Esquema Nacional de Seguridad (ENS) Spaniens – Sicherheitsmaßnahmen
Übersicht über das ENS Spanien
2007 verabschiedete die spanische Regierung das Gesetz 11/2007, das eine Rechtsrahmen schuf, um Bürgern elektronischen Zugriff auf Systeme der Regierung und der öffentlichen Verwaltung bereitzustellen. Dieses Gesetz ist die Grundlage für Esquema Nacional de Seguridad (Nationales Sicherheitsframework), das durch das aktualisierte Königliche Dekret (RD) 311/2022 geregelt wird. Das Ziel des Rahmens ist der Aufbau von Vertrauen im Hinblick auf die Bereitstellung von elektronischen Diensten und sowie die Sicherstellung von Zugriff, Integrität, Verfügbarkeit, Authentizität, Vertraulichkeit, Nachverfolgbarkeit und Datenaufbewahrung, Informationen und Dienste.
Der Rahmen gilt für alle öffentlichen Organisationen und Regierungsstellen in Spanien, die Cloud Services in Anspruch nehmen sowie für Anbieter von Informations- und Kommunikationstechnologien (ICT). Der Rahmen leitet diese Stellen und Unternehmen bei der Implementierung effektiver Kontrollen für die Sicherheit in der Cloud und lokal an, und zwar unter Wahrung der Compliance mit spanischen und europäischen Sicherheits- und Datenschutzstandards.
Der Rahmen legt Kernrichtlinien und obligatorische Anforderungen fest, die sowohl Regierungsstellen als auch ihre Dienstanbieter erfüllen müssen. Er definiert eine Reihe von spezifischen Sicherheitskontrollen, von denen viele direkt auf ISO/IEC 27001 abgestimmt sind, in Bezug auf Verfügbarkeit, Authentizität, Integrität, Vertraulichkeit und Nachverfolgbarkeit. Die Vertraulichkeit der Daten – niedrig, mittel und hoch – bestimmt die Sicherheitsmaßnahmen, die zu ihrem Schutz ergriffen werden müssen.
Jede Regierungsstelle muss ein Risikomanagementansatz für die Sicherheit verfolgen, wobei sie Risiken identifizieren und bewerten und anschließend entsprechende Sicherheitskontrollen übernehmen. Dienstanbieter müssen ebenfalls die strengen Anforderungen des Rahmenwerks erfüllen, um sicherzustellen, dass ihre Verfahren, technischen Kapazitäten und Betriebsabläufe sicher sind und den Regierungsstellen ermöglichen, die Bestimmungen zu erfüllen.
Der Rahmen schreibt einen Akkreditierungsprozess vor, der für Systeme, die Daten mit niedriger Vertraulichkeitsstufe verarbeiten, freiwillig und für Systeme mit Daten mit mittlerer und hoher Vertraulichkeitsstufe obligatorisch ist. Von einem akkreditierten unabhängigen Auditor wird eine Prüfung durchgeführt. Der Bericht wird anschließend in einem Zertifizierungsprozess geprüft, bevor die Kontrollen zum Risikomanagement in der letzten Akkreditierungsstufe angenommen werden.
Sicherheitsmaßnahmen auf hoher Ebene von Microsoft und Spanien
Microsoft Azure und Microsoft Office 365 wurden einer strengen Bewertung durch BDO unterzogen, einen unabhängigen Auditor, der ihre Compliance offiziell bestätigte. BDO berichtet, dass die Sicherheitsmaßnahmen bei beiden Diensten und deren Informationssysteme und Datenverarbeitungseinrichtungen auf hohem Niveau mit RD 3/2010 übereinstimmen und keine Korrekturmaßnahmen zu ergreifen sind. Microsoft war der erste Anbieter hyperskalierter Clouddienste, der diese Zertifizierung in Spanien erhielt.
In Microsoft eingeschlossene Cloudplattformen und -Dienste
- Azure
- Microsoft 365 & Microsoft 365 for Education
- Dynamics 365
Microsoft 365 und ENS High
Microsoft 365-Umgebungen (Office 365)
Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.
In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:
- Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
- Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
- Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
- Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
- Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.
Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.
Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.
Anwendbarkeit von Microsoft 365 & Microsoft 365 für Bildungseinrichtungen und dienste im Bereich
Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Microsoft 365- und Microsoft 365 for Education-Dienste und -Abonnements zu bestimmen:
| Anwendbarkeit | Im Leistungsumfang enthaltene Dienste |
|---|---|
| Kommerziell | Microsoft Viva (umfasst Connections, Insights, Learning und Engage), Microsoft 365 (einschließlich Word, Excel, PowerPoint, Outlook, Sharepoint, Exchange, OneNote, OneDrive, Microsoft Planner, Sway, Whiteboard, Delve, Microsoft Forms, Microsoft To Do und Windows), Microsoft Purview (umfasst Audit, Adaptative Protection, Communication Compliance, eDiscovery, Compliance Manager, Information Protection, Data Lifecycle Management, Insider Risk Management, Data Loss Prevention und Unified Data Governance (auch bekannt als Azure Purview), Microsoft Teams (einschließlich Audiokonferenzen und Telefonsystem), Microsoft Outlook Web App, Microsoft Outlook Mobile, Microsoft Copilot für Microsoft 365, Copilot in Windows, Microsoft Copilot mit kommerziellem Datenschutz, Microsoft Exchange Online Protection, Microsoft Defender XDR (umfasst Microsoft Defender for Endpoint, Microsoft Defender for Identity und Microsoft Defender for Office 365 und Microsoft Defender for Cloud Apps), Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Defender for Office 365, Microsoft Defender for Cloud Apps, Microsoft Intune |
Dynamics 365 und ENS High
Dynamics 365 Anwendbarkeits- und Bereichsbezogene Dienste
Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Dynamics 365 Dienste und Ihr Abonnement zu bestimmen:
| Anwendbarkeit | Im Leistungsumfang enthaltene Dienste |
|---|---|
| Kommerziell | Copilot Studio, Dynamics 365 Sales, Dynamics 365 Customer Insights Journey, Dynamics 365 Customer Insights-Daten, Dynamics 365 Finance, Dynamics 365 Supply Chain Management, Dynamics 365 Business Central, Dynamics 365 Customer Service (einschließlich Omnichannel), Dynamics 365 Field Service (einschließlich Remote Assist), Dynamics 365 Personalwesen, Dynamics 365 Project Operations, Dynamics 365 Commerce, Dynamics 365 Fraud Protection, Dynamics 365 Customer Voice, Power Platform (umfasst Power BI, Power Apps, Power Automate und Power Pages), Copilot in Power Platform (einschließlich Copilot für Power Apps, Copilot für Power Automate, Copilot für Power Pages und Copilot für Power BI), Copilot für Vertrieb, Copilot für den Service, Copilot für Finanzen, Copilot für Dynamics 365 |
Microsoft Azure und ENS High
Anwendbarkeits- und Bereichsbezogene Dienste in Azure
Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Azure-Dienste und Ihr Abonnement zu bestimmen:
| Anwendbarkeit | Im Leistungsumfang enthaltene Dienste |
|---|---|
| Kommerziell | Azure Confidential Computing, Microsoft Entra (einschließlich Entra ID, Entra ID Governance, Entra External ID, Entra Domain Services, Entra Verified ID, Entra Permissions Management, Entra Workload ID, Entra Internet Access y Entra Private Access), Azure Site Recovery, Azure Virtual Network, Azure ExpressRoute, Azure Load Balancer, Azure Backup, Azure AI Services (einschließlich Azure OpenAI, Azure Cognitive Search, Azure KI Vision, Azure AI Custom Vision, Azure AI Language, Azure AI Speech, Azure AI Translator, Azure AI Document Intelligence, Azure AI Bot Service, Azure AI Audio & Video, Azure AI Anomalieerkennung, Azure KI Inhaltssicherheit, Azure AI Personalizer, Azure AI Metrics Advisor y Azure AI Plastischer Reader), Azure KI Studio (einschließlich Azure OpenAI Studio, Azure Machine Learning Studio, Azure Language Studio, Azure Speech Studio, Azure Vision Studio, Azure Custom Translator Studio, Azure Document Intelligent Studio und Azure Content Safety Studio), Copilot for Azure, Azure SQL, Azure Cosmos DB, Azure SQL Datenbank, Azure Database for PostgreSQL, Azure SQL Managed Instance, Azure Database for MySQL, Azure Cache for Redis, Azure Database for MariaDB, Azure Storage (einschließlich Blob, Archiv, Datenträger, File y Data Box), Azure Synapse Analytics |
| Azure Databricks, Azure Data Factory, Azure HDInsight, Azure Analysis Services, Azure Data Lake, Azure Data Lake Analytics, Microsoft Fabric, Fabric Copilot, Power BI Embedded, Azure DevOps, Azure IoT Hub, Azure Event Hubs, Azure Log Analytics, Azure Monitor, Azure Key Vault (einschließlich Standard, Premium y Managed HSM), Microsoft Sentinel, Microsoft Copilot for Security, Microsoft Defender für IoT, Microsoft Defender für Cloud, Microsoft Defender Cloud Security Posture Management, Microsoft Defender External Attack Surface Management (EASM), Azure DDOS Protection, Azure Firewall, Azure Firewall Manager, Azure Web Application Firewall, Azure Application Gateway, Azure VPN Gateway, Azure Bastion, Azure Virtual Machines, Azure Kubernetes Service, Azure Container Instances, Azure Container Registry, Azure Containers Apps, Azure App Service, Azure Web-Apps, Azure Logic Apps, Azure API Management, Azure Service Bus, Azure Event Grid, Azure VMWare Solution, Azure Virtual Desktop (AVD), Azure Arc, Azure NetApp Files |
Prüfungen, Berichte und Zertifikate
Die Zertifizierung ist zwei Jahre gültig, wobei eine jährliche Kontrollprüfung durchgeführt wird.
Azure
- Azure National Security Framework (ENS)-Zertifikat (Spanisch)
- Azure National Security Framework (ENS) Audit Report (Spanisch)
Microsoft 365 und Microsoft 365 for Education
- Microsoft 365 & Microsoft 365 for Education National Security Framework (ENS)-Zertifikat (Spanisch)
- Microsoft 365 & Microsoft 365 for Education National Security Framework (ENS) Audit Report (Spanisch)
Dynamics 365
- Dynamics 365 ENS-Zertifikat (National Security Framework) (Spanisch)
- Auditbericht des Dynamics 365 Nationalen Sicherheitsrahmens (ENS) (Spanisch)
Häufig gestellte Fragen
Wie erhalte ich Kopien der Prüfberichte und Zertifizierungen?
Das Service Trust Portal stellt die Prüfberichte und Zertifizierungen sowohl in spanischer als auch in englischer Sprache zur Verfügung. Anhand der Berichte können Ihre Prüfer die Ergebnisse der Microsoft Cloud Services mit Ihren eigenen gesetzlichen Anforderungen vergleichen.
Wo beginne ich mit dem Complianceprozess für meine eigene Organisation?
Wenn Ihre Organisation Azure oder Office 365 verwendet, können Sie die ENS-Prüfberichte und Akkreditierung von Microsoft für Ihren eigenen Akkreditierungsprozess verwenden. Sie sind jedoch dafür verantwortlich, einen Auditor mit der Bewertung Ihrer Implementierung im Hinblick auf die Compliance zu beauftragen. Außerdem müssen Sie sicherstellen, dass die Kontrollen und Prozesse in Ihrer Organisation dem Rahmenwerk entsprechen.
Ressourcen
- Esquema Nacional de Seguridad of Spain(Spanisch and Englisch)
- Microsoft Online Services-Nutzungsbedingungen
- Compliance im Microsoft Trust Center