Baseline Informatiebeveiliging Rijksdienst 표준(BIR 2012)
BIR 2012 개요
네덜란드 정부 부문에서 운영되는 조직은 Baseline Informatiebeveiliging Rijksdienst 표준(BIR 2012)을 준수한다는 것을 입증해야 합니다. BIR 2012는 ISO 27001과 ISO 27002를 기반으로 하는 표준 프레임워크를 제공합니다. Microsoft Azure 또는 Office 365 사용하는 조직의 경우 Microsoft는 클라우드 컴퓨팅의 공유 책임 모델에 따라 이러한 클라우드 서비스에 대한 BIR 2012 컨트롤의 일부를 관리합니다. 따라서 BIR 2012를 준수해야 하는 조직은 사용 중인 기본 Microsoft 서비스가 BIR 2012를 준수하는지 확인해야 합니다.
BIR 커버리지 보고서는 BIR 표준이 Microsoft 클라우드 서비스에서 사용할 수 있는 기존 ISO 27001 인증으로 적용되는 지침을 제공합니다. ISO 27001에서 다루지 않는 추가 BIR 컨트롤이 있는 경우 다른 독립적인 증명, 감사 설명서 또는 계약 문에 대한 참조가 만들어집니다.
Microsoft와 BIR 2012
Microsoft는 BIR 2012 규정 준수의 대상이 아니지만 클라우드 서비스를 사용하려는 정부 부문의 고객은 Microsoft의 기존 인증을 사용하여 이 표준을 준수하는지 확인할 수 있습니다. Azure 및 Office 365는 다양한 주기적인 독립적인 인증 및 증명을 거치며 그 중 일부는 BIR 2012와 밀접한 관련이 있습니다.
Microsoft 클라우드 다운로드: Azure 및 Office 365 BIR-2012 Baseline Coverage 사용자 가이드
Microsoft 범위 내 클라우드 플랫폼 및 서비스
- Azure
- Intune
- Office 365
Office 365 및 BIR 2012
Office 365 환경
Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.
이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.
- 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
- Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
- Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
- Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
- Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.
이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부 및 Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.
조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.
Office 365 적용 가능성 및 범위 내 서비스
다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.
적용 가능성 | 범위 내 서비스 |
---|---|
상업용 | Azure Information Protection, Bookings, Exchange Online Protection, Exchange Online, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, 웹용 Microsoft To-Do, MyAnalytics, Office 365 Cloud App Security, Office 365 그룹, Office Delve, 비즈니스용 OneDrive, Planner, Power Apps, Power Automate, power BI for Office 365, PowerApps, SharePoint Online, 비즈니스용 Skype StaffHub, Stream, Sway, Viva Engage |
감사, 보고서 및 인증서
Microsoft는 독립적인 타사 감사 회사를 고용하여 현재 Azure 및 Office 365 인증 및 증명(ISO/IEC 27001 및 SOC 2 유형 2)이 Microsoft가 담당하는 BIR 2012의 어느 부분에 적용되는지를 분석했습니다. 결과 보고서는 이러한 기존 인증 및 증명을 BIR 2012 표준에 나열된 컨트롤에 매핑합니다. 고객은 이 보고서를 BIR 2012 규정 준수 방식으로 Azure를 채택하는 데 도움이 되는 툴로 사용할 수 있습니다. 이 보고서에서는 Microsoft가 어떤 BIR 2012 컨트롤을 다루는지와 고객이 어떤 제어를 구현해야 하는지 명확히 보여줍니다. 'Microsoft 클라우드: Azure 및 Office 365 BIR 2012 기준 적용 범위' 보고서는 Service Trust Portal 감사 보고서 - GRC 평가 보고서 섹션에서 다운로드할 수 있습니다.
자주하는 질문
Microsoft는 BIR 2012 인증을 받았나요?
BIR 규정 준수에 대한 책임은 정부 부문에 적용됩니다. 조직은 정보보안 관리시스템을 구현하고 적절한 기술적 및 조직적 조치를 통해 위험을 해결해야 합니다. 클라우드 서비스 공급자 역할을 하는 Microsoft의 경우 BIR 규정 준수는 목표가 아니며, 기술적으로도 가능하지 않습니다. 고객이 Microsoft 클라우드 서비스를 구현하거나 사용하는 경우 해당 서비스는 BIR 평가 범위에 속할 수 있습니다. 그러나 조직에서 전체 BIR 평가의 일부로 자체 (추가적인) 컨트롤, 선택 및 프로세스를 추가해야 합니다. 이 보고서의 목적은 정부 기관이 BIR 2012를 준수하는 방식으로 Microsoft 클라우드 서비스를 채택할 수 있음을 보여주기 위한 것입니다.
Microsoft 클라우드 서비스를 사용하는 고객이 BIR 2012를 준수하나요?
BIR 규정 준수를 입증하는 것은 고객의 책임입니다. 클라우드 서비스 공급업체를 사용하는 고객은 일반적으로 공급업체의 보증을 요구하고 자체(추가) 기술 및 조직 결정, 선택 사항 및 프로세스를 추가합니다. 이로 인해 BIR 규정 준수에 대한 고객의 전반적인 평가가 이루어지며 검토 또는 인증을 위해 제 3의 감사관에게 제출할 수 있습니다. BIR 적용 범위 보고서는 Microsoft 클라우드 서비스가 적용할 수있는 BIR 컨트롤에 대한 통찰력을 제공하지만 종단간 규정 준수는 다루지 않습니다.
보고서에는 100% 적용 범위가 표시되지 않습니다. BIR 2012 규정 준수가 불가능합니까?
Microsoft 클라우드 서비스는 네덜란드 내의 조직이 BIR 규정 준수 요구를 충족할 수 있도록 많은 컨트롤을 제공합니다. 그러나 조직에서는 자체 구현 선택, 추가 기술 컨트롤 및 관리 프로세스를 통해 이러한 공급 업체 보증을 보완해야 합니다. 이 보고서는 적용 가능한 전체 컨트롤 목록에 대해 이미 91% 이상의 직접적인 적용 범위를 보여줍니다. 나머지 컨트롤의 경우, Microsoft는 해당 컨트롤의 준수 여부를 보여주는 방법에 대한 보고서의 지침을 제공합니다.
BIR 커버리지 보고서는 법적 구속력이 있는 문서인가요?
아니요. 고객의 내부 BIR 보증 프로세스를 지원하는 도구이며 BIR 준수가 실현 가능하다는 확신과 신뢰를 구축하는 데 도움이 됩니다. 보고서는 설명적인 지위를 가지며 법적 면책 조항을 포함합니다.
이 보고서를 공유할 수 있나요?
이 보고서는 고객 정보 전용이며 Microsoft Service Trust Portal 이외의 다른 채널을 통해 복사 또는 공개되지 않을 것이라는 근거로 기밀 유지 계약에 따라 고객에게 제공됩니다. 고객은 규정 준수 또는 보장 프로세스의 일부로 자체 내부 또는 외부 감사인을 사용하여 보고서를 공유할 수 있습니다.