准:澄清和重新编码,其中包括 AT-C 第 320 节, 报告与用户实体对财务报告 (AICPA 的内部控制相关的服务组织的控制检查 ,专业标准) 。
- SOC 1 对与用户实体财务报告的内部控制相关的服务组织中的控制检查进行报告(AICPA 指南)。
AICPA SSAE 18 标准取代了 SAS 70,它适用于报告与用户实体对财务报告的内部控制相关的服务组织中的控制措施。 这是金融机构在对 Azure 上部署的资产执行自己的 FFIEC 特定合规性义务时,可以利用对技术服务提供商进行第三方审查的正式审核。 它包括审计师对在指定监视期间实现相关控制目标的控制有效性的意见。
此外,Azure 还开发了一个基于 Excel 的云安全诊断工具,旨在加快金融机构可能希望针对 Azure 服务进行的风险评估。 该工具基于包含 19 个不同域的电子表格,这些域标识相关标准和金融服务相关法规(包括 FFIEC IT 考试手册)中设定的要求。 风险评估工具预先填充了有关 Azure 如何满足适用于云服务提供商的要求的说明,并可以帮助客户满足其自己的 FFIEC 合规性要求。
Azure FFIEC 云安全诊断工作簿配套也可供客户使用,它提供有关使用 Azure 服务的指导以及客户符合 FFIEC 要求的注意事项
Microsoft 范围内的云平台和云服务
- Azure
- Intune
- Office 365,Office 365美国政府
- Power BI 云服务(作为独立服务提供,或者随 Office 365 品牌计划或套件一并提供)
Azure 指南文档
为了帮助受 FFIEC 监督的金融机构采用云,Microsoft 发布了可从服务信任门户 数据保护资源 - 合规性指南 部分下载的以下指导文档:
- Azure - 云安全诊断工具
- Azure - FFIEC 云安全诊断工作簿配套
Office 365和 FFIEC
Office 365环境
Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。
本部分介绍以下Office 365环境:
- 客户端软件(客户端):客户设备上运行的商业客户端软件。
- Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
- Office 365 政府社区云 (GCC):Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
- Office 365 政府社区云 - 高 (GCC High):Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
- Office 365 DoD (DoD):Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。
使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。
你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。
Office 365 适用性和范围内的服务
使用下表确定 Office 365 服务和订阅的适用性:
适用性 | 范围内服务 |
---|---|
商业 | Microsoft Entra ID、Azure 信息保护、Bookings、合规性管理器、Delve、Exchange Online、Exchange Online Protection、Forms、Kaizala、Microsoft Analytics、Microsoft Booking、Microsoft Defender for Office 365、Microsoft Graph、Microsoft Teams、适用于 Web 的 Microsoft To-Do、MyAnalytics、Office 365 高级合规版 加载项、Office 365 云应用安全、Office 365 组Office 365安全 & 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、StaffHub、Stream、Sway、Viva Engage |
GCC | Microsoft Entra ID、合规性管理器、Delve、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 高级合规版 加载项Office 365安全 & 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream |
Office 365 审核、报告及证书
请参阅Office 365 SOC 证明报告。
常见问题解答
是否可以使用 Microsoft 符合 SOC 标准来满足我的机构的 FFIEC 合规性义务?
为了帮助你履行这些义务,Microsoft 提供了有关我们遵守 SOC 标准的详细信息,如前所述。 但是,最终由你来决定我们的服务是否符合适用于你的机构的特定法律和法规。 FFIEC还建议,“审计报告或审查的用户不应仅依靠报告中包含的信息来验证 TSP 的内部控制环境。 他们应使用 FFIEC IT 考试手册的 外包技术小册子 中更充分地讨论的其他验证和监视程序。
使用 Microsoft Purview 合规性管理器评估风险
Microsoft Purview 合规性管理器是Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况,并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估。