ISO/IEC 27017:2015 信息安全控制措施行为守则
ISO-IEC 27017 概述
ISO/IEC 27017:2015 行为守则专为组织设计,用作在根据 ISO/IEC 27002:2013 实施云计算信息安全管理系统时选择云服务信息安全控制措施的参考。 此外,云服务提供商还可将其用作实施公认的保护控制措施的指南文档。
此国际标准基于 ISO/IEC 27002 提供了特定于云的附加实施指南,并针对 ISO/IEC 27002:2013 第 5-18 条中特定于云的信息安全威胁和风险提供了附加控制措施、实施指南和其他信息。 具体来说,此标准提供了 ISO/IEC 27002 中有关 37 个控制措施的指南,以及在 ISO/IEC 27002 中未重复的 7 个新控制措施。 这些新控制措施可解决以下重要方面:
- 云计算环境中的共享角色和职责
- 合同终止时删除和退回云服务客户资产
- 保护和分离客户的虚拟环境与其他客户的环境
- 强化要求以满足业务需求的虚拟机
- 云计算环境的管理操作程序
- 使客户能够监视云计算环境中的相关活动
- 协调虚拟和物理网络的安全管理
Microsoft 和 ISO/IEC 27017
ISO/IEC 27017 在为云服务提供商和云服务客户提供指南方面是独一无二的。 此外,它还为云服务客户提供有关预期从云服务提供商获得内容的实用信息。 通过确保客户了解云中的共同职责,他们可以直接从 ISO/IEC 27017 中受益。
Microsoft 范围内的云平台和云服务
- Azure、Azure 政府和 Azure 德国
- Microsoft Defender for Cloud Apps
- Dynamics 365、Dynamics 365 和 Dynamics 365 德国
- Intune
- Microsoft Defender for Endpoint
- Microsoft Graph
- Microsoft 医疗保健机器人
- Microsoft 托管桌面
- Office 365、Office 365 美国政府版、Office 365 美国政府国防部版和 Office 365 德国版
- Power Automate (以前称为 Microsoft Flow) 云服务,作为独立服务提供,或者随 Office 365 或 Dynamics 365 品牌计划或套件一并提供
- PowerApps 云服务,作为独立服务提供,后者随 Office 365 或 Dynamics 365 品牌计划或套件一并提供
- Power BI 云服务,作为独立服务提供,或者随 Office 365 品牌计划或套件一并提供
- Power BI Embedded
- Windows 365
Azure、Dynamics 365 和 ISO 27017:2015
有关 Azure、Dynamics 365 和其他联机服务合规性的详细信息,请参阅 Azure ISO 27017 产品/服务。
Office 365 和 ISO 27017:2015
Office 365环境
Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。
本部分介绍以下Office 365环境:
- 客户端软件(客户端):客户设备上运行的商业客户端软件。
- Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
- Office 365 政府社区云 (GCC):Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
- Office 365 政府社区云 - 高 (GCC High):Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
- Office 365 DoD (DoD):Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。
使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。
你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。
Office 365 适用性和范围内的服务
使用下表确定 Office 365 服务和订阅的适用性:
| 适用性 | 范围内服务 |
|---|---|
| 商业 | Access Online、Microsoft Entra ID、Azure 通信服务、合规性管理器、客户密码箱、Delve、Exchange Online、Exchange Online Protection、Forms、Griffin、Identity Manager、Lockbox (Torus) Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 高级合规版加载项、Office 365客户门户Office 365微服务 (包括但不限于 Kaizala、ObjectStore Sway、PowerPoint Online 文档服务、查询注释服务、学校数据同步、Siphon、语音、StaffHub、eXtensible Application Program) 、Office 365 Security & Compliance Center、Office Online、Office Pro Plus、Office Services 基础结构、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI Project Online、使用 Microsoft Purview 客户密钥的服务加密、SharePoint Online、Skype for Business、Stream、Whiteboard |
| GCC | Microsoft Entra ID、Azure 通信服务、合规性管理器、Delve、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 高级合规版加载项Office 365安全 & 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream、Whiteboard |
| GCC 高级 | Microsoft Entra ID、Azure 通信服务、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 高级合规版加载项Office 365安全 & 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Whiteboard |
| DoD | Microsoft Entra ID、Azure 通信服务、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 高级合规版加载项Office 365安全 & 合规中心、Office Online、Office Pro Plus、OneDrive for Business、Planner、Power BI、SharePoint Online Skype for Business |
Office 365 审核、报告和证书
作为 ISO/IEC 27001:2013 认证过程的一部分,每年都会对 Microsoft 云服务进行 ISO/IEC 27017:2015 行为守则审核。
常见问题解答
此标准适用于哪些人员?
此行为守则为云服务提供商和云服务客户提供控制措施和实施指南。 其格式结构类似于 ISO/IEC 27002:2013。
在哪里可以查看 Microsoft 的 ISO/IEC 27017:2015 合规性信息?
你可以下载适用于 Azure、Intune 和 Power BI 的 ISO/IEC 27017:2015 证书。
能否在我所在组织的认证过程中使用 Microsoft 服务的 ISO/IEC 27017 合规性认证?
正确。 如果你的企业正在寻求对任何 Microsoft 范围内企业云服务中部署的实施流程进行认证,则可以在你的合规性评估中利用 Microsoft 的相关认证。 但是,你需要负责聘请评估方来评估合规性政策的实施情况,以及所在组织中的控制措施和流程。
如何获得适用审核报告的副本?
服务信任门户提供独立第三方审核报告和其他相关文档。 你可以使用门户下载和查看本文档以就自己的法规要求获得帮助。
使用 Microsoft Purview 合规性管理器评估风险
Microsoft Purview 合规性管理器是Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况,并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估。