ENISA 資訊保證架構

發行項
01/31/2024

關於 ENISA 資訊保證架構

歐洲網路與資訊安全機構 (ENISA) 是網路和資訊專業知識的中心。該中心與歐盟成員國和民營部門密切合作，提供良好網路安全做法的建議。 ENISA 也支援與國家資訊安全性相關的歐盟政策和法律的開發和實施。

資訊保證架構 (IAF) 是一組可保證準則，組織可以與雲端服務提供者一同檢閱，以確保充分保護客戶資料。 IAF 旨在協助組織評估採用雲端服務的風險，更清楚地比較不同雲端服務的優惠，並減少雲端服務提供者的保證負擔。

Microsoft 和 ENISA IAF

ENISA 資訊保證架構是根據國際資訊安全性管理標準 ISO/IEC 27001 和雲端安全性聯盟 (CSA) 雲端控制矩陣 (CCM) v3.0.1 的廣泛控制類別。 CCM
是一個控制措施架構，涵蓋 16 個領域的基本安全性原則，協助雲端客戶評估雲端服務提供者 (CSP) 的整體安全性風險。

如果您使用的是 CSA STAR 自我評定，Microsoft 提交了一份報告，記錄 Microsoft Azure 遵守 CSA CCM 的規範。 (Microsoft 也會針對 Azure.) 發佈已完成的共識評估計劃問卷 (CAIQ) 該自我評量
自我評估遵循 ENISA IAF。

CSA STAR 登錄中已列出 Azure 合規性，這是一個可公開存取的免費登錄，CSP 可以在當中公佈其 CSA 相關評估。 Azure 也會在當中維持正式的 CSA STAR 認證和 CSA STAR 證明。

由於這些自我評定報告可公開取得，因此 Azure 客戶可以深入了解 Microsoft 的安全性做法，並使用相同的基準來比較不同的 CSP。

Microsoft 範圍內雲端平台與服務

Azure
Office 365

Azure、Dynamics 365 和 ENISA IAF

如需 Azure、Dynamics 365 及其他線上服務合規性詳細資訊，請參閱 Azure ENISA IAF 供應項目。

Office 365 和 ENISA IAF

Office 365環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台，也是全球數個區域客戶可用的應用程式和服務整合式體驗。大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如，美國) 以復原資料，但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列 Office 365 環境：

用戶端軟體 (用戶端)：客戶裝置上執行的商業用戶端軟體。
Office 365 (商業)：全球都可使用的商業公用 Office 365 雲端服務。
Office 365 政府社群雲端 (GCC)：Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
Office 365 政府社群雲端 - High (GCC High)：Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計，嚴格控制和支援受監管的聯邦和國防資訊。此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
Office 365 DoD (DoD)：Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計，控制和支援嚴格的聯邦和國防法規。此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。若要了解哪些地區提供哪些服務，請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。如需 Office 365 政府版雲端環境的詳細資訊，請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。本節中提供的資訊不構成法律建議，如果您對組織的法規合規性有任何疑問，您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性：

適用性	範圍內服務
商業	Microsoft Entra ID、Azure 資訊保護、Bookings、Compliance Manager、Delve、Exchange Online、Exchange Online Protection、Forms、Kaizala、Microsoft Analytics、Microsoft Booking、適用於 Office 365 的 Microsoft Defender、Microsoft Graph、Microsoft Teams、Microsoft To-Do for Web、MyAnalytics、Office 365 進階合規性附加元件、Office 365 雲端 App 安全性、Office 365 群組、Office 365安全性 & 合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、StaffHub、Stream、Sway、Viva Engage

適用性

範圍內服務

商業

Microsoft Entra ID、Azure 資訊保護、Bookings、Compliance Manager、Delve、Exchange Online、Exchange Online Protection、Forms、Kaizala、Microsoft Analytics、Microsoft Booking、適用於 Office 365 的 Microsoft Defender、Microsoft Graph、Microsoft Teams、Microsoft To-Do for Web、MyAnalytics、Office 365 進階合規性附加元件、Office 365 雲端 App 安全性、Office 365 群組、Office 365安全性 & 合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、StaffHub、Stream、Sway、Viva Engage