CyberGRX
CyberGRX 評估方法可識別固有和剩餘的風險,並使用近乎實時的威脅分析和獨立辨識項驗證,為客戶提供其第三方網路風險狀態的整體檢視。
CyberGRX 是全球第一個也是最大的共同作業風險交換。 CyberGRX 的分析方法只會從一個經過驗證的評量中建置威脅情報和複雜的風險模型。 CyberGRX 評量透過數據安全性和隱私權風險的深入解析,不僅提供殘餘風險的深入見解,還結合了攻擊案例模型化和 MITRE ATT&CK 終止鏈 ,以監視威脅環境中不斷演進的策略和技術。
Microsoft 和 CyberGRX
CyberGRX 利用其策略性合作夥伴 Deloitte 和 Touche 和 KPMG,已驗證並回報 Microsoft Cloud 的評量,其中包含超過 1,000 個安全性問題和對應的 Microsoft 回應。 CyberGRX 可解決固有的風險、產業特定的威脅情報,以及真實世界的攻擊案例。 這可讓客戶使用外部辨識項來驗證 Microsoft 的安全性狀態,以產生著重於風險的結果,而不是簡單的合規性。
Microsoft 瞭解客戶必須使用有效率的車輛,以協助其組織評估風險,包括評估可能因為使用第三方進行重要服務而假設的潛在風險,像我們一樣。 身為全球最大的雲端服務提供者之一,Microsoft 瞭解我們的客戶群是廣泛且多樣化的,而且這些客戶的優先順序各不相同,而且來自各種產業。 若要調整這些多樣化的需求,Microsoft 必須尋找有效的方法,以擴大和擴充我們分享重要知識的能力,以協助所有客戶符合其安全性優先順序,而不論他們使用何種 Microsoft 雲端服務。 與 CyberGRX 等第三方評定公司共同作業,是協助客戶更靈活地進行風險評估的其中一種方式。
CyberGRX 的模型讓對 Microsoft Cloud 安全性控件實作感興趣的組織能夠選取他們最感興趣的控件,並提供已驗證的回應以供其檢閱。 Microsoft 受益於此模型,因為我們也可以靈活地提供更新,而我們的回應可供 CyberGRX 交換的任何成員使用,讓更多客戶能夠存取此重要資訊。 簡言之,CyberGRX 可協助 Microsoft 觸及更多具有風險評估需求的客戶,並強調我們對透明度和安全性的承諾。
此外,客戶可以使用 CyberGRX 的架構對應程式功能,將我們的評定控件和回應對應至知名的業界標準和架構,例如 NIST 800-53、 NIST 網路安全性架構 (CSF) 、 ISO 27001、 PCI DSS、 HIPAA,這些全都可大幅降低您因應的審查負擔。
Microsoft 範圍內的雲端平臺 & 範圍內的服務
- Azure
- Dynamics 365
- Microsoft 365
- Power Platform
如需 CyberGRX 稽核範圍中 Microsoft 線上服務 的完整清單,請參閱:
Office 365和 CyberGRX
Office 365環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋下列 Office 365 環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
適用性 | 範圍內服務 |
---|---|
商業 | Cortana、Customer Lockbox、Exchange Online 封存、Exchange Online Protection、Exchange Online、Kaizala 專業版、Microsoft Bookings、Microsoft Forms、Microsoft MyAnalytics、Microsoft Planner、Microsoft StaffHub、Microsoft Stream、Microsoft Teams (包括 Bookings、清單 和 Shifts) 、Microsoft To-Do、適用於 Office 365 的 Microsoft Defender、Office 365 Video、Office 網頁版、商務用 OneDrive、Project、SharePoint Online、商務用 Skype Online、Sway、Whiteboard、Viva Engage |
稽核、報告和憑證
若要存取 Microsoft Cloud 的免費 CyberGRX 評量報告, 請填寫此窗體。
實作方法
- 財務使用案例:使用案例概觀、教學課程和其他資源來建置適用於金融服務的 Microsoft Cloud 解決方案。
- 美國金融服務法規:Microsoft 線上服務如何與美國金融機構的重要法規期望保持一致。
常見問題集
如需 CyberGRX 驗證方法、成熟度評分模型和其他相關領域的詳細資訊,請參閱 安全性評定常見問題。