Center for Financial Industry Information Systems (FISC)

FISC – Übersicht

Das Center for Financial Industry Information Systems (FISC) ist eine gemeinnützige Organisation, die vom japanischen Finanzministerium 1984 eingerichtet wurde, um die Sicherheit von Bankcomputersystemen in Japan zu unterstützen. Etwa 700 Unternehmen in Japan sind unterstützende Mitglieder, einschließlich großer Finanzinstitute, Versicherungen und Kreditunternehmen, Wertpapierunternehmen, Computerhersteller und Telekommunikationsunternehmen.

In Zusammenarbeit mit seinen Mitgliedsinstitutionen, der Bank of Japan und Financial Services Agency (eine Finanzdienstleistungsaufsichtsbehörde, die für die Bereiche Bank, Wertpapiere und Börse sowie Versicherung in Japan zuständig ist) schuf das FISC Richtlinien für die Sicherheit von Bankeninformationssystemen. Diese enthalten grundlegende Prüfstandards für Computersystemkontrollen, Kontingentplanung im Notfall und die Entwicklung von Sicherheitsrichtlinien und -standards, die über 300 Kontrollen umfassen.

Obwohl die Anwendung dieser Richtlinien in einer Cloud Computing-Umgebung gesetzlich nicht vorgeschrieben ist, haben die meisten Finanzinstitute in Japan, die Cloud Services implementieren, Informationssysteme entwickelt, die diese Sicherheitsstandards erfüllen, und es kann schwierig sein, ein Abweichen von diesen Standards zu rechtfertigen. (Die aktuellen Richtlinien aus dem Jahr 2015, Version 8 Supplemental Revised, enthalten zwei zusätzliche Revisionen zur Verwendung von Clouddiensten durch Finanzinstitute und Gegenmaßnahmen bei Cyberangriffen.)

Die Konformität mit diesem Rahmenwerk ist gesetzlich nicht vorgeschrieben und wird vom FISC weder geprüft noch anderweitig validiert.

Microsoft und FISC

Microsoft beauftragte externe Prüfer, zu überprüfen, ob Microsoft Azure, Dynamics 365 und Microsoft Office 365 die Anforderungen der FISC-Sicherheitsrichtlinien für Computersysteme für Finanzinstitute 9. Auflage überarbeitet erfüllen. Microsoft legte Compliancenachweise in den folgenden Bereichen vor:

  • Datencenterrichtlinien für Gebäude und Computerräume, Stromversorgung, Klimatisierung, Datencenter- und Einrichtungsüberwachung.
  • Betriebliche Richtlinien für Organisationen, Schulung, Zugriffssteuerung, Systementwicklung und Prüfung.
  • Technische Richtlinien für Maßnahmen zur Verbesserung der Zuverlässigkeit von Hardware und Software und für Gegenmaßnahmen bei Sicherheitsrisiken, einschließlich Datensicherheit, Prävention im Hinblick auf nicht autorisierte Nutzung, Bedrohungserkennung und Notfallwiederherstellung.

Finanzinstitute können sich auf diese Bewertung der Konformität dieser drei Bereiche für die bereichsbezogene Infrastruktur und Plattformdienste von Azure, Dynamics 365, Office 365 und Microsoft Defender for Cloud Apps verlassen.

Zu Microsoft gehörende Cloudplattformen und -dienste

  • Azure
  • Intune
  • Microsoft Defender for Cloud Apps
  • Office 365
  • Power BI-Clouddienst (entweder als eigenständiger Dienst oder in einem firmenspezifischen Office 365-Plan oder einer -Anwendungssuite enthalten)

Office 365 und FISC

Office 365 Umgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
Kommerziell Access Online, Microsoft Entra ID, Delve, Exchange Online, Exchange Online Protection, Microsoft Teams, Office 365 ProPlus, Office Online, OneDrive for Business, Power BI für Office 365, Project Online, SharePoint Online, Skype for Business

Häufig gestellte Fragen

Für wen gelten die FISC-Richtlinien?

Die FISC-Richtlinien gelten für Banken und andere Finanzinstitute in Japan, die ihren Ansatz für Systemsicherheit, Zuverlässigkeit und Prüfung validieren und auf die in Japan etablierten bewährten Verfahren ausrichten möchten.

Wo erhalte ich Informationen über Version 8 der FISC-Anforderungen?

Das FISC hat zwei Berichte seines Expertenrats veröffentlicht:

Wo erhalte ich Details der Antworten von Microsoft auf das FISC-Rahmenwerk?

Wenn Sie Sicherheitsreferenzen von Drittanbietern benötigen, die die FISC-Compliance von Microsoft Cloud Services bewertet haben, wenden Sie sich an Ihren Microsoft-Kundenbetreuer.

Kann ich die Antworten von Microsoft auf dieses Rahmenwerk für den Qualifizierungsprozess meiner Organisation verwenden?

Ja. Auch wenn die Antworten von Microsoft im Hinblick auf dieses Regelwerk von Dritten als konform bestätigt wurden, sind Kunden für die Überprüfung der Compliance ihrer in Azure oder Office 365 implementierten Lösungen verantwortlich.

Ressourcen

Ressourcen auf Japanisch