Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Как корпорация Майкрософт обеспечивает эффективное управление безопасностью на предприятии?
Корпорация Майкрософт понимает, что эффективные политики безопасности должны быть последовательно реализованы на предприятии для защиты информационных систем и клиентов Майкрософт. Политики безопасности также должны учитывать универсальные варианты бизнес-функций и информационных систем. В соответствии с этими требованиями корпорация Майкрософт реализует комплексную программу управления безопасностью в рамках Microsoft Policy Framework. На управление безопасностью распространяется политика безопасности Майкрософт.
MSP систематизирует политики безопасности, стандарты и требования Майкрософт, чтобы их можно было реализовать во всех инженерных группах и бизнес-подразделениях Майкрософт. Отдельные подразделения отвечают за определенные реализации политик безопасности Майкрософт. Например, Microsoft 365 документирует свои реализации безопасности в политике информационной безопасности Microsoft 365 и связанной платформе управления Microsoft 365. Azure и Dynamics 365 документировать свои реализации безопасности в операционных процедурах Standard (SOP) и Azure Control Framework. Эти реализации безопасности соответствуют целям и задачам MSP.
Программа управления безопасностью Майкрософт информируется о различных системах регулирования и соответствия требованиям. Требования к безопасности постоянно развиваются с учетом новых технологий, нормативных требований и требований к соответствию, а также угроз безопасности. Из-за этих изменений корпорация Майкрософт регулярно обновляет наши политики безопасности и вспомогательные документы для защиты систем и клиентов Майкрософт, выполнения наших обязательств и поддержания доверия клиентов.
Как Microsoft веб-службы реализовать политику безопасности Майкрософт (MSP)?
Microsoft 365 документирует реализации безопасности в политике информационной безопасности Microsoft 365. Эта политика соответствует политике безопасности Майкрософт и регулирует информационную систему Microsoft 365, включая все среды Microsoft 365 и все ресурсы, участвующие в сборе, обработке, обслуживании, использовании, совместном применении, распространении и утилизации данных. Аналогичным образом, Azure и Dynamics 365 использовать политику безопасности Майкрософт для управления своей информационной системой.
Информационные системы включают следующие компоненты, регулируемые Политикой информационной безопасности Microsoft 365 (для Microsoft 365) и Политикой безопасности Майкрософт (для Azure и Dynamics 365):
- Инфраструктура: физические и аппаратные компоненты систем Azure, Dynamics 365 и Microsoft 365 (средства, оборудование и сети).
- Программное обеспечение. Программы и операционное программное обеспечение систем Azure, Dynamics 365 и Microsoft 365 (системы, приложения и служебные программы)
- Люди: персонал, участвующий в эксплуатации и использовании систем Azure, Dynamics 365 и Microsoft 365 (разработчики, операторы, пользователи и руководители).
- Процедуры: запрограммированные и ручные процедуры, связанные с работой систем Azure, Dynamics 365 и Microsoft 365.
- Данные: информация, созданная, собираемая и обрабатываемая системами Azure, Dynamics 365 и Microsoft 365 (потоки транзакций, файлы, базы данных и таблицы).
Политика информационной безопасности Microsoft 365 дополняется платформой управления Microsoft 365. Платформа управления Microsoft 365 содержит сведения о минимальных требованиях к безопасности для всех служб и компонентов информационной системы Microsoft 365. Он также ссылается на юридические и корпоративные требования, стоящие за каждым элементом управления. Платформа включает имена действий средств контроля, описания и рекомендации для обеспечения эффективного внедрения средств контроля командами обслуживания. Microsoft 365 использует платформу управления для отслеживания реализаций элементов управления для внутренних и внешних отчетов. Аналогичным образом Azure и Dynamics 365 записывать реализации управления в Azure Control Framework.
Как веб-службы ограничить и отслеживать исключения для установленных политик и процедур?
Все исключения из платформ управления должны иметь законное бизнес-обоснование и утверждаться соответствующим субъектом управления в каждой веб-службы команде. В зависимости от области действия исключения и создаваемого им потенциального риска может потребоваться получить утверждение для исключений от корпоративного вице-президента или руководителя более высокого уровня. Управление исключениями осуществляется с помощью средства отслеживания, где они проверяются и утверждаются на предмет постоянной релевантности.
Как корпорация Майкрософт оценивает риски и управляет ими на предприятии?
Управление рисками — это процесс выявления, оценки и реагирования на угрозы или события, которые могут повлиять на цели компании или клиентов. Управление рисками в корпорации Майкрософт предназначено для прогнозирования новых угроз и обеспечения постоянной защиты для наших облачных систем и клиентов, которые их используют.
Управление рисками Майкрософт соответствует платформе Управления рисками предприятия (ERM). ERM обеспечивает общий процесс управления корпоративными рисками и взаимодействует с системой управления на предприятии для выявления наиболее значимых рисков корпорации Майкрософт, а также для обеспечения ответственности за их устранение.
Microsoft ERM обеспечивает общие принципы управления рисками на предприятии, чтобы бизнес-подразделения могли независимо упростить последовательные и сравнительные оценки рисков. Такая координация дает корпорации Майкрософт возможность агрегировать и сообщать сведения о рисках консолидированным образом для управления. ERM предоставляет подразделениям Майкрософт общие методологии, инструменты и цели для процесса управления рисками. Microsoft 365 и другие инженерные группы и бизнес-подразделения используют эти средства для проведения индивидуальных оценок рисков в рамках собственных программ управления рисками под руководством ERM.
Как Microsoft веб-службы работает с ERM?
Каждая веб-служба соответствует рекомендациям ERM по управлению рисками в службах Майкрософт. Программа ориентирована на согласование платформы ERM с существующими процессами проектирования, обслуживания и соответствия требованиям Майкрософт, что делает программу управления рисками более эффективной и эффективной. В конечном итоге действия по управлению рисками каждой веб-службы объединяются и информируют о процессе ERM.
В рамках действий по оценке рисков каждая веб-служба анализирует структуру и эффективность работы элементов управления, реализованных в рамках Microsoft Controls Framework (Framework). Платформа представляет собой рационализированный набор средств управления, который при правильном внедрении вместе с поддержкой мероприятий по обеспечению соответствия позволяет инженерным командам соблюдать ключевые правила и сертификаты.
Как веб-службы обновлять требования к безопасности и соответствию?
Команды по управлению, рискам и соответствию требованиям каждой веб-службы (GRC) работают над поддержанием платформы управления на постоянной основе. В нескольких сценариях может потребоваться, чтобы команда GRC обновила платформу управления, включая изменения в соответствующих нормативных актах или законах, возникающие угрозы, результаты тестов на проникновение, инциденты безопасности, отзывы об аудите и новые требования к соответствию. Когда требуется изменение платформы, группа доверия определяет ключевых заинтересованных лиц, ответственных за утверждение и реализацию изменения, чтобы убедиться, что это возможно и не приведет к непредвиденным проблемам с веб-службами. После того как команда GRC и соответствующие заинтересованные лица договорятся о том, что требуется для изменения, рабочие нагрузки, ответственные за реализацию изменения, устанавливают целевые даты завершения и работают над реализацией изменения в своих соответствующих службах. После достижения целевых показателей реализации команда доверия обновляет платформу управления новыми или обновленными элементами управления.
Связанные внешние правила & сертификации
Веб-службы Корпорации Майкрософт регулярно проверяются на соответствие внешним нормативным требованиям и сертификациям. Сведения о проверке элементов управления, связанных с управлением, рисками и соответствием, см. в следующей таблице.
Azure и Dynamics 365
| Внешний аудит | Section | Дата последнего отчета |
|---|---|---|
|
ISO 27001 Заявление о применимости Сертификат |
A.5. Политики информационной безопасности A.18.1. Соответствие юридическим и договорным требованиям A.18.2. Проверки информационной безопасности |
21 ноября 2024 г. |
|
ISO 27017 Заявление о применимости Сертификат |
A.5. Политики информационной безопасности A.18.1. Соответствие юридическим и договорным требованиям A.18.2. Проверки информационной безопасности |
21 ноября 2024 г. |
|
ISO 27018 Заявление о применимости Сертификат |
A.5. Политики информационной безопасности | 21 ноября 2024 г. |
|
ISO 22301 Сертификат |
6.1.1. Определение рисков и возможностей 6.1.2. Устранение рисков и возможностей |
21 ноября 2024 г. |
| SOC 1; | IS-1: политика безопасности Майкрософт IS-2: обзор политики безопасности Майкрософт IS-3: роли и обязанности в области безопасности |
16 августа 2024 г. |
|
SOC 2; SOC 3 |
C5-1: Standard операционные процедуры IS-1: политика безопасности Майкрософт IS-2: обзор политики безопасности Майкрософт IS-3: роли и обязанности в области безопасности SOC2-14: соглашения о конфиденциальности и неразглашении SOC2-18: нормативные, нормативные и договорные требования SOC2-19: кроссфункциональная программа соответствия требованиям SOC2-20: программа ISMS SOC2-26: ежегодная оценка рисков |
18 февраля 2025 г. |
Microsoft 365
| Внешний аудит | Section | Дата последнего отчета |
|---|---|---|
| FedRAMP | CA-2: оценки безопасности CA-5: план действий и вехи PL-2: план безопасности системы RA-3: оценка рисков |
21 августа 2024 г. |
|
ISO 27001/27017 Заявление о применимости Сертификация (27001) Сертификация (27017) |
A.5. Политики информационной безопасности A.18.1. Соответствие юридическим и договорным требованиям A.18.2. Проверки информационной безопасности |
Март 2025 г. |
| SOC 1; | CA-03: управление рисками | 1 августа 2024 г. |
| SOC 2; | CA-02: обязанности группы по управлению, рискам и соответствию CA-03: управление рисками CA-11: обновления платформы политик CA-17: политика безопасности Майкрософт CA-24: внутренняя оценка рисков CA-25: обновления платформы управления |
26 февраля 2025 г. |