Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор ISO/IEC 27701:2019
ISO/IEC 27701:2019 дополняет широко используемые стандарты ISO/IEC 27001 и ISO/IEC 27002 для управления информационной безопасностью. В нем указаны требования и рекомендации по системе управления конфиденциальной информацией (PIMS). Реализация PIMS является полезным дополнением к соответствию для организаций, использующих ISO/IEC 27001. Стандарт создает надежную точку интеграции для согласования элементов управления безопасностью и конфиденциальностью. ISO/IEC 27701 предоставляет платформу для управления персональными данными, которые могут использовать как контроллеры данных, так и обработчики данных. Эта платформа является ключевым отличием в соответствии с Общим регламентом по защите данных (GDPR).
Кроме того, любой аудит ISO/IEC 27701 требует, чтобы организация объявляла применимые законы и нормативные акты в своих критериях аудита. Это требование означает, что стандарт может быть сопоставлен со многими требованиями GDPR или другими законами. После сопоставления специалисты по вопросам конфиденциальности реализуют операционные элементы управления ISO/IEC 27701. Внутренняя или внешняя третья сторона, которая имеет аккредитацию для оценки, оценивает соответствие организации требованиям стандарта и выдает сертификат на этот счет. Эта универсальная платформа позволяет организациям эффективно реализовывать соответствие новым нормативным требованиям. Корпорация Майкрософт спонсирует проект по сопоставлению защиты данных с открытым кодом, чтобы получить общее представление о связи между ISO/IEC 27701 и различными правилами защиты данных.
Microsoft in-область облачные платформы и службы
Сертификат Azure ISO/IEC 27701 отображает веб-службы Майкрософт в область:
- Azure (подробные сведения см. в предложении Azure ISO/IEC 27701)
- Microsoft Dynamics 365 (подробные сведения см. в предложении Azure ISO/IEC 27701)
- Microsoft Defender XDR (не в область для Azure для государственных организаций)
- Microsoft Bing для электронной коммерции (не в область для Azure для государственных организаций)
- Microsoft Defender for Cloud Apps
- Microsoft Defender для конечной точки
- Microsoft Graph
- Microsoft Intune
- Компьютеры, управляемые Майкрософт (не входит в область Azure для государственных организаций)
- Microsoft Stream
- Эксперты Майкрософт по угрозам (не входит в область Azure для государственных организаций)
- Office 365, Office 365 для государственных организаций США и Office 365 U.S. Government Defense
- Power Apps
- Power Automate
- Power BI
- Power BI Embedded
- Power Virtual Agents (не входит в область Azure для государственных организаций)
- Универсальная печать (не в область для Azure для государственных организаций)
- Windows 365
Azure, Dynamics 365 и ISO 27701
Дополнительные сведения о Azure, Dynamics 365 и других веб-службы соответствии см. в предложении Azure ISO 27701:2019.
Office 365 и ISO 27701
Office 365 среды
Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.
В этом разделе рассматриваются следующие Office 365 среды:
- Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
- Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
- Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
- Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
- Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.
Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.
Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.
Применимость Office 365 и затрагиваемые службы
Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.
| Применимость | Затрагиваемые службы |
|---|---|
| Коммерческий сектор | Access Online, Azure Communications Service, Compliance Manager, Customer Lockbox, Delve, Exchange Online, Exchange Online Protection, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender Office 365, Microsoft Entra ID, портал Microsoft Purview, Microsoft Teams, MyAnalytics, надстройка Office 365 Advanced Compliance, Office 365 клиентский портал, Office 365 Микрослужбы (включая, помимо прочего, ObjectStore, Sway, Службу документов PowerPoint Online, Службу заметок запросов, Синхронизацию школьных данных, Siphon, Речь, eXtensible Application Program), Office Online, Office Pro Plus, Инфраструктуру служб Office, OneDrive для бизнеса, Планировщик, Power Apps, Power Automate, Power BI, Project Online, Шифрование служб с помощью ключа клиента Microsoft Purview, SharePoint Online Stream |
| GCC | служба коммуникации Azure, диспетчер соответствия требованиям, Delve, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Entra ID, портал Microsoft Purview, Microsoft Teams, MyAnalytics, надстройка Office 365 Advanced Compliance, Office Online, Office Pro Plus, OneDrive для бизнеса, Planner, Power Apps, Power Automate, Power BI, SharePoint Online, Stream |
| GCC High | служба коммуникаций Azure, Exchange Online, Формы, Microsoft Defender для Office 365, Microsoft Entra ID, портал Microsoft Purview, Microsoft Teams, Office 365 Advanced Compliance надстройка, Office Online, Office Pro Plus, OneDrive для бизнеса, Planner, Power Apps, Power Automate, Power BI, SharePoint Online |
| DoD | служба коммуникаций Azure, Exchange Online, Формы, Microsoft Defender для Office 365, Microsoft Entra ID, портал Microsoft Purview, Microsoft Teams, Office 365 Advanced Compliance надстройка, Office Online, Office Pro Plus, OneDrive для бизнеса, Planner, Power BI, SharePoint Online |
Аудит, отчеты и сертификаты Office 365
Службы облачной и коммерческой технической поддержки Майкрософт проходят ежегодный аудит в рамках процесса сертификации по стандарту ISO/IEC 27701.
Вопросы и ответы
Как ISO/IEC 27701 помогает в развитии нормативных требований?
ISO/IEC 27701 включает в себя приложение, содержащее операционные элементы управления стандарта. Приложение сопоставляет эти средства управления с соответствующими требованиями GDPR для контроллеров и процессоров. Это сопоставление является лишь одним из примеров того, как организации могут реализовать правила конфиденциальности по отношению к платформе ISO. По мере того как становятся доступными и проверяются дополнительные сопоставления с другими правилами, организации могут передавать операционные средства управления из стандарта непосредственно из проверки нормативных требований в реализацию. Эта универсальная платформа позволяет организациям надежно выполнять соответствующие нормативные требования.
Как ISO/IEC 27701 помогает с затратами на аудит?
По мере того как в различных юрисдикциях вступает в силу все больше правил конфиденциальности, возрастает давление на предоставление доказательств соответствия требованиям. Если же проводить отдельный аудит для каждого регламента и норматива, то совокупная стоимость сертификации соответствия нормативам становится недопустимо высокой. Составляя набор универсальных операционных элементов управления, ISO/IEC 27701 также описывает универсальную структуру соответствия для аудита и потенциальной сертификации для нескольких нормативных требований.
Важно признать, что создание официальной сертификации GDPR требует утверждения европейскими регуляторами. Хотя согласованность между ISO/IEC 27701 и GDPR очевидна, сертификация ISO/IEC 27701 не должна приниматься в качестве доказательства соответствия GDPR или официальной сертификации GDPR до тех пор, пока не будут приняты нормативные решения.
Как ISO/IEC 27701 помогает с коммерческими соглашениями, связанными с персональными данными?
Коммерческие соглашения, связанные с перемещением персональных данных, могут служить основанием для сертификации соответствия требованиям. Современные организации участвуют в сложной передаче данных с помощью глубокой сети бизнес-партнеров, включая партнерские организации или соконтроллеры, процессоры, такие как поставщики облачных служб, и субобработчики, такие как поставщики, поддерживающие те же процессоры. Несоблюдение нормативных требований в любой части этой сети может привести к каскадным проблемам соответствия в цепочке поставок. Именно поэтому подтверждение соответствия требованиям на основании стандарта выгоднее обязательств, установленных условиями договоров между этими организациями. Поскольку глобальная экономика диктует, что большинство из этих организаций распространены по всему миру, целесообразно использовать международный стандарт ISO для управления соответствием по всей сети.
Поскольку соответствие требованиям приобретает высокую важность, важно, чтобы процедура сертификации была стандартной. Хотя не все компании и организации нуждаются в такой сертификации, большинство из них получают выгоду от партнеров и поставщиков, которые это делают, особенно когда речь задействовает конфиденциальные или большие объемы обработки данных.
Как ISO/IEC 27701 связан с ISO/IEC 27001?
ISO/IEC 27701 основан на ISO/IEC 27001, одном из наиболее широко принятых международных стандартов по управлению информационной безопасностью. Если ваша организация уже знакома с ISO/IEC 27001, логично и эффективнее интегрировать новые средства управления конфиденциальностью, предоставляемые ISO/IEC 27701. Такой подход означает, что реализация и аудит обоих стандартов являются менее затратными и простыми в реализации. Ключевые моменты ISO/IEC 27701 и ISO/IEC 27001:
- ISO/IEC 27001 — один из самых распространенных в мире стандартов ISO, множество компаний сертифицированы по этому стандарту.
- ISO/IEC 27701 включает новые элементы управления, зависящие от контроллера и процессора, которые помогают устранить разрыв между конфиденциальностью и безопасностью. Он обеспечивает точку интеграции между двумя отдельными функциями в организациях.
- Конфиденциальность зависит от безопасности. Аналогичным образом iso/IEC 27701 зависит от ISO/IEC 27001 для управления безопасностью. Сертификация по ISO/IEC 27701 должна быть получена как расширение сертификации ISO/IEC 27001 и не может быть получена независимо.
Что ваша организация должна делать с ISO/IEC 27701?
Независимо от размера вашей организации и от того, является ли она контроллером или обработчиком, рассмотрите возможность проведения сертификации либо для вашей организации, либо запрашивая ее у поставщиков или поставщиков на основе ваших бизнес-требований. Эта ситуация особенно относится к обработчикам, субобработчикам и соконтроллерам, обрабатывающим конфиденциальные или большие объемы персональных данных. Оцените потребности вашего бизнеса, чтобы определить, подходит ли сертификация для ваших собственных продуктов и услуг.
Использование Диспетчер соответствия требованиям Microsoft Purview для оценки риска
Диспетчер соответствия требованиям Microsoft Purview — это функция на портале Microsoft Purview , которая поможет вам понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.
Ресурсы
- ISO/IEC 27701:2019 (доступно для покупки)
- Ознакомительное видео ISO/IEC 27701
- Центральная инфраструктура соответствия требованиям для стандартных элементов управления (Майкрософт)
- Политики доступа к данным для корпоративных облачных и технических служб Майкрософт
- Условия использования веб-служб Майкрософт
- Облако Майкрософт для государственных организаций
- Соответствие требованиям в центре управления безопасностью Майкрософт