ISO/IEC 27001:2013 資訊安全性管理標準

ISO/IEC 27001 概觀

國際標準組織 (ISO) 是獨立的非政府組織，以及全球最大的自願性國際標準開發者。 國際電子電機委員會 (IEC) 是準備和出版適用於電氣、電子及相關技術國際標準的世界領導組織。

與 ISO/IEC 小組委員會共同發佈，ISO/IEC 27000 系列的標準概述數以百計的控制項和控制機制，可協助各種類型和規模的組織保持資訊資產安全。 這些全球標準提供原則和程序的架構，包括組織資訊風險管理程序中牽涉到的所有法律、實體和技術控制項。

ISO/IEC 27001 是安全性標準，正式指定想要在明確管理控制之下帶來資訊安全性的資訊安全管理系統 (ISMS)。 作為正式規格，它會規定如何實作、監控、維護及持續改善 ISMS 的需求。 它還規定一組最佳做法，其中包含文件需求、責任劃分、可用性、存取控制、安全性、稽核，以及更正和預防措施。 ISO/IEC 27001 的認證可協助組織遵循與資訊安全性相關的眾多法規和法律需求。

Microsoft 和 ISO/IEC 27001

ISO/IEC 27001 在國際上的接受度和適用性，是取得此標準認證為最首要 Microsoft 實作及管理資訊安全性的主要原因。 Microsoft 達到 ISO/IEC 27001 認證，從商務、安全性合規性立場，表達了它為客戶提供良好服務的承諾。 目前 Azure 公用和 Azure 德國針對 ISO/IEC 27001 合規性，由第三方合格驗證實體一年進行一次稽核，提供安全性控制有實施並有效運作的獨立驗證。

瞭解 Microsoft 雲端上的 ISO/IEC 27001 優點： 下載 ISO/IEC 27001：2013。

Microsoft 範圍內雲端平台與服務

• Azure、Azure Government 和 Azure 德國
• Azure DevOps Services
• Microsoft 雲端 App 安全性
• 適用於端點的 Microsoft Defender
• Dynamics 365、Dynamics 365 Government 和 Dynamics 365 德國
• Microsoft Graph
• Microsoft Healthcare Bot
• Intune
• Microsoft 受管理的電腦
• Power Automate (先前為 Microsoft Flow) 雲端服務可作為獨立服務或包含在 Office 365 或 Dynamics 365 品牌方案或套件中
• Office 365、Office 365 美國政府和 Office 365 美國政府國防版
• Office 365 德國
• OMS 服務對應
• PowerApps 雲端服務可作為獨立服務或包含在 Office 365 或 Dynamics 365 品牌方案或套件中
• Power BI 雲端服務可作為獨立服務或包含在 Office 365 品牌方案或套件中
• Power BI Embedded
• Power Virtual Agent
• Microsoft 專業服務
• Microsoft Stream
• Microsoft 威脅專家
• Microsoft Translator
• 主題
• Windows 365

Azure、Dynamics 365 和 ISO 27001

如需 Azure、Dynamics 365 和其他在線服務合規性的詳細資訊，請參閱 Azure ISO 27001 供應專案。

Office 365 和 ISO 27001

Office 365 環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台，也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如，美國) 以復原資料，但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列 Office 365 環境：

• 用戶端軟體 (用戶端)：客戶裝置上執行的商業用戶端軟體。
• Office 365 (商業)：全球都可使用的商業公用 Office 365 雲端服務。
• Office 365 政府社群雲端 (GCC)：Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
• Office 365 政府社群雲端 - High (GCC High)：Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計，嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
• Office 365 DoD (DoD)：Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計，控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務，請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊，請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議，如果您對組織的法規合規性有任何疑問，您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性：

適用性	範圍內服務
商業	Access Online、Microsoft Entra ID、Azure Communications Service、Compliance Manager、 客戶加密箱、Delve、Exchange Online、Exchange Online Protection、Forms、身分識別管理員、Lockbox (Torus) 、Microsoft Defender for Office 365、Microsoft Teams、Microsoft Viva Topics、MyAnalytics、Office 365 進階合規性附加元件、Office 365 客戶入口網站、Office 365 微服務 (包括但不限於 Kaizala、 ObjectStore、Sway、Power Automate、 PowerPoint Online 文件服務、查詢批注服務、學校數據同步、Siphon、語音、StaffHub、eXtensible Application Program) 、Office 365 安全性 & 合規性中心、Office Online、Office Pro Plus、Office Services 基礎結構、商務用 OneDrive、Planner、PowerApps、Power BI、Project Online、Microsoft Purview 客戶密鑰的服務加密、SharePoint Online、Skype商務用、 流
GCC	Microsoft Entra ID， Azure Communications Service， 合規性管理員、Delve、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Microsoft Viva Topics、MyAnalytics、Office 365 進階合規性附加元件、Office 365 安全性 & 合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype for Business、Stream
GCC High	Microsoft Entra ID、Azure Communications Service、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 進階合規性附加元件、Office 365 安全性 & 合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、Skype
DoD	Microsoft Entra ID、Azure Communications Service、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 進階合規 性附加元件、Office 365 安全性 & 合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、Power BI、SharePoint Online、Skype for Business

Office 365 稽核、報告和認證

Office 365 雲端服務針對 ISO 27001:2013 標準，至少一年稽核一次。

• Office 365 - 全球和德國 ISO 27001 - 資訊安全管理標準 - 認證

Office 365 評估和報告

• Microsoft 365 ISO 評定報告最終 (2023)
• Office 365 - ISO 27001、27017、27018、27701 適用性聲明 (2.23.2022)

常見問題集

為什麼 Office 365 的 ISO/IEC 27001 合規性很重要？

遵守這些標準 (由合格的稽核員確認)，展示 Microsoft 使用國際認可的程序和最佳做法來管理支援及提供服務的基礎結構和組織。 認證會驗證 Microsoft 已實作指導方針和一般原則，以起始、實作、維護及改善資訊安全性的管理。

我可以在哪裡取得 Office 365 服務的 ISO/IEC 27001 稽核報告和範圍聲明？

服務信任入口網站提供獨立稽核的合規性報告。 您可以使用此入口網站要求報告，讓您的稽核員可以比較 Microsoft 的雲端服務結果與您自己的法律和法規需求。

是否針對 Office 365 基礎結構失敗執行年度測試？

是。 適用於 Microsoft 雲端基礎結構和營運群組的年度 ISO/IEC 27001 認證程序包含營運復原能力的稽核。 若要檢視最新的認證，請選取下方的連結。

• Microsoft 365 和 Office 365 憑證： Office 365 - ISO 27001：2013 憑證 (2021-2024)

我要從何處著手組織自身的 ISO/IEC 27001 合規性工作？

採用 ISO/IEC 27001 是戰略承諾。 首先，請參閱 ISO/IEC 27000 目錄。

我是否可以在組織的認證中使用 Office 365 服務的 ISO/IEC 27001 合規性？

是。 如果您的企業需要適用於在 Microsoft 服務部署實作的 ISO/IEC 27001 認證，您可以在您的合規性評定中使用適用的認證。 不過，您有責任確保評定者有參與評估組織中的控制和程序，以及 ISO/IEC 27001 合規性的實作。

使用 Microsoft Purview 合規性管理員來評估您的風險

Microsoft Purview 合規性管理員 是 Microsoft Purview 合規性 入口網站中的一項功能，可協助您了解組織的合規性狀態，並採取動作來協助降低風險。 合規性經理針對企業版 E5 客戶提供此法規的預先建立評估。 可在合規性管理員的 [評估範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。

資源

• 將 Microsoft 網路方案對應至：NIST 網路安全性 (CSF)、CIS 控制和 ISO27001:2013 架構
• ISO/IEC 27001：2013 標準 (適用於購買)
• Microsoft 為資訊安全性設立了高標準 (BSI 案例研究)
• Microsoft 通用控制措施中樞合規性架構
• Microsoft Online Services 條款
• 適用於政府的 Microsoft 雲端