Multi-Tier Cloud Security (MTCS) Standard für Singapur
MTCS-Übersicht
Der Multi-Tier Cloud Security (MTCS)-Standard für Singapur wurde unter der Leitung des Information Technology Standards Committee (ITSC) der Infocomm Development Authority (IDA) von Singapur aufgesetzt. Das ITSC fördert und erleichtert nationale Programme zur Standardisierung von IT und Kommunikation und die Teilnahme Singapurs an internationalen Standardisierungsaktivitäten.
Der Zweck des MTCS besteht darin, Folgendes bereitzustellen:
- Einen allgemeinen Standard, den Cloud Service-Anbieter (CSPs) anwenden können, um auf allgemeine Bedenken von Kunden im Hinblick auf die Sicherheit und Vertraulichkeit von Daten in der Cloud und die Auswirkungen der Nutzung von Cloud Services auf Unternehmen einzugehen.
- Verifizierbare betriebliche Transparenz und Sichtbarkeit der Risiken für die Kunden, wenn sie Cloud Services verwenden.
Der MTCS baut auf anerkannten internationalen Standards wie ISO/IEC 27001 auf und deckt Bereiche wie Datenaufbewahrung, Datenhoheit, Datenübertragbarkeit, Haftung, Verfügbarkeit, Geschäftskontinuität, Notfallwiederherstellung und Incident Management ab. Außerdem umfasst der Standard einen Mechanismus für Kunden, um die Fähigkeiten von CSPs anhand einer Reihe von grundlegenden Mindestsicherheitsanforderungen zu bewerten und einzustufen.
MTCS ist der erste Cloudsicherheitsstandard mit unterschiedlichen Sicherheitsstufen, sodass zertifizierte CSPs angeben können, welche Stufen sie anbieten. MTCS umfasst insgesamt 535 Kontrollen, die grundlegende Sicherheit auf Stufe 1, strengere Kontrollen im Hinblick auf Kontrolle und Instanzenfähigkeit auf Stufe 2 und Zuverlässigkeit und Ausfallsicherheit für wirkungsvolle Informationssysteme auf Stufe 3.
Microsoft-und MTCS
Nach strengen Bewertungen durch die MTCS-Zertifizierungsstelle wurden die Cloud Services von Microsoft für alle drei Dienstklassifizierungen nach MTCS 584:2013 zertifiziert, d. h. für Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS). Microsoft war der erste CSP, der diese Zertifizierung für alle drei Klassifizierungen erhielt.
Microsoft Azure-Dienste (IaaS und PaaS), Microsoft Dynamics 365-Dienste (SaaS) und Microsoft Office 365-Dienste (SaaS) wurden auf Stufe 3 zertifiziert. Eine Zertifizierung der Stufe 3 bedeutet, dass die im Umfang enthaltenen Microsoft Cloud Services wichtige Daten für regulierte Organisationen mit strengsten Sicherheitsanforderungen hosten kann. Sie wird von der Regierung Singapurs für bestimmte Implementierungen von Cloudlösungen verlangt.
Zu Microsoft gehörende Cloudplattformen und -dienste
- Azure
- Dynamics 365 Onlinedienste (Business Central, Commerce, Kundendienst, Außendienst, Finanzen, Betrugsschutz, Marketing, Vertrieb, Lieferkettenverwaltung)
- Genomics
- Intune
- Microsoft Defender for Cloud Apps
- Microsoft Graph
- Microsoft Healthcare Bot
- Office 365
- OMS Service Map
- PowerApps
- Power BI
Office 365 und MTCS
Office 365 Umgebungen
Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.
In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:
- Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
- Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
- Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
- Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
- Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.
Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.
Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.
Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste
Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:
Anwendbarkeit | Im Leistungsumfang enthaltene Dienste |
---|---|
Kommerziell | Delve, Exchange Online, Exchange Online Protection, Loki, Microsoft Teams, Office 365-Kundenportal, Office Online, Office-Dienstinfrastruktur, SharePoint Online, Skype for Business |
Prüfungen, Berichte und Zertifikate
Die Zertifizierung ist drei Jahre gültig, wobei eine jährliche Kontrollprüfung durchgeführt wird.
Microsoft MTCS-Zertifizierung
Microsoft MTCS-Offenlegung für Clouddienstanbieter
Häufig gestellte Fragen
Für wen gilt der Standard?
Der Standard gilt für Unternehmen in Singapur, die Clouddienste erwerben, welche mit dem MTCS-Standard konform sein müssen.
Welche Unterschiede bestehen zwischen den MTCS-Sicherheitsstufen?
MTCS umfasst insgesamt 535 Kontrollen, die drei Sicherheitsstufen abdecken:
- Stufe 1 ist mit einer möglichst geringen Zahl von erforderlichen grundlegenden Sicherheitskontrollen kostengünstig konzipiert. Sie ist für Websitehosting, Test- und Entwicklungsumgebungen, Simulation und nicht-kritische Geschäftsanwendungen geeignet.
- Stufe 2 widmet sich den Anforderungen der meisten Organisationen, die Bedenken hinsichtlich der Datensicherheit haben, und bietet eine Reihe von strengeren Kontrollen in Hinblick auf Sicherheitsrisiken und Bedrohungen für Daten. Stufe 2 ist für die meisten Cloudanwendungen, einschließlich geschäftskritischen Geschäftsanwendungen, gültig.
- Stufe 3 ist für regulierte Organisationen mit spezifischen Anforderungen und für Unternehmen konzipiert, die bereit sind, für strengere Sicherheitsanforderungen zu zahlen. Stufe 3 ergänzt die Sicherheitskontrollen der Stufen 1 und 2. Sie nehmen sich Sicherheitsrisiken und Bedrohungen in wirkungsvollen Informationssystemen an, die Cloud Services verwenden, wie Hosten von Anwendungen mit vertraulichen Informationen und in regulierten Systemen.
Wo beginne ich mit dem Complianceprozess für meine eigene Organisation?
Der MTCS-Zertifizierungsablauf stellt Anleitungen zu Prüfkontrollen und Sicherheitsinformationen zur Verfügung.
Kann ich die Compliance von Microsoft für den Zertifizierungsprozess meiner Organisation verwenden?
Ja. Wenn Sie Ihre Dienste, die auf diesen Microsoft-Clouddiensten aufbauen, zertifizieren lassen müssen, können Sie die MTCS-Zertifizierung verwenden, um den Umfang der Prüfung Ihrer IT-Infrastruktur auf das relevante Ausmaß zu beschränken. Sie sind jedoch dafür verantwortlich, einen Auditor mit der Prüfung Ihrer Implementierung unter Wahrung der Compliance zu beauftragen. Außerdem sind Sie für die Kontrollen und Prozesse in Ihrer eigenen Organisation zuständig.
Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos
Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Complianceportal, das Ihnen hilft, den Compliancestatus Ihrer organization zu verstehen und Maßnahmen zur Verringerung von Risiken zu ergreifen. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.