新加坡多層雲端安全性 (MTCS) 標準

發行項
01/31/2024

MTCS 概觀

新加坡多層雲端安全性 (MTCS) 標準是在新加坡資通訊發展管理局 (IDA) 資訊技術標準委員會 (ITSC) 的指導下制定的。 ITSC 提升並促進國家計劃，以標準化 IT 和通訊，並推動新加坡參與國際標準化活動。

MTCS 的目的是提供：

雲端服務提供者 (CSPs) 可以套用的常見標準，以解決客戶對雲端中資料的安全性和保密性，以及使用雲端服務對企業之影響的擔憂。
客戶使用雲端服務時，可驗證的作業透明度和風險可見度。

MTCS 以公認的國際標準 (例如 ISO/IEC 27001) 為基礎，涵蓋資料保留、資料主權、資料可攜性、責任、可用性、業務連續性、災害復原和事件管理等領域。它還包含一套機制，讓客戶能夠根據一組最低基準安全性需求對 CSP 的功能進行效能評定和排名。

MTCS 是第一個具有不同安全性層級的雲端安全性標準，因此，經過認證的 CSP 可以指定其提供的層級。 MTCS 總共包含 535 個控制措施，涵蓋層級 1 的基本安全性、層級 2 更嚴格的控管和租用戶控制，以及層級 3 高影響度資訊系統的可靠性和復原。

Microsoft 和 MTCS

經 MTCS 認證機構進行嚴格評估，Microsoft 雲端服務獲得了所有三個服務分類的 MTCS 584:2013 認證 — 基礎結構即服務 (IaaS)、平台即服務 (PaaS) 和軟體即服務 (SaaS)。 Microsoft 是第一個在所有三個分類中獲得此認證的全球 CSP。

授予了 Microsoft Azure 服務 (IaaS 和 PaaS)、Microsoft Dynamics 365 服務 (SaaS) 和 Microsoft Office 365 服務 (SaaS) 層級 3 的認證。層級 3 認證表示範圍內 Microsoft 雲端服務能夠以最嚴格的安全性需求來託管受監管組織的高度影響力資料。新加坡政府必須實作某些雲端解決方案。

Microsoft 範圍內雲端平台與服務

Azure
Dynamics 365 線上服務 (商務中心、商務、客戶服務、現場服務、財務、詐騙保護、行、銷售、供應鏈管理)
Genomics
Intune
Microsoft 雲端 App 安全性
Microsoft Graph
Microsoft Healthcare Bot
Office 365
OMS 服務對應
PowerApps
Power BI

Office 365 和 MTCS

Office 365環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台，也是全球數個區域客戶可用的應用程式和服務整合式體驗。大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如，美國) 以復原資料，但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列 Office 365 環境：

用戶端軟體 (用戶端)：客戶裝置上執行的商業用戶端軟體。
Office 365 (商業)：全球都可使用的商業公用 Office 365 雲端服務。
Office 365 政府社群雲端 (GCC)：Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
Office 365 政府社群雲端 - High (GCC High)：Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計，嚴格控制和支援受監管的聯邦和國防資訊。此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
Office 365 DoD (DoD)：Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計，控制和支援嚴格的聯邦和國防法規。此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。若要了解哪些地區提供哪些服務，請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。如需 Office 365 政府版雲端環境的詳細資訊，請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。本節中提供的資訊不構成法律建議，如果您對組織的法規合規性有任何疑問，您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性：

適用性	範圍內服務
商業	Delve、Exchange Online、Exchange Online Protection Loki、Microsoft Teams、Office 365 客戶入口網站、Office Online、Office 服務基礎結構、SharePoint Online、商務用 Skype

稽核、報告和憑證

認證的有效期為三年，每年進行一次監視稽核。

Microsoft MTCS 認證

Microsoft MTCS 雲端服務提供者揭露

常見問題集

該標準適用於誰？

它適用於在新加坡購買需要符合 MTCS 標準之雲端服務的企業。

MTCS 安全性層級之間的差異為何？

MTCS 共有 535 個控制措施，涵蓋三個安全性層級：

層級 1 為低成本，且所需的基準安全性控制數量最少。適用於網站託管、測試和開發工作、模擬及非要徑商務應用程式。
層級2 解決了大多數關注資料安全性之組織的需求，針對安全性風險和資料威脅制定了一套更嚴格的控制措施。層級 2 適用於大多數雲端使用情況，包括關鍵任務的商務應用程式。
層級 3 專為具有特定需求的受監管組織，以及願意為更嚴格的安全性需求付費的組織而設計。層級 3 新增了一組安全性控制措施，以補充層級 1 和 2 中的安全性控制措施。他們會使用雲端服務 (例如託管具有敏感性資訊和受監管系統中的應用程式) 解決高度影響力資訊系統中的安全性風險和威脅。

我要從何處著手組織自身的合規性工作？

MTCS 認證配置提供稽核控制和安全性需求的指導方針。

我是否可以在組織的憑證程序中使用 Microsoft 合規性？

是。如果您需要驗證基於這些 Microsoft 雲端服務構建的服務，則可以使用 MTCS 認證來減少稽核 IT 基礎結構的影響 (如果它仰賴於 IT 基礎結構)。不過，您有責任確保處理者有參與評估合規性的實作，以及組織中的控制和程序。

使用 Microsoft Purview 合規性管理員來評估您的風險

Microsoft Purview 合規性管理員是 Microsoft Purview 合規性入口網站中的一項功能，可協助您了解組織的合規性狀態，並採取動作來協助降低風險。合規性管理員會提供特優範本以為此法規建立評定。可在合規性管理員的 [評定範本] 頁面尋找範本。瞭解如何在合規性管理員中建立評估。