新加坡多层云安全 (MTCS) 标准

MTCS 概述

新加坡多层云安全 (MTCS) 标准是在新加坡资讯通信发展管理局 (IDA) 信息技术标准委员会 (ITSC) 的指导下拟定的。 ITSC 负责推动国家 IT 和通信标准化项目的开展，并协助新加坡参与国际标准化活动。

MTCS 旨在提供：

• 常用标准，云服务提供商 (CSP) 可采用该标准来解决客户对云端数据的安全性和机密性以及使用云服务对业务的影响的顾虑。
• 可验证的操作透明度，以及对客户在使用云服务时所面临的风险的洞察。

MTCS 建立在公认的国际标准（如 ISO/IEC 27001）基础之上，覆盖的领域有数据保存、数据主权、数据可移植性、债务、可用性、业务连续性、灾难恢复和事件管理。 该标准还包括一种机制，可供客户按照一系列最低基线安全性要求对各大 CSP 的能力进行标准检查和排名。

MTCS 是首个具有不同安全级别的云安全标准，可让经认证的 CSP 指定他们所属的级别。 MTCS 总共包括 535 种控制措施，涵盖第 1 级别中的基本安全性、第 2 级别中更严格的管理和租赁控制，以及第 3 级别中高效信息系统的可靠性和可复原性。

Microsoft 和 MTCS

经过 MTCS 认证机构执行严格的评估后，Microsoft 云服务得到 MTCS 584:2013 认证，该认证跨所有三种服务分类：基础结构即服务 (IaaS)、平台即服务 (PaaS) 和软件即服务 (SaaS)。 Microsoft 是获得该跨所有三种分类认证的全球首家 CSP。

Microsoft Azure 服务（IaaS 和 PaaS）、Microsoft Dynamics 365 服务 (SaaS) 和 Microsoft Office 365 服务 (SaaS) 已获得第 3 级别的认证。 第 3 级别认证意味着范围内的 Microsoft 云服务能够采用最严格的安全要求，托管受管组织的高影响力数据。 新加坡政府要求某些云解决方案实施必须具备这一认证。

Microsoft 范围内的云平台和云服务

• Azure
• Dynamics 365 联机服务（Business Central、商务、客户服务、现场服务、财务、欺诈防护、市场营销、销售、供应链管理）
• Genomics
• Intune
• Microsoft Defender for Cloud Apps
• Microsoft Graph
• Microsoft 医疗保健机器人
• Office 365
• OMS Service Map
• PowerApps
• Power BI

Office 365 和 MTCS

Office 365环境

Microsoft Office 365 是一个多租户超大规模云平台，同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域（例如，美国）中的其他区域，以实现数据复原，但 Microsoft 不会在所选地理区域之外复制客户数据。

本部分介绍以下Office 365环境：

• 客户端软件（客户端）：客户设备上运行的商业客户端软件。
• Office 365（商业）：全球范围内提供的商业公共 Office 365 云服务。
• Office 365 政府社区云 (GCC)：Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府，以及代表美国政府持有或处理数据的承包商。
• Office 365 政府社区云 - 高 (GCC High)：Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计，并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
• Office 365 DoD (DoD)：Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计，并支持严格的联邦和防御法规。 此环境供美国国防部专用。

使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用，请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息，请参阅 Office 365 政府云文章。

你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议，你应咨询法律顾问，以了解有关组织法规合规性的任何问题。

Office 365 适用性和范围内的服务

使用下表确定 Office 365 服务和订阅的适用性：

适用性	范围内服务
商业	Delve, Exchange Online, Exchange Online Protection Loki, Microsoft Teams, Office 365 客户门户, Office Online, Office 服务基础结构, SharePoint Online, Skype for Business

审核、报告和证书

认证的有效期为三年，并且每年要进行监督审核。

Microsoft MTCS 认证

• Microsoft Azure 和其他联机服务
• Dynamics 365
• Office 365

Microsoft MTCS 云服务提供商清单

• Microsoft Azure 和其他联机服务
• Dynamics 365
• Intune
• Office 365

常见问题解答

此标准适用于哪些人员？

适用于在新加坡购买要求符合 MTCS 标准的云服务的企业。

MTCS 各安全级别之间有何区别？

MTCS 总共有 535 种控制措施，涵盖三层安全级别：

• 第 1 级别成本较低，只包含所需的最低数量的基线安全控制措施。 它适用于网站托管、测试与开发工作、模拟以及非关键业务应用程序。
• 第 2 级别可满足大多数关注数据安全性的组织的需求，它提供一系列针对数据安全风险与威胁的更严格的控制措施。 第 2 级别适用于大多数云使用场景，包括任务关键型业务应用程序。
• 第 3 级别专为具有特定要求并愿意承担更严格安全要求费用的受管组织而设计。 第 3 级别增加了一组安全控制措施，对第 1 级别和第 2 级别进行了补充。 它们能够解决使用云服务的高效信息系统（例如具有敏感信息的托管应用程序）中以及受管系统中的安全风险和威胁。

从何处着手开展我自己组织的合规工作？

MTCS 认证计划对审核控制和安全要求提供了指导。

能否在我组织的认证过程中使用 Microsoft 的合规性认证？

是。 如果你需要证明你的服务建立在这些 Microsoft 云服务之上，可使用 MTCS 认证来降低审核 IT 基础结构产生的影响（若这依赖于它们）。 但是，你需要负责聘请评估方来评估合规性政策的实施情况，以及所在组织中的控制措施和流程。

使用 Microsoft Purview 合规性管理器评估风险

Microsoft Purview 合规性管理器是Microsoft Purview 合规门户中的一项功能，可帮助你了解组织的合规性状况，并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板，用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估。

资源

• Microsoft 联机服务条款
• Microsoft 信任中心内的合规性