供應商管理概觀
Microsoft 如何管理與供應商相關的風險?
Microsoft 與第三方公司合作,以協助滿足客戶的需求。 這些第三方公司稱為供貨商。 Microsoft 的供應商安全性和隱私權是由我們的供應商安全性與隱私權保證 (SSPA) 計劃所控管,這是一組全企業需求,適用於與 Microsoft 合作提供 線上服務 的所有供應商。 雖然 SSPA 計劃提供我們供應商基底的全面治理和管理,但個別業務單位可能會維護其供應商的其他需求。
Microsoft 的供應商安全性和隱私權保證如何 (SSPA) 計劃如何保護客戶數據?
SSPA 是 Microsoft 採購、公司外部與法律事務與公司安全性之間的合作關係,以確保供應商遵守 Microsoft 的隱私權和安全策略。 SSPA 的範圍涵蓋處理個人資料或 Microsoft 機密數據的所有供應商。 SSPA 計劃註冊包括遵循 Microsoft 的數據保護需求 (DPR) 。 DPR 是由供應商在開始與 Microsoft 合作之前必須實作的安全性和隱私權控制所組成。 所有已註冊的供應商都會每年自我證明是否符合 DPR。
DPR 需求的範圍是以供應商在 SSPA 中註冊時可核准的六個不同數據處理類別為基礎。 這些類別可用來識別與供應商提供給 Microsoft 的服務相關聯的風險。 供應商的數據處理配置檔會決定哪些 DPR 控制項被視為在範圍內,以提供適當的數據保護。 處理被視為較高風險之數據的供應商必須符合所有 DPR 需求,也可能需要提供獨立的合規性驗證。 Microsoft 購買工具會在允許採購該供應商之前,驗證所有供應商的 SSPA 狀態,包括符合 DPR 適用部分的規範。
哪些類型的轉包處理者為 Microsoft 提供服務?
「轉包處理者」是 Microsoft 參與的第三方,其職責包括處理 Microsoft 身為處理者的 Microsoft 個人資料。 Microsoft 的轉包處理者分為三個類別。 每個都必須先示範 SSPA 的合規性,才能代表 Microsoft 處理客戶數據。
- 技術轉包處理者,可提供與 Microsoft 線上服務 緊密整合的技術,並部分支援 Microsoft 雲端功能。 如果客戶部署其中一項服務,則為該服務識別的轉包處理者可能會處理、儲存或存取客戶數據或個人資料,同時協助提供該服務。
- 提供服務以協助支援、操作及維護 線上服務的輔助轉包處理器。 在這種情況下,識別的轉包處理者可能會處理、儲存或以其他方式存取客戶數據和個人資料 (包括提供其輔助服務時) 化的化名個人標識符。
- 合約員工組織 提供與 Microsoft 全職員工並行工作的合約員工,以操作、交付及維護 Microsoft Online Services。 在所有這類情況下,客戶數據或個人資料僅位於 Microsoft 系統上,並受限於 Microsoft 原則和監督。
此外, Microsoft 數據中心基礎結構實體 會提供 Microsoft Online Services 執行所在的數據中心基礎結構。 數據中心內的數據會加密,而且數據中心內的人員無法存取它。
需要技術和輔助第三方,才能根據 Microsoft 的數據保護需求 (DPR) 來實作訪問控制。 這些需求符合或超過 Microsoft 在 產品條款中對其客戶所做的合約承諾。 執行合約員工工作的供應商受限於 Microsoft 全職員工適用的相同訪問控制措施。
Microsoft 如何讓供貨商上線?
第三方供應商必須在上架程式中簽署 Microsoft 主要合約。 此合約會控管 Microsoft 與其供應商之間的關聯性,並確保一致的供應商關係管理。 在上架過程中,供應商會註冊 SSPA,而且必須先完成所有適用的需求,才能核准任何數據處理類別。 只有當參與專案的數據處理活動符合供應商已核准的數據處理類別時,Microsoft 業務單位才能夠與供應商建立約定。
Microsoft 如何通知客戶對處理其數據的供應商所做的變更?
根據 Microsoft 產品和服務數據保護增補 (DPA) ,Microsoft 會針對新增任何轉包處理者的通知期間做出額外的承諾。 請注意,時間範圍取決於轉包處理者將代表 Microsoft 處理的數據類型。 如 DPA 中所述,Microsoft 承諾在任何將處理客戶數據的新轉包處理者之前至少六個月,向客戶提供通知。 針對任何其他個人資料,Microsoft 會提供至少 30 天的通知。 請注意,Microsoft Online Services 轉包處理者清單的更新會提供。
相關外部法規 & 認證
Microsoft 的 線上服務 會定期稽核,以符合外部法規和認證。 請參閱下表,以驗證與供應商管理相關的控制件。
Azure 和 Dynamics 365
| 外部稽核 | Section | 最新報告日期 |
|---|---|---|
| ISO 27001/27002 適用性聲明 認證 |
A.15.1:供應商關聯性中的資訊安全性 | 2023年11月6日 |
| ISO 27017 適用性聲明 認證 |
A.15.1:供應商關聯性中的資訊安全性 | 2023年11月6日 |
| ISO 27018 適用性聲明 認證 |
A.8.1:揭露轉包的 PII 處理 | 2023年11月6日 |
| SOC 2 SOC 3 |
SOC2-25:供應商風險管理 C5-2:供應商風險配置文件檢閱 |
2023年11月17日 |
Microsoft 365
| 外部稽核 | Section | 最新報告日期 |
|---|---|---|
| FedRAMP (Office 365) | CA-3:系統互連 IA-4:標識符管理 PS-6:存取合約 PS-7:第三方人員安全性 SA-4:取得程式 SA-9:外部資訊系統服務 SA-12:供應鏈保護 |
2023年7月31日 |
| ISO 27001/27002/27017 適用性聲明 認證 (27001/27002) 認證 (27017) |
A.15.1:供應商關聯性中的資訊安全性 | 2024 年 3 月 |
| ISO 27018 適用性聲明 認證 |
A.8.1:揭露轉包的 PII 處理 | 2024 年 3 月 |
| SOC 2 | CA-53:第三方監視 | 2024年1月23日 |
資源
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應