分享方式:


美國國家標準技術局 (NIST) 網路安全性架構 (CSF)

NIST CSF 概觀

美國國家標準與技術局 (NIST) 推廣和維護度量標準和指引,以協助組織評估風險。 為了回應關於強化聯邦網路和重要基礎結構網路安全性的 13636 高階行政令,NIST 於 2014 年 2 月發行了改善重大基礎結構網路安全性 (FISECURITY) 架構。

FISECURITY 的主要優先順序是建立一組標準和做法,以協助組織管理網路安全性風險,同時提高商務效率。 NIST 架構可解決網路安全性風險,而不會對政府和私人部門組織造成額外的法規需求。

FI 參考全域辨識的標準,包括 NIST SP 800-53,可在 NIST 架構的附錄 A 中找到 ,以改善重大基礎結構網路安全性。 FI}FRAMEWORK 內的每個控件都會對應至 FedRAMP 中等基準內的對應 NIST 800-53 控制件。

Microsoft 和 NIST CSF

NIST 網路安全性架構 (CSF) 是由標準、指導方針和最佳做法所組成的自發性架構,可管理網路安全性相關風險。 Microsoft 雲端服務已通過獨立的第三方 FedRAMP 中度和高基準稽核,並已根據 FedRAMP 標準進行認證。 此外,透過由領先的安全性和隱私權標準開發和認證組織 HITRUST 所執行的驗證評估,Office 365 會通過 NIST CSF 中指定的目標認證。

瞭解如何使用合規性管理員和我們的 Azure 安全性與合規性藍圖加速您的 NIST 網路安全性架構部署:

Microsoft 範圍內雲端平台與服務

  • Azure Government
  • 適用於政府 Dynamics 365
  • Office 365

Azure、Dynamics 365 和 NIST CSF

如需 Azure、Dynamics 365 和其他 線上服務 合規性的詳細資訊,請參閱 Azure NIST CSF 供應專案

Office 365和 NIST CSF

Office 365環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列 Office 365 環境:

  • 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
  • Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
  • Office 365 政府社群雲端 (GCC)Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
  • Office 365 政府社群雲端 - High (GCC High)Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
  • Office 365 DoD (DoD)Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性:

適用性 範圍內服務
商業 活動摘要服務、Bing 服務、Delve、Exchange Online、智能服務、Microsoft Teams、Office 365 客戶入口網站、Office Online、Office 服務基礎結構、Office 使用量報告、商務用 OneDrive、人員 卡、SharePoint Online、商務用 Skype、Windows Ink

Office 365 稽核周期和認證

Office 365的 NIST CSF 認證有效期為兩年。

常見問題集

是否已驗證 Office 365 支援 NIST CSF 需求的獨立評估者?

是,Office 365 在 2019 年 7 月從 HITRUST 取得 NIST CSF 認證信件

Microsoft 雲端服務 如何示範與架構的合規性?

Microsoft 可以使用第三方針對 FedRAMP 認證準備的正式稽核報告,顯示這些報告中所述的相關控件如何示範如何符合 NIST 架構以改善重大基礎結構網路安全性。 Microsoft 實作的稽核控件可確保已識別為 Microsoft 責任之 Azure、Office 365 和 Dynamics 365 所儲存、處理及傳輸的數據具有機密性、完整性和可用性。

Microsoft 對於維護遵守此方案的責任為何?

參與 FI 而且是自願的。 不過,Microsoft 確保 Office 365 符合控管在線服務條款和適用服務等級協定中所定義的條款。

我可以為我的組織使用 Microsoft 的合規性嗎?

是的。 FedRAMP 標準的獨立第三方合規性報告證明 Microsoft 已實作的控件有效性,以維護 Microsoft 雲端服務 的安全性和隱私權。 Microsoft 客戶可以使用這些相關報告中所述的稽核控件,作為他們自己的 FedRAMP 和 NIST FIBOUND 風險分析和資格限定工作的一部分。

美國 政府會將哪些組織視為重要的基礎結構?

根據 美國政府安全性部門,這些包括下列領域中的組織:化學、商業設施、通訊、重要製造、水氣、防禦工業基底、緊急服務、能源、金融服務、食物和農業、政府設施、醫療保健和公共健康、資訊技術、 (水堆材料和廢棄物) 、運輸系統和水 (和能源) 。

為什麼某些 Office 365 服務不在此認證範圍內?

相較於其他雲端服務提供者,Microsoft 提供最完整的供應專案。 為了跟上跨區域和產業的廣泛合規性供應項目,我們會根據市場需求、客戶意見反應和產品生命週期,將服務納入保證工作範圍內。 如果服務未包含在特定合規性供應專案的目前範圍中,您的組織就必須根據您的合規性義務來評估風險,並判斷您在該服務中處理數據的方式。 我們會持續收集客戶的意見反應,並與監管者和稽核員合作,以擴充合規性涵蓋範圍,以符合您的安全性與合規性需求。

使用 Microsoft Purview 合規性管理員來評估您的風險

Microsoft Purview 合規性管理員Microsoft Purview 合規性入口網站 中的一項功能,可協助您了解組織的合規性狀態,並採取動作來協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估

資源