美国国家标准与技术研究院 (NIST) 网络安全框架 (CSF)
NIST CSF 概述
美国国家标准与技术研究院 (NIST) 促进和维护测量标准和指导,以帮助组织评估风险。 为响应关于加强联邦网络和关键基础设施网络安全的第 13636 号行政命令,NIST 于 2014 年 2 月发布了《改善关键基础设施网络安全 (FICIC) 框架》。
FICIC main优先事项是建立一套标准和做法,以帮助组织管理网络安全风险,同时提高业务效率。 NIST 框架解决了网络安全风险,而不会对政府和私营部门组织施加额外的监管要求。
FICIC 引用了全球公认的标准,包括 NIST SP 800-53,该标准位于 NIST 改进关键基础结构网络安全框架的附录 A 中。 FICIC 框架中的每个控件映射到 FedRAMP 中等基线中的相应 NIST 800-53 控件。
Microsoft 和 NIST CSF
NIST 网络安全框架 (CSF) 是一个自愿框架,由管理网络安全相关风险的标准、准则和最佳做法组成。 Microsoft 云服务已接受独立的第三方 FedRAMP 中等基线和高基线审核,并根据 FedRAMP 标准进行了认证。 此外,通过 HITRUST(一家领先的安全和隐私标准开发和认证组织)执行的验证评估,Office 365通过了 NIST CSF 中指定的目标认证。
了解如何使用合规性管理器和 Azure 安全性和合规性蓝图加速 NIST 网络安全框架部署:
Microsoft 范围内的云平台和云服务
- Azure 政府
- 政府Dynamics 365
- Office 365
Azure、Dynamics 365 和 NIST CSF
有关 Azure、Dynamics 365和其他联机服务合规性的详细信息,请参阅 Azure NIST CSF 产品/服务。
Office 365 和 NIST CSF
Office 365环境
Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。
本部分介绍以下Office 365环境:
- 客户端软件(客户端):客户设备上运行的商业客户端软件。
- Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
- Office 365 政府社区云 (GCC):Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
- Office 365 政府社区云 - 高 (GCC High):Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
- Office 365 DoD (DoD):Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。
使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。
你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。
Office 365 适用性和范围内的服务
使用下表确定 Office 365 服务和订阅的适用性:
| 适用性 | 范围内服务 |
|---|---|
| 商业 | 活动源服务、必应服务、Delve、Exchange Online、智能服务、Microsoft Teams、Office 365客户门户、Office Online、Office 服务基础结构、Office 使用情况报告、OneDrive for Business、人员卡、SharePoint OnlineSkype for Business、Windows Ink |
Office 365审核周期和认证
Office 365的 NIST CSF 认证有效期为两年。
常见问题解答
独立评估者是否已验证Office 365是否支持 NIST CSF 要求?
是的,Office 365于 2019 年 7 月从 HITRUST 获得了 NIST CSF 认证书。
Microsoft 云服务如何证明框架符合性?
使用由第三方为 FedRAMP 认证准备的正式审核报告,Microsoft 可以显示这些报告中记录的相关控制如何证明符合 NIST 框架以改进关键基础结构网络安全。 由 Microsoft 实施的审核控制措施旨在确保 Azure、Office 365以及已确定为 Microsoft 责任的Dynamics 365存储、处理和传输的数据的机密性、完整性和可用性。
Microsoft 在保持遵守此计划方面有哪些责任?
参加FICIC是自愿的。 但是,Microsoft 确保Office 365符合在线服务条款和适用的服务级别协议中定义的条款。
是否可以将 Microsoft 合规性用于我的组织?
能。 针对 FedRAMP 标准的独立第三方合规性报告证明 Microsoft 为维护 Microsoft 云服务安全和隐私而实施的控制措施的有效性。 Microsoft 客户可以使用这些相关报表中所述的审核控制措施,作为其自己的 FedRAMP 和 NIST FICIC 风险分析和限定工作的一部分。
美国政府认为哪些组织是关键基础设施?
据 国土安全部称,这些部门包括以下部门的组织:化学、商业设施、通信、关键制造、大坝、国防工业基地、应急服务、能源、金融服务、粮食和农业、政府设施、医疗保健和公共卫生、信息技术、核 (反应堆材料和废物) 、运输系统以及水 (和废水) 。
为什么某些Office 365服务不在此认证范围内?
与其他云服务提供商相比,Microsoft 提供最全面的产品/服务。 为了跟上我们跨区域和行业的广泛合规性产品/服务,我们根据市场需求、客户反馈和产品生命周期将服务纳入保障工作范围。 如果服务未包含在特定合规性产品/服务的当前范围内,则组织有责任根据合规性义务评估风险,并确定在该服务中处理数据的方式。 我们不断收集客户的反馈,并与监管机构和审核员合作,扩大我们的合规性范围,以满足你的安全性和合规性需求。
使用 Microsoft Purview 合规性管理器评估风险
Microsoft Purview 合规性管理器是Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况,并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何在合规性管理器中建立评估。