Global Secure Access 支持跨不同受监管行业和全球市场的合规性。 本文列出了全局安全访问获取新认证时的当前认证和更新。
支持的认证
全局安全访问包含在多个 Azure 合规性审核中。 支持的认证包括:
| 认证 | 详细信息 | 继承自 |
|---|---|---|
| 加拿大隐私法 | 加拿大隐私法旨在保护个人的隐私,并赋予他们访问收集有关他们的信息的权利。 这些隐私法包括《隐私法》、《个人信息保护和电子文件法》(PIPEDA)、艾伯塔省个人信息保护法(PIPA)和不列颠哥伦比亚省的信息和保护隐私法(BC FIPPA)。 有关详细信息,请参阅 加拿大隐私法。 | ISO 27001:2013 |
| CDSA | 内容传送和安全关联(CDSA)内容保护和安全(CPS)标准提供了在内容安全管理系统(CSMS)中保护媒体资产的指导和要求。 该标准包括保护知识产权并在整个数字媒体供应链中保护媒体资产的安全和机密的控制措施。 有关详细信息,请参阅 CDSA。 | ISO 27001:2013 |
| CSA STAR | 云安全联盟 (CSA) STAR 认证基于在云控制矩阵 (CCM) 中实现 ISO 27001 认证和满足标准。 它表明,云服务提供商满足 ISO 27001 要求,解决了 CCM 中的关键云安全问题,并针对用于管理 CCM 控制区域中活动的 STAR 功能成熟度模型进行评估。 有关详细信息,请参阅 云安全联盟 (CSA) STAR 认证。 | ISO 27001:2013 |
| DoD DISA SRG 级别 2 | 国防信息系统局(DISA)是美国国防部(DoD)的一个机构,负责开发和维护 DoD 云计算安全要求指南(SRG)。 SRG 定义了 DoD 用于评估云服务提供商(CSP)的安全状况的基线安全要求,支持决定授予 DoD 临时授权(PA),允许 CSP 托管 DoD 任务。 它整合、取代和撤销以前发布的 DoD 云安全模型(CSM)。 有关详细信息,请参阅国防部(DoD)影响级别 2(IL2)。 | FedRAMP High |
| 耳朵 | 美国商务部负责通过工业和安全局(BIS)执行出口管理条例(EAR)。 根据BIS的定义,出口是将受保护的技术或信息转让给外国目的地,或向美国外国人员(也称为“被视为出口”)释放受保护技术或信息。 有关详细信息,请参阅 《出口管理条例(EAR)》。 | FedRAMP High |
| FedRAMP High | 美国联邦风险和授权管理计划(FedRAMP)成立于2011年12月,为评估、监视和授权云服务提供商(CSP)提供标准化的方法。 有关详细信息,请参阅联邦风险与授权管理计划 (FedRAMP)。 | 暂无 |
| GDPR | 《一般数据保护条例》(GDPR)是一项欧洲隐私法,于 2018 年 5 月生效。 它对向欧盟(欧盟)人民提供商品和服务或收集和分析属于欧盟个人的数据的组织实施新的规则。 GDPR 要求数据控制者(如使用 Azure 的组织)仅使用数据处理者(如Microsoft),这些处理器提供足够的保证来满足 GDPR 的关键要求。 有关详细信息,请参阅 “一般数据保护条例”摘要。 | ISO 27001:2013 |
| GxP (FDA 21 CFR 第 11 部分) | Azure 可以帮助客户满足良好临床、实验室和制造实践(GxP)的要求,以及美国食品和药物管理局(FDA)在 21 CFR 第 11 部分下实施的法规。 有关详细信息,请参阅 GxP (FDA 21 CFR 第 11 部分)。 | ISO 27001:2013 |
| HDS(法国) | Microsoft Azure 具有运行状况数据托管(Hébergeurs de Données de桑特,HDS)认证,这是托管受法国法律管理的个人健康数据的所有实体所必需的。 Microsoft是第一个满足严格法国标准的主要云服务提供商,用于存储和处理运行状况数据。 有关详细信息,请参阅 “运行状况数据托管”(HDS)法国。 | ISO 27001:2013 |
| HIPAA BAA (美国) | 《医疗保险可移植性和责任法》(HIPAA)是美国法律,规定对受保护健康信息的使用、披露和保护的要求。 它适用于涵盖的实体(医生办公室、医院、健康保险公司和其他医疗保健公司)有权访问 PHI,以及代表他们处理 PHI 的业务伙伴(如云服务提供商)。 有关详细信息,请参阅 HIPAA (US)。 | 暂无 |
| ISO 20000-1:2011 | ISO 20000-1:2011 是 IT 服务管理的国际标准,用于定义 IT 服务管理系统的开发、实施、监视、维护和改进要求。 有关详细信息,请参阅 ISO/IEC 20000-1:2018。 | ISO 27001:2013 |
| ISO 22301:2012 | ISO 22301:2012 是业务连续性管理的高级国际标准,提供正式认证。 有关详细信息,请参阅 ISO 22301:2019。 | ISO 27001:2013 |
| ISO 27001:2013 | ISO 27000 系列标准为策略和过程提供了一个框架,这些策略和过程包括Microsoft Azure 合规性产品/服务中的所有法律、物理和技术控制,用于组织的信息风险管理。 ISO 27001 列出了实施、维护、监视和改进信息安全管理系统(ISMS)的要求。 有关详细信息,请参阅 ISO 27001:2013。 | 暂无 |
| ISO 27017:2015 | ISO 27017 实践代码旨在供组织在基于 ISO 27002 实施云计算信息安全管理系统时用作选择云服务信息安全控制措施的参考。 云服务提供商还可以使用 ISO 27017 作为实施普遍接受的保护控制的指导文档。 有关详细信息,请参阅 ISO/IEC 27017:2015。 | ISO 27001:2013 |
| ISO 27018:2019 | ISO 27018 是云隐私的第一个国际准则,它基于 ISO 27002 指南和信息安全管理的最佳做法提供准则。 根据欧盟数据保护法,它为充当个人身份信息的处理者(PII)的云服务提供商提供具体指导,以评估风险并实施用于保护 PII 的最先进的控制措施。 ISO 27018 根据 ISO 29100 中的隐私原则建立特定于云的控制目标和 PII 准则。 有关详细信息,请参阅 ISO/IEC 27018:2019。 | ISO 27001:2013 |
| ISO 27701:2019 | ISO 27701 是信息安全管理的广泛使用 ISO/IEC 27001 标准的扩展,使 PIMS 的隐私信息管理系统的实施成为依赖 ISO/IEC 27001 的许多组织的有用合规性扩展,并为安全与隐私控制建立强大的集成点。 有关详细信息,请参阅 ISO/IEC 27701:2019 | ISO 27001:2013。 |
| ISO 9001:2015 | ISO 9001 是一项国际标准,用于建立质量控制体系的标准。 这是 ISO 9000 系列中唯一导致正式认证的标准。 该标准基于多种质量控制原则,包括明确关注满足客户要求、强大的公司治理和对质量目标的领导承诺、实现目标的过程驱动方法,以及专注于持续改进。 有关详细信息,请参阅 ISO 9001:2015。 | ISO 27001:2013 |
| MARS-E(美国) | 2012年,医疗保险和医疗补助服务中心(CMS)根据 CMS 信息安全和隐私计划发布了 Exchange 的最低可接受风险标准(MARS-E)。 这些文件套件,包括指导、要求和模板,旨在解决适用于 ACA 的《患者保护和负担得起的医疗法案》(ACA)和卫生和人类服务部法规的任务。 有关详细信息,请参阅 MARS-E(美国)。 | FedRAMP High |
| NERC | 北美电力可靠性公司(NERC)是一个非营利性监管机构,其使命是确保北美大容量电力系统的可靠性。 NERC受到美国联邦能源监管委员会(FERC)和加拿大政府当局的监督。 有关详细信息,请参阅北美电力可靠性公司(NERC)。 | FedRAMP High |
| NIST 网络安全框架 | NIST 网络安全框架(CSF)于 2014 年 2 月发布,指导关键基础结构组织更好地了解、管理和降低其网络安全风险。 CSF是针对2013年2月发布的《关于改善关键基础设施安全的总统行政命令》而制定的。 有关详细信息,请参阅 NIST 网络安全框架 (CSF)。 | FedRAMP High |
| PCI 3DS | 欧罗巴、万事达卡和Visa(EMV)三域安全(3-D Secure 或 3DS)是一种 EMVCo 消息传递协议,允许持卡人在进行卡不存在(CNP)联机交易时向卡颁发者进行身份验证。 PCI 3DS 核心安全标准为这些关键 EMV 3DS 功能提供了一个框架,用于实现支持 3DS 事务完整性和机密性的安全控制。 有关详细信息,请参阅 PCI 3DS。 | 暂无 |
| PCI DSS 级别 1 | 支付卡行业(PCI)数据安全标准(DSS)是一种全球信息安全标准,通过控制信用卡数据来帮助防止欺诈。 存储、处理或传输付款和持卡人数据的任何组织都需要 PCI DSS 符合性。 有关详细信息,请参阅 PCI DSS。 | 暂无 |
| SOC 1 类型 2 | 美国会计师协会(AICPA)建立了三个服务组织控制(SOC)报告选项:SOC 1、SOC 2 和 SOC 3。 这些控件可帮助 CA 检查和报告服务组织的控制措施。 SOC 1 类型 2 证明基于 AICPA 关于证明协定标准 18(SSAE 18)标准的声明(请参阅 AT-C 第 105 节)和 3402 号(ISAE 3402)的国际标准。 有关详细信息,请参阅 系统和组织控制 (SOC) 1 类型 2。 | 暂无 |
| SOC 2 类型 2 | SOC 2 类型 2 是一种受限的使用报告,旨在报告与安全、可用性、机密性、处理完整性和隐私系统属性相关的控制措施。 有关详细信息,请参阅 系统和组织控制 (SOC) 2 类型 2。 | 暂无 |
| SOC 3 | SOC 3 报表是 SOC 2 类型 2 证明报告的简短公共版本。 SOC 3 报表适用于想要保证云服务提供商控制但不需要完整的 SOC 2 报告的用户。 有关详细信息,请参阅 系统和组织控制 (SOC) 3。 | 暂无 |
| 英国 Cyber Essentials Plus | Cyber Essentials 是一种英国政府支持的计划,可帮助组织检查和降低其 IT 系统面临的常见网络安全威胁的风险。 处理个人数据的所有英国政府供应商都需要网络概要。 有关详细信息,请参阅 UK Cyber Essentials Plus。 | ISO 27001:2013 |
| 英国 G-Cloud | Government Cloud (G-Cloud) 是一项英国政府计划,旨在简化政府部门对云服务的采购,并促进政府范围的云计算采用。 G-Cloud 包括与云服务供应商(如Microsoft)的一系列框架协议,以及其在在线商店(数字市场)中的服务列表。 此方法使公共部门组织能够比较和采购云服务,而无需执行自己的全面审查过程。 有关详细信息,请参阅 英国 G-Cloud。 | ISO 27001:2013 |
| WCAG 2.0 | Web 内容辅助功能指南 2.0(WCAG 2.0)提供了一个框架,用于开发 Web 内容,可改善残障人士的可访问性,以及具有有限图形功能的设备用户。 有关详细信息,请参阅 Web 内容辅助功能指南。 | ISO 27001:2013 |