安全性事件管理概觀
什麼是安全性事件?
Microsoft 在其線上服務中定義的安全性事件為已確認的安全性缺口,其在 Microsoft 處理客戶資料或個人資料時,導致意外或非法損毀、遺失、更改、未經授權披露或存取客戶資料或個人資料。 例如,未經授權存取Microsoft在線服務基礎結構和客戶數據外泄會構成安全性事件,而不會影響服務或客戶數據之機密性、完整性或可用性的合規性事件則不會被視為安全性事件。
Microsoft如何回應安全性事件?
每當發生安全性事件時,Microsoft致力於快速且有效地回應,以保護Microsoft服務和客戶數據。 Microsoft採用專為快速且有效率地調查、包含及移除安全性威脅而設計的事件回應策略。
Microsoft會持續監視雲端服務是否有入侵徵兆。 除了自動化安全性監視和警示之外,所有員工都會接受年度訓練,以辨識和報告潛在安全性事件的徵兆。 員工、客戶或安全性監視工具偵測到的任何可疑活動,都會呈報給服務特定的安全性回應小組進行調查。 所有服務作業小組,包括服務特定的安全性回應小組,都會維持深入的待命輪替,以確保資源可供事件回應 24x7x365 使用。 我們的通話輪替可讓Microsoft隨時或大規模掛接有效的事件回應,包括廣泛或並行事件。
偵測到可疑的活動並呈報時,服務特定的安全性回應小組會起始 分析、內含專案、消除和復原的程式。 這些小組會協調潛在事件的分析,以判斷其範圍,包括對客戶或客戶數據的任何影響。 根據這項分析,服務特定的安全性回應小組會與受影響的服務小組合作,以制定計劃來包含威脅,並將事件的影響降到最低、從環境中消除威脅,並完全復原到已知的安全狀態。 相關服務小組會在服務特定安全性回應小組支援下實作方案,以確保已成功消除威脅,且受影響的服務會進行完整復原。
解決事件之後,服務小組會實作從事件中學習到的任何課程,以在未來更妥善地預防、偵測及響應類似的事件。 選取安全性事件,特別是那些對客戶造成影響或導致數據外洩的事件,會進行完整的事後事件。 事後剖析的設計旨在找出技術性失誤、程序性失敗、人工錯誤,以及可能導致事件或在事件回應程序期間所識別的其他程式瑕疵。 在事後發現改善是透過服務特定安全性回應小組的協調來實作,以協助防止未來的事件,並改善偵測和回應功能。
客戶如何及何時收到安全性或隱私權事件的通知?
每當Microsoft察覺到涉及未經授權遺失、洩漏或修改客戶數據的安全性缺口時,Microsoft在 72 小時內通知受影響的客戶,如 數據保護增補 (DPA) 中所述。 通知時間軸承諾在正式宣告安全性事件時開始。 宣告安全性事件時,通知程式會盡可能快速進行,而不會過度延遲。
通知包括缺口本質的描述、近似的用戶影響,以及在適用時 (風險降低步驟) 。 如果Microsoft在初始通知時未完成調查,通知也會指出後續通訊的後續步驟和時程表。
如果客戶知道可能會影響Microsoft的事件,包括但不限於數據外泄,客戶會負責立即通知Microsoft DPA 中所定義的事件。
相關外部法規 & 認證
Microsoft的在線服務會定期稽核,以符合外部法規和認證。 請參閱下表,以驗證與事件管理相關的控制件。
Azure 和 Dynamics 365
| 外部稽核 | Section | 最新報告日期 |
|---|---|---|
| ISO 27001 適用性聲明 認證 |
A.16.1:資訊安全性事件的管理和改善 | 2024年4月8日 |
| ISO 27017 適用性聲明 認證 |
A.16.1:資訊安全性事件的管理和改善 | 2024年4月8日 |
| ISO 27018 適用性聲明 認證 |
A.9.1:涉及 PII 的數據外洩通知 | 2024年4月8日 |
| SOC 1 | IM-1:事件管理架構 IM-2:偵測機制和警示 IM-3:事件回應執行 IM-4:事件後置 IM-6:事件響應測試 OA-7:待命工程師存取 |
2024 年 5 月 20 日 |
| SOC 2 SOC 3 |
CCM-9:鑑識程式 CUEC:報告事件 IM-1:事件管理架構 IM-2:偵測機制和警示 IM-3:事件回應執行 IM-4:事件後置 IM-6:事件響應測試 OA-7:待命工程師存取 SOC2-6:客戶支持網站 SOC2-9:服務儀錶板 |
2024 年 5 月 20 日 |
Microsoft 365
| 外部稽核 | Section | 最新報告日期 |
|---|---|---|
| FedRAMP (Office 365) | IR-4:事件處理 IR-6:事件報告 IR-8:事件回應計劃 |
2023年7月31日 |
| ISO 27001/27017 適用性聲明 認證 (27001) 認證 (27017) |
A.16.1:資訊安全性事件的管理和改善 | 2024 年 3 月 |
| ISO 27018 適用性聲明 認證 |
A.10.1:涉及 PII 的數據外洩通知 | 2024 年 3 月 |
| SOC 1 | CA-26:安全性事件報告 CA-47:事件回應 |
2024年1月23日 |
| SOC 2 | CA-12:服務等級協定 (SLA) CA-13:事件回應指南 CA-15:服務健康情況通知 CA-26:安全性事件報告 CA-29:待命工程師 CA-47:事件回應 |
2024年1月23日 |
| SOC 3 | CUEC-08:報告事件 | 2024年1月23日 |
資源
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應