探索 Microsoft 365 資訊安全性原則

5 分鐘

Microsoft 的業務單位和產品群組負責實作 Microsoft 安全性原則和標準計畫的安全性原則、標準與需求。 Microsoft 365 會將這些安全性實作記錄在 Microsoft 365 資訊安全性原則中。此原則符合 Microsoft 安全性原則，可控管 Microsoft 365 資訊系統，包括與收集、處理、維護、使用、共用、傳播和處置資料有關的所有 Microsoft 365 環境和所有資源。

範圍

Microsoft 365 資訊安全性原則的目的，是為了讓 Microsoft 365 能夠根據最佳做法運作、達成建立和維護客戶信任的公司目標、遵守法規需求和客戶承諾，以及支援 Microsoft 365 服務在機密性、完整性和可用性方面的公開承諾。

Microsoft 365 資訊系統包含下列受 Microsoft 365 資訊安全性原則控管的元件：

基礎結構：Microsoft 365 系統的實體和硬體元件 (設施、設備和網路)
軟體：Microsoft 365 系統的程式和作業軟體 (系統、應用程式和公用程式)
人員：與 Microsoft 365 系統的作業和使用有關的人員 (開發人員、操作員、使用者和管理員)
程序：與 Microsoft 365 系統的作業有關的程式設計與手動程序
資料：Microsoft 365 系統所產生、收集及處理的資訊 (交易串流、檔案、資料庫和資料表)

所有 Microsoft 365 資訊系統元件皆由 Microsoft 365 資訊安全性原則控管。

Microsoft 365 控制架構

Microsoft 365 控制架構可補強 Microsoft 365 資訊安全性原則。 Microsoft 365 控制架構詳細說明了所有 Microsoft 365 服務和資訊系統元件的最低安全性需求，並參考每個控制背後的法律和企業需求。此架構包含控制活動名稱、描述和指引，以確保服務小組可進行有效的控制實作。 Microsoft 365 可使用控制架構來追蹤控制實作的證據，以供內部和外部報告之用。

控制架構包含下列主要網域領域中的 18 個目標：

存取控制 (AC)
認知和訓練 (AT)
稽核和責任 (AU)
安全性評估 (CA)
設定管理 (CM)
應變規劃 (CP)
識別和驗證 (IA)
事件回應 (IR)
維護 (MA)
媒體保護 (MP)
實體存取 (PE)
安全性規劃 (PL)
程式管理 (PM)
人員安全性 (PS)
風險評估 (RA)
系統和服務取得 (SA)
系統和通訊保護 (SC)
系統和資訊完整性 (SI)

角色和職責

Microsoft 365 內的每個服務小組會指定不同的人，分別負責推動 Microsoft 365 資訊安全性原則的合規性、實作相關安全性控制，以及驗證控制是否已正確實作。下表簡短摘要說明了在推動 Microsoft 365 資訊安全性原則的一致性方面承擔重要責任的角色。

角色	責任的描述
資訊系統安全性官員	負責維護資訊系統作業安全性態勢的人員。
GRC 法務人員	負責定義最低安全性需求並驗證 Microsoft 365 符合這些需求的人員。
EVP，體驗 + 裝置	負責設定工程群組策略性方向 (包括安全性與合規性目標) 的高階經理。
服務小組合規性菁英	每個服務小組中，負責協助服務小組成員實作原則和標準需求的專家。
服務小組成員	負責實作原則和標準需求的服務小組成員。

Microsoft 365 控制架構更新

Microsoft 365 信任小組會持續維護內部 Microsoft 365 控制架構。 有數種案例可能需要信任小組更新控制架構，包括：相關法規或法律的變更、新興的威脅、滲透測試結果、安全性事件、稽核意見反應，以及新的合規性需求。需要變更架構時，信任小組會識別負責核准和實作變更的重要項目關係人，以確保其可行，且不會造成 Microsoft 365 服務的非預期問題。一旦信任小組和相關項目關係人同意變更所需的內容之後，負責實作變更集目標完成日期的工作負載，以及在其個別服務內實作變更的工作負載。達到實作目標之後，信任小組會使用新的或更新的控件來更新控件架構。

例外程序

Microsoft 365 資訊安全性原則的所有例外都必須有合法的業務理由，並經過 Microsoft 365 內適當的控管實體核准。例外也必須有服務小組管理核准，並記載於 Microsoft 365 風險管理工具中。根據例外的範圍及其代表的潛在風險，可能需要向公司副總裁或更高管理層取得例外核准。例外可輸入到 Microsoft 365 風險管理工具中接受檢閱和核准，以保有持續的相關性。

繼續