基线 Informatiebeveiliging Rijksdienst 标准 (BIR 2012)

BIR 2012 概述

在荷兰政府部门运营的组织必须证明其符合基线 Informatiebeveiliging Rijksdienst 标准 (BIR 2012)。 BIR 2012 根据 ISO 27001 和 ISO 27002 提供标准框架。 对于使用 Microsoft Azure 或 Office 365的组织,Microsoft 根据云计算中的共担责任模型管理这些云服务的 BIR 2012 部分控制措施。 因此,需要遵守 BIR 2012 的组织需要确定其使用的基础 Microsoft 服务是否符合 BIR 2012。

BIR 覆盖率报告提供了指南,其中 BIR 标准由 Microsoft 云服务可用的现有 ISO 27001 认证覆盖。 如果 ISO 27001 未涵盖其他 BIR 控制,则会引用其他独立证明、审核文档或合同声明。

Microsoft 和 BIR 2012

虽然 Microsoft 不受 BIR 2012 合规性的约束,但寻求使用云服务的政府部门的客户可以使用 Microsoft 的现有认证来确定其符合此标准。 Azure 和 Office 365 接受各种定期独立认证和证明,其中一些与 BIR 2012 密切相关。

下载 Microsoft Cloud:Azure 和 Office 365 BIR-2012 基线覆盖率用户指南

Microsoft 范围内的云平台和云服务

  • Azure
  • Intune
  • Office 365

Office 365 和 BIR 2012

Office 365环境

Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。

本部分介绍以下Office 365环境:

  • 客户端软件(客户端):客户设备上运行的商业客户端软件。
  • Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
  • Office 365 政府社区云 (GCC)Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
  • Office 365 政府社区云 - 高 (GCC High)Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
  • Office 365 DoD (DoD)Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。

使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。

你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。

Office 365 适用性和范围内的服务

使用下表确定 Office 365 服务和订阅的适用性:

适用性 范围内服务
商业 Azure 信息保护、Bookings、Exchange Online Protection、Exchange Online、Kaizala、Microsoft Analytics、Microsoft Booking、Microsoft Graph、Microsoft Teams、Microsoft To-Do for Web、MyAnalytics、Office 365 云应用安全Office 365组、Office Delve、OneDrive for Business、Planner、Power Apps、Power Automate、Power BI for Office 365、PowerApps、SharePoint Online、Skype for Business、StaffHub、Stream、Sway、Viva Engage

审核、报告和证书

Microsoft 聘请了一家独立的第三方审计公司来分析当前的 Azure 和 Office 365 认证和证明(如 ISO/IEC 27001 和 SOC 2 Type 2)在多大程度上涵盖 Microsoft 负责的 Bir 2012 部分。 生成的报告会提供这些现有认证和证明与 BIR 2012 标准中列出的控制措施的对应关系。 客户可以使用该报告作为工具,帮助以符合 BIR 2012 的方式采用 Azure。 该报告清楚地展示了 Microsoft 涵盖了哪些 BIR 2012 控制措施,以及哪些控制措施仍有待客户实施。 “Microsoft 云:Azure 和 Office 365 Bir 2012 基准覆盖范围”报告可从“服务信任门户审计报告 - GRC 评估报告”部分下载。

常见问题解答

Microsoft BIR 2012 已经过认证?

BIR 合规性的责任适用于政府部门。 它要求组织实施信息安全管理系统,并通过适当的技术和组织措施来应对风险。 对于 Microsoft 作为云服务提供商角色,BIR 合规性不是目标,在技术上也不可行。 客户实施或使用 Microsoft 云服务时,这些服务可能在 BIR 评估范围内。 但是,组织必须添加自己的(其他)控件、选择和过程,它们是 BIR 总体评估的一部分。 该报告的目的是证明政府机构可以符合 BIR 2012 的方式采用 Microsoft 云服务。

使用 Microsoft 云服务的客户符合 BIR 2012 吗?

证明 BIR 合规性是客户的责任。 使用云服务供应商的客户通常要求供应商提供保证,并添加自己的 (其他) 技术和组织决策、选择和流程。 这将使得客户对 BIR 合规性进行全面评估,可将其提交到第三方审核员进行审核或获得认证。 BIR 覆盖率报告提供 Microsoft 云服务所覆盖的 BIR 控件的深入介绍,但这不包括端到端合规性。

报告不显示 100% 的覆盖率。 BIR 2012 合规性是否不可行?

Microsoft 云服务提供很多控件,可帮助荷兰内的组织满足其 BIR 合规性需求。 但是,组织需要通过其自己的实施选择、其他技术控件和管理流程来补充这些供应商的保证。 该报告显示了适用控件的完整列表中超过 91% 的直接覆盖率。 对于其他控件,Microsoft 将在报告中提供有关这些控件如何证明合规性的指南。

BIR 覆盖率报告是否具有法律约束力的文档?

否。 它是客户内部 BIR 保证流程的支持工具,有助于树立BIR 合规性可行的信心和信任。 该报告属于描述性文档,并且包含法律免责声明。

我们是否可以共享此报告?

该报告是根据保密协议提供给客户的,基础是该报告仅供客户参考,并且不会通过 Microsoft 服务信任平台以外的其他渠道进行复制或披露。 客户可以在其合规性或保证流程中与自己的内部或外部审核员共享该报告。

资源