探索 Microsoft 365 信息安全策略
Microsoft 的业务部门和产品组负责实施 Microsoft 安全策略和标准计划的安全策略、标准以及要求。 Microsoft 365 会在 Microsoft 365 信息安全策略中记录这些安全实施。 此策略遵循 Microsoft 安全策略并治理 Microsoft 365 信息系统,包括收集、处理、维护、使用、共享、传播和处置数据过程中涉及的所有 Microsoft 365 环境和所有资源。
范围
Microsoft 365 信息安全策略旨在使 Microsoft 365 能够根据最佳做法运行、实现建立和维护客户信任的企业目标、遵守法规要求和客户承诺,以及支持有关Microsoft 365 服务的保密性、完整性和可用性的公开承诺。
Microsoft 365 信息系统包含以下由 Microsoft 365 信息安全策略治理的组件:
- 基础结构: Microsoft 365 系统的物理和硬件组件(机构、设备以及网络)
- 软件: Microsoft 365 系统(系统、应用程序以及实用工具)的程序和操作软件
- 人员: 参与操作和使用 Microsoft 365 系统的人员(开发人员、操作员、用户以及经理)
- 过程: Microsoft 365 系统操作中涉及的已编程过程和手动过程
- 数据: 由 Microsoft 365 系统生成、收集和处理的信息(事务流、文件、数据库以及表格)
所有 Microsoft 365 信息系统组件都由 Microsoft 365 信息安全策略治理。
Microsoft 365 控制框架
Microsoft 365 信息安全策略由 Microsoft 365 控制框架补充。 Microsoft 365 控制框架详细介绍了所有 Microsoft 365 服务和信息系统组件的最低安全要求,并引用了每项控制背后的法律和企业要求。 该框架包含控制活动名称、说明以及指南,以确保服务团队高效实施控制。 Microsoft 365 使用控制框架跟踪内外部报告的控制实施的证据。
控制框架由以下关键域区域中的 18 个目标组成:
- 访问控制(AC)
- 认知与培训(AT)
- 审核与责任(AU)
- 安全评估(CA)
- 配置管理(CM)
- 应变计划(CP)
- 标识与身份验证(IA)
- 事件响应(IR)
- 维护(MA)
- 媒体保护(MP)
- 物理访问(PE)
- 安全计划(PL)
- 计划管理(PM)
- 人员安全(PS)
- 风险评估(RA)
- 系统与服务获取(SA)
- 系统与通信保护(SC)
- 系统与信息完整性(SI)
角色与责任
Microsoft 365 内的每个服务团队都指定了相关个人,以负责推动遵守 Microsoft 365 信息安全策略、实施相关安全控制以及验证控制已正确实施。 下表简要总结了相关角色及其在推动与 Microsoft 365 信息安全策略保持一致方面的重要责任。
| 角色 | 责任说明 |
|---|---|
| 信息系统安全官 | 负责维护信息系统的操作安全状况的个人。 |
| GRC 合规部主管 | 负责定义最低安全需求并验证 Microsoft 365 满足这些需求的个人。 |
| EVP、体验 + 设备 | 负责为工程组设置战略方向(包括安全和合规性目标)的高层经理。 |
| 服务团队合规性冠军 | 每个服务团队中协助服务团队成员实施策略和标准要求的专家。 |
| 服务团队成员 | 负责实施策略和标准要求的可问责服务团队成员。 |
Microsoft 365 控制框架更新
Microsoft 365 信任团队致力于持续维护内部 Microsoft 365 控制框架。 几种情况可能需要信任团队更新控制框架,包括:相关法规或法律的更改、新出现的威胁、渗透测试结果、安全事件、审核反馈和新合规性要求。 如果需要进行框架更改,信任团队会确定负责批准和实施更改的关键利益干系人,以确保该更改是可行的,并且不会对 Microsoft 365 服务造成意外问题。 信任团队和相关利益干系人就更改要求达成一致后,负责实施更改的工作负载将设置目标完成日期,并努力在其各自的服务中实施更改。 满足实现目标后,信任团队使用新的或更新的控件更新控制框架。
异常流程
Microsoft 365 信息安全策略的所有异常都必须具有合法的业务理由,且必须获得 Microsoft 365 内相应治理实体的批准。 异常还必须获得服务团队管理的批准,并记录在 Microsoft 365 风险管理工具中。 根据异常的范围及其代表的潜在风险,可能需要获得公司副总裁或更高层对异常的批准。 异常会输入到 Microsoft 365 风险管理工具中。在该工具中,这些异常会进行评审和批准以保持相关性。