了解 Microsoft 安全策略和标准计划
Microsoft 安全策略和标准计划是 Microsoft 策略框架的一部分,为所有 Microsoft 员工、工程组和业务部门提供全面的安全治理计划。 由于安全要求不断变化,以应对新技术、法规和合规性要求以及安全威胁,因此 Microsoft 会定期更新安全策略和支持文档,以保护 Microsoft 系统和客户、履行我们的承诺以及维护客户信任。
Microsoft 安全策略和标准计划
Microsoft 安全策略和标准计划分为策略、标准、要求和基线。 政策、标准和要求提供了企业范围的指导,以支持整个 Microsoft 的一致安全和隐私实践。 单个业务部门(如 Microsoft 365)使用标准操作程序 (SOP) 来详细说明其业务部门如何实现这些要求。
Microsoft 安全策略和标准计划及其相关安全要求包括:
- Microsoft 安全策略 (MSP):MSP 是适用于所有 Microsoft 员工的安全目标的非技术集合。 MSP 中的目标指导整个 Microsoft 的所有安全策略、标准和要求。
- Microsoft 安全计划策略 (MSPP):Microsoft 安全策略计划 (MSPP) 定义了一组常见的安全目标,以推动实现预期安全结果的治理框架。 MSPP 适用于但不限于在 Microsoft 软件和/或服务的创建、维护和/或操作期间担任开发、运营、安全、合规性和审计角色的 Microsoft 员工。
- 标准:在线服务安全标准 (OSSS) 和企业信息安全标准 (EISS) 概述了企业范围内的联机服务和企业安全性要求。 OSSS 指导所有联机服务的安全性,而 EISS 由公司安全团队实现。
- 要求:要求比标准更详细,并提供适用的系统和业务部门必须满足的具体技术实现。 例如,任何开发 Microsoft 产品或服务的业务部门都必须实现 Microsoft 的安全开发生命周期 (SDL), 以强制实施安全开发实践。 Microsoft 的其他要求包括安全运行生产系统的操作安全保障 (OSA),用于安全公钥加密的公钥基础结构 (PKI),以及用于保护和验证代码完整性的软件完整性 (SI) 要求。
- 标准操作过程 (SOP):单个产品组和业务部门使用 SOP 来详细说明其组织如何实现标准和要求以满足 MSP 中定义的安全目标。
MSP 和 MSPP 角色和职责
Microsoft 安全策略 (MSP) 和 Microsoft 安全计划策略 (MSPP) 的更新由客户安全性和信任(Microsoft 公司、外部和法律事务 (CELA) 下的业务部门)领导,并提供来自所有相关工程组和业务部门的输入。 客户安全与信任的 CVP 和公司战略的 CISO 作为对 MSP 的所有更改的最终批准人。
MSP 和 MSPP 审查过程
Microsoft 安全策略、标准和要求至少每年都会进行审查和更新。 年度安全策略修订版考虑各种因素,包括:
- 对外部法规或合规性要求的更改。 示例包括对外部标准(如 ISO 或 NIST)的法规或更新。 安全策略修订过程包括审查所有建议的更改,以确保与适用的法规保持一致。
- 对安全环境的更改。 这包括新出现的威胁、安全问题以及从过去事件中学到的教训。
- 更改业务和客户需求。 随着业务的变化,可能需要更新策略和标准,以应对新的技术。 例如,新产品和服务可能需要新的安全方法。
相关利益干系人、其代表和审查人员评估不断变化的条件可能要求怎样更新 Microsoft 安全策略和标准。 建议的更改将提交给相关审查人员以供审批。 审查完成后,Microsoft 业务部门将传播和实施更新版本的 Microsoft 安全策略和标准,这些业务部门更新其标准操作过程 (SOP),以适应对其特定于组织的安全实施的任何更改。
例外处理
Microsoft 安全策略和标准的例外情况代表了与要求的偏差,并且该偏差具有合法的业务理由。 所有例外均由相应的治理实体审核和批准。 根据例外的范围及其表示的潜在风险,可能需要相应主管的例外批准。 必须在相应的工具中跟踪所有例外情况。