Standard BIR 2012 (Baseline Informatiebeveiliging Rijksdienst)
Panoramica dello standard BIR 2012
Le organizzazioni che operano nella pubblica amministrazione dei Paesi Bassi devono dimostrare la loro conformità allo standard BIR 2012 (Baseline Informatiebeveiliging Rijksdienst). Lo standard BIR 2012 fornisce un quadro normativo di riferimento basato sugli standard ISO 27001 e ISO 27002. Per le organizzazioni che usano Microsoft Azure o Office 365, Microsoft gestisce parte dei controlli BIR 2012 per questi servizi cloud in linea con il modello di responsabilità condivisa nel cloud computing. Le organizzazioni che devono conformarsi a BIR 2012 devono quindi determinare se i servizi Microsoft sottostanti in uso sono conformi a BIR 2012.
Il report sulla copertura BIR fornisce indicazioni sugli standard BIR coperti dalle certificazioni ISO 27001 esistenti e disponibili per i servizi cloud Microsoft. Se sono presenti controlli BIR aggiuntivi non coperti da ISO 27001, vengono fatti riferimenti ad altre attestazioni indipendenti, alla documentazione di controllo o a dichiarazioni contrattuali.
Microsoft e BIR 2012
Anche se Microsoft non è soggetto alla conformità a BIR 2012, i clienti del settore pubblico che cercano di usare i servizi cloud possono usare le certificazioni esistenti di Microsoft per determinarne la conformità a questo standard. Azure e Office 365 sono sottoposti periodicamente a varie certificazioni e attestazioni indipendenti, alcune delle quali sono strettamente correlate alla normativa BIR 2012.
Scaricare la Guida per l'utente sulla copertura BIR-2012 per Microsoft Cloud: Azure e Office 365
Piattaforme e servizi cloud Microsoft inclusi nell'ambito
- Azure
- Intune
- Office 365
Office 365 e BIR 2012
ambienti Office 365
Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.
Questa sezione illustra gli ambienti di Office 365 seguenti:
- Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
- Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
- Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
- Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
- Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.
Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.
L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.
Applicabilità di Office 365 e servizi inclusi nell'ambito
Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:
Applicabilità | Servizi inclusi nell'ambito |
---|---|
Commerciale | Azure Information Protection, Bookings, Exchange Online Protection, Exchange Online, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, Microsoft To-Do for Web, MyAnalytics, Office 365 Cloud App Security, gruppi di Office 365, Office Delve, OneDrive for Business, Planner, Power Apps, Power Automate, Power BI per Office 365, PowerApps, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Viva Engage |
Controlli, report e certificati
Microsoft ha incaricato una società di revisione indipendente di terze parti di analizzare la misura in cui le certificazioni e attestazioni di Azure e Office 365 correnti (come ISO/IEC 27001 e SOC 2 Tipo 2) coprono la parte di BIR 2012 di cui Microsoft è responsabile. Il report risultante fornisce una mappatura di queste certificazioni e attestazioni esistenti ai controlli elencati nello standard BIR 2012. I clienti possono usare il report come strumento per adottare Azure in modo conforme al BIR 2012. Il report illustra chiaramente quali controlli BIR 2012 sono coperti da Microsoft e quali devono essere implementati dai clienti. Il report "Microsoft Cloud: Azure e Office 365 BIR 2012 Baseline Coverage" può essere scaricato dalla sezione Report di controllo del Service Trust Portal - Report di valutazione GRC.
Domande frequenti
Microsoft possiede la certificazione di conformità BIR 2012?
La responsabilità relativa alla conformità per lo standard BIR si applica alla pubblica amministrazione. La normativa richiede che l'organizzazione implementi un sistema di gestione della sicurezza delle informazioni e affronti i rischi con misure tecniche ed organizzative appropriate. Nel ruolo di fornitore di servizi cloud, Microsoft non ha l'obiettivo di ottenere la certificazione BIR né può tecnicamente richiederla. Se un cliente implementa o utilizza i servizi cloud Microsoft, tali servizi potrebbero rientrare nell'ambito di una valutazione della normativa BIR. Tuttavia, l'organizzazione deve aggiungere i propri controlli (supplementari), scelte e processi specifici che fanno parte della valutazione complessiva della norma BIR. L'obiettivo del report è dimostrare che un ente pubblico può adottare i servizi cloud Microsoft in modo conforme alla normativa BIR 2012.
I clienti che usano i servizi cloud Microsoft sono conformi alla normativa BIR 2012?
Dimostrare la conformità alla normativa BIR è responsabilità del cliente. I clienti che usano un fornitore di servizi cloud in genere richiedono garanzie dal fornitore e aggiungono la propria tecnologia (aggiuntiva) e decisioni, scelte e processi aziendali. Il risultato è una valutazione complessiva da parte del cliente sulla conformità alla normativa BIR, che può essere presentata per il controllo o la certificazione a un revisore di terze parti. Il report sulla copertura della normativa BIR fornisce informazioni sui controlli BIR già inclusi dai servizi cloud Microsoft, ma non garantisce la conformità end-to-end.
Il report non mostra una copertura del 100%. La conformità a BIR 2012 non è fattibile?
I servizi cloud Microsoft forniscono molti dei controlli che consentono alle organizzazioni olandesi di soddisfare le loro esigenze di conformità alla normativa BIR. Tuttavia, un'organizzazione deve integrare le garanzie del fornitore con le proprie scelte di implementazione, i controlli tecnologici aggiuntivi e i processi amministrativi. Il report indica già una copertura diretta di oltre il 91% dell'elenco completo dei controlli applicabili. Per gli altri controlli, Microsoft fornisce nel report indicazioni su come dimostrarne la conformità.
Il report sulla copertura della normativa BIR è un documento legalmente valido?
No. Si tratta di uno strumento di supporto per il processo interno di adeguamento alla normativa BIR da parte del cliente e consente di dimostrare la fattibilità di tale norma. Il report è descrittivo e include una dichiarazione di non responsabilità legale.
Il report può essere condiviso?
Il report viene fornito ai clienti nell'ambito di un accordo di non divulgazione, sulla base del fatto che è stato realizzato a solo titolo informativo per i clienti e che non sarà copiato o divulgato mediante canali diversi dalla piattaforma Microsoft Service Trust. I clienti possono condividere il report con il proprio revisore interno o esterno nell'ambito dei processi di conformità o garanzia.