Baseline Informatiebeveiliging Rijksdienst Standard (BIR 2012)

BIR 2012 – Übersicht

Unternehmen, die im staatlichen Sektor in der Niederlanden tätig sind, müssen ihre Compliance mit dem Baseline Informatiebeveiliging Rijksdienst Standard (BIR 2012) nachweisen. Der BIR-2012 ist ein Standardrahmenwerk, das auf ISO 27001 und ISO 27002 basiert. Für Organisationen, die Microsoft Azure oder Office 365 verwenden, verwaltet Microsoft einen Teil der BIR 2012-Kontrollen für diese Clouddienste gemäß dem Modell der gemeinsamen Verantwortung im Cloud Computing. Organisationen, die BIR 2012 einhalten müssen, müssen daher ermitteln, ob die zugrunde liegenden Microsoft-Dienste, die sie verwenden, mit BIR 2012 kompatibel sind.

Der BIR-Bericht zeigt auf, an welchen Stellen die BIR-Standards durch vorhandene ISO 27001-Zertifizierungen abgedeckt sind, die für die Microsoft Cloud Services verfügbar sind. Wenn zusätzliche BIR-Kontrollen vorhanden sind, die nicht unter ISO 27001 fallen, werden Verweise auf andere unabhängige Nachweise, Überwachungsdokumentationen oder Vertragserklärungen vorgenommen.

Microsoft und BIR 2012

Microsoft unterliegt zwar nicht der BIR 2012-Compliance, aber Kunden aus dem Regierungssektor, die Clouddienste nutzen möchten, können die vorhandenen Zertifizierungen von Microsoft verwenden, um ihre Konformität mit diesem Standard zu bestimmen. Azure und Office 365 werden regelmäßig verschiedenen Zertifizierungen und Bescheinigungen unterzogen, von denen einige eng mit dem BIR 2012 zusammenhängen.

Benutzerhandbuch „Microsoft Cloud: BIR-2012 Baseline-Abdeckung für Azure und Office 365“ herunterladen

In Microsoft eingeschlossene Cloudplattformen und -Dienste

  • Azure
  • Intune
  • Office 365

Office 365 und BIR 2012

Office 365 Umgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
Kommerziell Azure Information Protection, Bookings, Exchange Online Protection, Exchange Online, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, Microsoft To-Do für Web, MyAnalytics, Office 365 Cloud App Security, Office 365 Gruppen, Office Delve, OneDrive for Business, Planner, Power Apps, Power Automate, Power BI für Office 365, PowerApps, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Viva Engage

Prüfungen, Berichte und Zertifikate

Microsoft hat eine unabhängige externe Wirtschaftsprüfungsgesellschaft beauftragt, zu analysieren, inwieweit aktuelle Azure- und Office 365-Zertifizierungen und -Bescheinigungen (wie ISO/IEC 27001 und SOC 2 Typ 2) den Teil von BIR 2012 abdecken, für den Microsoft verantwortlich ist. Der resultierende Bericht bietet eine Zuordnung dieser bestehenden Zertifizierungen und Bescheinigungen zu den im BIR 2012-Standard aufgeführten Kontrollen. Kunden können den Bericht als Tool verwenden, um Azure BIR 2012-auf konforme Weise einzuführen. Der Bericht zeigt deutlich, welche BIR 2012-Kontrollen von Microsoft abgedeckt werden und welche Kontrollen noch von den Kunden implementiert werden müssen. Der Bericht „Microsoft Cloud: Azure and Office 365 BIR 2012 Baseline Coverage“ kann im Abschnitt Service Trust Portals-Überwachungsberichte – GRC-Bewertungsberichte heruntergeladen werden.

Häufig gestellte Fragen

Ist Microsoft nach BIR 2012 zertifiziert?

Für den Regierungssektor gilt die Verantwortung für die BIR-Compliance. Das Unternehmen muss ein Managementsystem für Informationssicherheit einrichten und Risiken mit entsprechenden technischen und betrieblichen Maßnahmen entgegenwirken. Für Microsoft in seiner Rolle als Cloud Service-Anbieter, ist die BIR-Compliance weder ein Ziel, noch ist sie technisch machbar. Wenn Kunden Microsoft Cloud Services implementieren oder nutzen, können diese Dienste in den Anwendungsbereich einer BIR-Evaluierung fallen. Doch das Unternehmen muss eigene (zusätzliche) Kontrollen, Auswahlmöglichkeiten und Prozesse einrichten, die in den Umfang der gesamten BIR-Bewertung fallen. Mit dem Bericht soll nachgewiesen werden, dass eine Regierungsbehörde die Microsoft Cloud Services gemäß BIR 2012 übernehmen kann.

Sind Kunden, die Microsoft Cloud Services nutzen, konform mit BIR 2012?

Der Nachweis der BIR-Compliance liegt in der Verantwortung des Kunden. Kunden, die einen Clouddienstanbieter verwenden, fordern in der Regel Zusicherungen vom Anbieter und fügen ihre eigenen (zusätzlichen) Technologie- und Organisationsentscheidungen, Entscheidungen und Prozesse hinzu. Das führt zu einer Gesamtbeurteilung durch den Kunden bezüglich seiner BIR-Compliance, die für eine externe Überprüfung oder Zertifizierung eingereicht werden kann. Der BIR-Bericht bietet einen Überblick über die BIR-Kontrollen, die von Microsoft Cloud Services abgedeckt werden, weist aber keine durchgängige Compliance nach.

Der Bericht zeigt keine 100 %-Abdeckung an. Ist die Bir 2012-Konformität nicht machbar?

Microsoft Cloud Services bieten zahlreiche Kontrollen, mit denen Unternehmen in den Niederlanden die BIR-Compliance erfüllen. Das Unternehmen muss diese Anbieterfunktionen trotzdem mit eigenen Implementierungsmöglichkeiten, zusätzlichen technologischen Kontrollen und Verwaltungsprozessen erweitern. Der Bericht weist bereits eine direkte 91%ige Abdeckung der gesamten Liste der anwendbaren Kontrollen auf. Für die verbleibenden Kontrollen stellt Microsoft im Bericht Anweisungen zur Verfügung, wie Compliance mit diesen Kontrollen nachgewiesen werden kann.

Ist der BIR-Bericht ein rechtskräftiges Dokument?

Nein. Es handelt sich um ein unterstützendes Tool für die internen BIR-Prozesse des Kunden, mit dem Vertrauen dafür erzeugt wird, dass die BIR-Compliance machbar ist. Der Bericht hat beschreibenden Charakter und enthält einen Haftungsausschluss.

Können wir diesen Bericht weitergeben?

Der Bericht wird Kunden im Rahmen einer Vertraulichkeitsvereinbarung unter der Voraussetzung zur Verfügung gestellt, dass er nur der Information von Kunden dient und weder kopiert noch über andere Kanäle als die Microsoft Service Trust Platform offengelegt wird. Kunden können den Bericht im Rahmen ihrer Compliance- oder Assurance-Prozesse an ihren eigenen internen oder externen Prüfer weitergeben.

Ressourcen