安全事件管理概述
什么是安全事件?
Microsoft 在其联机服务中将安全事件定义为已确认的安全漏洞,它们会导致在 Microsoft 处理时意外或非法销毁、丢失、更改、未经授权泄漏或访问客户数据或个人数据。 例如,未经授权访问Microsoft 联机服务基础结构和客户数据的外泄将构成安全事件,而不影响服务或客户数据的机密性、完整性或可用性的合规性事件不被视为安全事件。
Microsoft如何响应安全事件?
每当发生安全事件时,Microsoft都努力快速有效地响应,以保护Microsoft服务和客户数据。 Microsoft采用事件响应策略,旨在快速高效地调查、遏制和消除安全威胁。
持续监视Microsoft云服务是否存在泄露迹象。 除了自动安全监视和警报之外,所有员工还接受年度培训,以识别和报告潜在安全事件的迹象。 员工、客户或安全监视工具检测到的任何可疑活动将上报给特定于服务的安全响应团队进行调查。 所有服务运营团队(包括特定于服务的安全响应团队)都保持深入的待命轮换,以确保资源可用于全天候事件响应。 我们的待命轮换使Microsoft能够随时或大规模地进行有效的事件响应,包括广泛或并发事件。
检测到可疑活动并升级后,特定于服务的安全响应团队将启动 分析、遏制、根除和恢复过程。 这些团队协调对潜在事件的分析,以确定其范围,包括对客户或客户数据的任何影响。 基于此分析,特定于服务的安全响应团队与受影响的服务团队合作制定计划,以遏制威胁并尽量减少事件的影响,消除环境中的威胁,并完全恢复到已知的安全状态。 相关服务团队在特定于服务的安全响应团队的支持下实施该计划,以确保成功消除威胁,并且受影响的服务进行完全恢复。
事件解决后,服务团队将实施从事件中吸取的任何经验教训,以更好地预防、检测和响应将来发生的类似事件。 选择安全事件,尤其是那些影响客户或导致数据泄露的事件,在事后进行完整的事件调查。 事后剖析旨在识别技术失效、过程失败、手动错误以及可能导致事件发生的或在事件响应过程中识别的其他流程缺陷。 事后确定的改进是在特定于服务的安全响应团队的协调下实现的,以帮助防止将来发生事件并改进检测和响应功能。
如何以及何时向客户通知安全或隐私事件?
每当Microsoft发现涉及未经授权丢失、泄露或修改客户数据的安全违规时,Microsoft在 72 小时内通知受影响的客户,如 数据保护附录 (DPA) 中所述。 通知日程表承诺从正式安全事件声明发生时开始。 在声明发生安全事件后,通知流程将尽快进行,不要出现不当的延迟。
通知包括对违规性质的描述、大致的用户影响以及 (缓解步骤(如果适用) )。 如果Microsoft的调查在初始通知时未完成,通知还将指示后续通信的后续步骤和时间线。
如果客户意识到某个事件可能对Microsoft产生影响,包括但不限于数据泄露,则客户负责及时通知Microsoft DPA 中定义的事件。
相关的外部法规 & 认证
定期审核Microsoft联机服务是否符合外部法规和认证。 有关与事件管理相关的控件的验证,请参阅下表。
Azure 和 Dynamics 365
| 外部审核 | Section | 最新报告日期 |
|---|---|---|
|
ISO 27001 适用性声明 证书 |
A.16.1:信息安全事件的管理和改进 | 2024 年 4 月 8 日 |
|
ISO 27017 适用性声明 证书 |
A.16.1:信息安全事件的管理和改进 | 2024 年 4 月 8 日 |
|
ISO 27018 适用性声明 证书 |
A.9.1:涉及 PII 的数据泄露通知 | 2024 年 4 月 8 日 |
| SOC 1 | IM-1:事件管理框架 IM-2:检测机制和警报 IM-3:事件响应执行 IM-4:事后事件 IM-6:事件响应测试 OA-7:待命工程师访问权限 |
2024 年 8 月 16 日 |
|
SOC 2 SOC 3 |
CCM-9:取证过程 CUEC:报告事件 IM-1:事件管理框架 IM-2:检测机制和警报 IM-3:事件响应执行 IM-4:事后事件 IM-6:事件响应测试 OA-7:待命工程师访问权限 SOC2-6:客户支持网站 SOC2-9:服务仪表板 |
2024 年 5 月 20 日 |
Microsoft 365
| 外部审核 | Section | 最新报告日期 |
|---|---|---|
| FedRAMP | IR-4:事件处理 IR-6:事件报告 IR-8:事件响应计划 |
2024 年 8 月 21 日 |
|
ISO 27001/27017 适用性声明 认证 (27001) 认证 (27017) |
A.16.1:信息安全事件的管理和改进 | 2024 年 3 月 |
|
ISO 27018 适用性声明 证书 |
A.10.1:涉及 PII 的数据泄露通知 | 2024 年 3 月 |
| SOC 1 | CA-26:安全事件报告 CA-47:事件响应 |
2024 年 8 月 1 日 |
| SOC 2 | CA-12:服务级别协议 (SLA) CA-13:事件响应指南 CA-15:服务运行状况通知 CA-26:安全事件报告 CA-29:待命工程师 CA-47:事件响应 |
2024 年 1 月 23 日 |
| SOC 3 | CUEC-08:报告事件 | 2024 年 1 月 23 日 |