金融行业信息系统中心 (FISC)
FISC 概述
金融行业信息系统中心 (FISC) 是日本财务省于 1984 年建立的一家非盈利组织,旨在宣传日本银行计算机系统的安全性。 日本大约有 700 家公司是支持成员,包括主要金融机构、保险和信用公司、证券公司、计算机制造商以及电信企业。
通过与其成员机构、日本银行和金融厅(负责监管日本的银行、证券交易和保险的政府组织)协作,FISC 为确保银行信息系统的安全制定了相关指南。 其中包括计算机系统控制的基本审核标准、发生灾难时的应急计划以及 300 多项控制措施中所包括的安全政策和标准的制定。
虽然在云计算环境中应用这些指南不是法规所要求的,但实施云服务的大多数日本金融机构都建立了符合这些安全标准的信息系统,并且难以证明违反这些安全标准是有道理的。 (2015 年颁发的最新指南“Version 8 Supplemental Revised”中增加了与金融机构使用云服务和网络攻击对策相关的两条修订内容。)
符合此框架不是法规所要求的,FISC 不会对此进行审核或以其他方式进行验证。
Microsoft 和 FISC
Microsoft 聘请了外部评估人员来验证 Microsoft Azure、Dynamics 365 和 Microsoft Office 365 是否满足 FISC 金融机构计算机系统安全指南第 9 版修订版的要求。 Microsoft 在以下每个方面均提供了合规性证据:
- 有关建筑物和计算机机房、电力、空调、数据中心及设施监视的数据中心指南。
- 有关组织、培训、访问控制、系统开发和审核的操作指南。
- 有关实施提高硬件和软件可靠性的措施以及安全风险对策(包括数据保护、防止未授权使用、威胁检测和灾难恢复)的技术指南。
金融机构可以依赖于 Azure、Dynamics 365、Office 365和Microsoft Defender for Cloud Apps范围内基础结构和平台服务的这三个领域的合规性评估。
Microsoft 范围内的云平台和云服务
- Azure
- Intune
- Microsoft Defender for Cloud Apps
- Office 365
- Power BI 云服务(作为独立服务提供,或者随 Office 365 品牌计划或套件一并提供)
Office 365 和 FISC
Office 365环境
Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。
本部分介绍以下Office 365环境:
- 客户端软件(客户端):客户设备上运行的商业客户端软件。
- Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
- Office 365 政府社区云 (GCC):Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
- Office 365 政府社区云 - 高 (GCC High):Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
- Office 365 DoD (DoD):Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。
使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。
你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。
Office 365 适用性和范围内的服务
使用下表确定 Office 365 服务和订阅的适用性:
| 适用性 | 范围内服务 |
|---|---|
| 商业 | Access Online、Microsoft Entra ID、Delve、Exchange Online、Exchange Online Protection、Microsoft Teams、Office 365 专业增强版、Office Online、OneDrive for Business、Power BI for Office 365、Project Online、SharePoint Online、Skype for Business |
常见问题解答
FISC 准则适用于哪些人员?
希望验证其系统安全性、可靠性和审核方案并符合日本已构建的最佳实践的日本银行及其他金融机构遵循 FISC 指南。
在哪里可以获得有关 FISC Version 8 要求的更多信息?
FISC 发布了其专家委员会出具的两份报告:
在哪里可以详细了解 Microsoft 针对 FISC 框架的响应举措?
有关评估 Microsoft 云服务 FISC 符合性的第三方的安全参考,请联系你的 Microsoft 帐户代表。
能否在我所在组织的资格认定过程中利用 Microsoft 针对此框架的响应举措?
是。 不过,虽然第三方确认 Microsoft 对此框架的响应符合法规要求,但由客户负责验证他们在 Azure 或 Office 365 上实施的解决方案的合规性。