了解 Microsoft 安全性原則和標準計畫
Microsoft 安全性原則和標準計畫是 Microsoft 原則架構的一部分,可為所有 Microsoft 員工、工程團隊和業務單位提供全面的安全性控管計畫。 安全性需求會不斷變更,以因應新技術、法規和合規性需求,以及安全性威脅,因此 Microsoft 會定期更新安全性原則和支援文件,以保護 Microsoft 系統和客戶、實現承諾,並維持客戶信任。
Microsoft 安全性原則和標準計畫
Microsoft 安全性原則和標準計畫分為原則、標準、需求和基準。 原則、標準和需求提供整個企業的指導方針,以支援整個 Microsoft 的一致安全性和隱私權做法。 Microsoft 365 等個別業務單位會使用標準作業程序 (SOP),來詳細說明其業務單位如何實作需求。
Microsoft 安全性原則與標準計畫及其相關安全性需求包括:
- Microsoft 安全性原則 (MSP):MSP 是適用於所有 Microsoft 員工的非技術性安全性目標集合。 MSP 中的目標會引導整個 Microsoft 的所有安全性原則、標準和需求。
- Microsoft 安全性計畫原則 (MSPP):Microsoft 安全性計畫原則 (MSPP) 會定義一組常見的安全性目標,以推動實現預期安全性成果的管理架構。 MSPP 適用於 (但不限於) 在 Microsoft 軟體及/或服務建立、維護及/或作業期間,負責開發、營運、安全性、合規性和稽核角色的 Microsoft 員工。
- 標準:線上服務安全性標準 (OSSS) 和企業資訊安全性標準 (EISS) 概述線上服務和公司安全性的全企業需求。 OSSS 會引導所有線上服務的安全性,而 EISS 是由公司安全性團隊實作。
- 需求:需求比標準更詳細,並提供適用的系統和業務單位必須符合的特定技術實作。 例如,開發 Microsoft 產品或服務的任何業務單位都必須實作 Microsoft 安全性開發生命週期 (SDL),以強制執行安全的開發做法。 Microsoft 的其他需求包括適用於安全作業生產系統的作業安全性保證 (OSA),用於安全公開金鑰加密的公開金鑰基礎結構 (PKI),以及保護及驗證程式碼完整性的軟體完整性 (SI) 需求。
- 標準作業程序 (SOP):個別產品群組和業務單位使用 SOP,來詳細說明其組織如何實作標準和需求,以符合 MSP 中定義的安全性目標。
MSP 與 MSPP 角色和責任
Microsoft 安全性原則 (MSP) 和 Microsoft 安全性計畫原則 (MSPP) 的更新是由客戶安全性與信任 (Microsoft 公司、外部及法律事務 (CELA) 下的業務單位) 所引導,並採納來自所有相關工程團隊和業務單位的意見。 客戶安全性與信任的 CVP 和公司策略的 CISO 是 MSP 所有變更的最終核准者。
MSP 和 MSPP 審查程序
Microsoft 安全性原則、標準和需求至少會每年進行一次審查和更新。 年度安全性原則修訂會考慮多種因素,包括:
- 外部法規或合規性需求的變更。 範例包括法規或外部標準更新,例如 ISO 或 NIST。 安全性原則修訂程序包括審查所有建議的變更,以確保符合適用的法規。
- 安全性環境的變更。 這包括新興威脅、安全性問題,以及從過去事件學習到的經驗。
- 不斷改變的企業與客戶需求。 隨著業務變更,可能需要更新原則與標準,以因應新技術。 例如,新產品與服務可能需要新的安全性方法。
相關專案關係人、其代理人和審查者會評估不斷變更的條件如何可能需要更新 Microsoft 安全性原則和標準。 建議變更會提交給相關審查者核准。 審查完成之後,Microsoft 業務單位會傳播和實作更新的 Microsoft 安全性原則和標準版本,該單位會更新其標準作業程序 (SOP),以說明對組織特定安全性實作的任何變更。
例外狀況處理
Microsoft 安全性原則和標準的例外表示與需求的偏差,並提供合法業務理由來說明此偏差。 適當的控管實體會審查並核准所有例外。 根據例外範圍及其代表的潛在風險,可能需要由適當的執行人員核准例外。 必須使用適當的工具追蹤所有例外。