共用方式為


基準資訊化人民解放陣線標準 (BIR 2012)

BIR 2012 概觀

在荷蘭政府事業中運作的組織必須示範與基準資訊化人民解放陣線標準 (BIR 2012) 的合規性。 BIR 2012 提供了以 ISO 27001 和 ISO 27002 為基礎的標準架構。 針對使用 Microsoft Azure 或 Office 365 的組織,Microsoft 會根據雲端運算中的共用責任模型,管理這些雲端服務的部分 BIR 2012 控件。 因此,需要符合 BIR 2012 的組織必須判斷所使用的基礎 Microsoft 服務是否符合 BIR 2012 的規範。

BIR 涵蓋範圍報告提供了指引,指出 Microsoft 雲端服務可提供現有 ISO 27001 認證涵蓋的 BIR 標準。 如果有 ISO 27001 未涵蓋的其他 BIR 控件,則會參考其他獨立證明、稽核檔或合約聲明。

Microsoft 和 BIR 2012

雖然 Microsoft 不受 BIR 2012 合規性約束,但尋求使用雲端服務的政府機關客戶可以使用 Microsoft 現有的認證來判斷其是否符合此標準。 Azure 和 Office 365 經過各種定期的獨立認證和證明,其中一些與 BIR 2012 緊密相關。

下載 Microsoft 雲端 - Azure 和 Office 365 BIR-2012 基準涵蓋範圍使用者指南

Microsoft 範圍內雲端平台與服務

  • Azure
  • Intune
  • Office 365

Office 365 和 BIR 2012

Office 365環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列 Office 365 環境:

  • 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
  • Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
  • Office 365 政府社群雲端 (GCC)Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
  • Office 365 政府社群雲端 - High (GCC High)Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
  • Office 365 DoD (DoD)Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性:

適用性 範圍內服務
商業 Azure 資訊保護、Bookings、Exchange Online Protection、Exchange Online、Kaizala、Microsoft Analytics、Microsoft Booking、Microsoft Graph、Microsoft Teams、Microsoft To-Do for Web、MyAnalytics、Office 365 雲端 App 安全性、Office 365 群組、Office Delve、商務用 OneDrive、Planner、Power Apps、Power Automate、Power BI for Office 365、PowerApps、SharePoint Online、商務用 Skype、StaffHub、Stream、Sway、Viva Engage

稽核、報告和憑證

Microsoft 保留獨立的第三方稽核公司,以分析目前的 Azure 和 Office 365 憑證和證明 (例如 ISO/IEC 27001 和 SOC 2 Type 2) 涵蓋 Microsoft 負責的 BIR 2012 部分。 產生的報告會提供這些現有憑證和證明與 BIR 2012 標準中所列控制措施的對應。 客戶可以使用此報告做為工具,以 BIR 2012 相容的方式協助採用 Azure。 此報告清楚示範 Microsoft 涵蓋了哪些 BIR 2012 控制項,以及客戶仍要執行哪些控制措施。 'Microsoft 雲端:Azure 和 Office 365 BIR 2012 基準涵蓋範圍'報告可從 服務信任入口網站稽核報告 - GRC 評估報告 區段下載。

常見問題集

Microsoft 是經 BIR 2012 認證?

BIR 合規性的責任適用於政府事業。 其要求組織實作資訊安全管理系統,並以適當的技術和組織措施來解決風險。 對身為雲端服務提供者的 Microsoft 而言,BIR 合規性並非目標,在技術上也不可行。 當客戶實作或使用 Microsoft 雲端服務時,這些服務可能處於 BIR 評估範圍內。 不過,組織必須加入屬於整體 BIR 評估一部分的自身 (其他) 控制措施、選擇和流程。 此報告的目標是示範政府機關可以透過符合 BIR 2012 規範的方式,採用 Microsoft 雲端服務。

使用 Microsoft 雲端服務的客戶是否符合 BIR 2012 規範?

示範 BIR 合規性是客戶的責任。 使用雲端服務廠商的客戶通常需要廠商的保證,並新增自己的 (額外的) 技術和組織決策、選擇和程式。 這會導致客戶對其 BIR 合規性的整體評估,可以將其提交給第三方稽核者以進行檢閱或認證。 BIR 涵蓋範圍報告提供 Microsoft 雲端服務所涵蓋之 BIR 控制措施的深入解析,但不因此涵蓋端對端的合規性。

報表不會顯示 100% 的涵蓋範圍。 BIR 2012 合規性是否不可行?

Microsoft 雲端服務提供許多控制措施,可協助荷蘭的組織符合 BIR 合規性需求。 不過,組織必須以其自身的實作選擇、其他技術控制措施及系統管理程序來補充廠商的保證。 此報告顯示,在適用控制措施的完整清單中已經有超過 91% 的直接涵蓋範圍。 對於其餘的控制措施,Microsoft 會在報告中針對如何證明這些控制措施的合規性而提供指導方針。

BIR 涵蓋範圍報告是具法律效力的文件嗎?

否。 這是客戶內部 BIR 保證程序的支援工具,可協助您建立對 BIR 合規性可行的信心和信任。 此報告具備描述性狀態,且包含法律免責聲明。

我們可以分享這份報告嗎?

該報告是根據保密協議提供給客戶,其依據是該報告僅供客戶參考之用,而且不會透過 Microsoft 服務信任平台以外的其他通道加以複製或披露。 客戶可以在他們的合規性或保證流程中,與他們自己的內部或外部稽核者分享報告。

資源