Panoramica di governance, rischio e conformità

In che modo Microsoft fornisce una governance della sicurezza efficace in tutta l'azienda?

Microsoft è consapevole che i criteri di sicurezza efficaci devono essere implementati in modo coerente in tutta l'azienda per proteggere i sistemi informativi e i clienti Microsoft. I criteri di sicurezza devono anche tenere conto delle variazioni delle funzioni aziendali e dei sistemi informativi per essere universalmente applicabili. Per soddisfare questi requisiti, Microsoft implementa un programma di governance della sicurezza completo come parte di Microsoft Policy Framework. La governance della sicurezza rientra nei Criteri di sicurezza di Microsoft (MSP).

L’ente MSP organizza i criteri di sicurezza, gli standard e i requisiti di Microsoft in modo che possano essere implementati in tutti i gruppi di tecnici e le unità operative Microsoft. Le singole unità operative sono responsabili delle implementazioni specifiche dei criteri di sicurezza Microsoft. Ad esempio, Microsoft 365 documenta le implementazioni di sicurezza nei criteri di sicurezza delle informazioni di Microsoft 365 e nel framework di controllo di Microsoft 365 correlato. Azure e Dynamics 365 documentare le implementazioni di sicurezza nelle procedure operative standard (SOP) e in Azure Control Framework. Queste implementazioni di sicurezza sono allineate agli obiettivi e agli obiettivi del msp.

Il programma di governance della sicurezza di Microsoft è informato da e si allinea ai vari framework normativi e di conformità. I requisiti di sicurezza sono in continua evoluzione per tenere conto delle nuove tecnologie, dei requisiti normativi e di conformità e delle minacce alla sicurezza. A causa di queste modifiche, Microsoft aggiorna regolarmente i criteri di sicurezza e i documenti di supporto per proteggere i sistemi e i clienti Microsoft, soddisfare i nostri impegni e mantenere la fiducia dei clienti.

In che modo Microsoft Servizi online implementare i criteri di sicurezza Microsoft (MSP)?

Microsoft 365 documenta le implementazioni di sicurezza nei criteri di sicurezza delle informazioni di Microsoft 365. Questi criteri sono in linea con i Criteri di sicurezza di Microsoft e regolano il sistema informativo di Microsoft 365, compresi tutti gli ambienti Microsoft 365 e tutte le risorse coinvolte nelle operazioni di raccolta, elaborazione, manutenzione, uso, condivisione, diffusione ed eliminazione dei dati. Analogamente, Azure e Dynamics 365 usare i criteri di sicurezza Microsoft per gestire il sistema informativo.

I sistemi informativi includono i componenti seguenti regolati dai criteri di sicurezza delle informazioni di Microsoft 365 (per Microsoft 365) e dai criteri di sicurezza Microsoft (per Azure e Dynamics 365):

  • Infrastruttura: componenti fisici e hardware dei sistemi Azure, Dynamics 365 e Microsoft 365 (strutture, apparecchiature e reti)
  • Software: i programmi e il software operativo dei sistemi Azure, Dynamics 365 e Microsoft 365 (sistemi, applicazioni e utilità)
  • Persone: il personale coinvolto nel funzionamento e nell'uso dei sistemi Azure, Dynamics 365 e Microsoft 365 (sviluppatori, operatori, utenti e manager)
  • Procedure: procedure programmate e manuali coinvolte nel funzionamento dei sistemi Azure, Dynamics 365 e Microsoft 365
  • Dati: informazioni generate, raccolte ed elaborate da sistemi Azure, Dynamics 365 e Microsoft 365 (flussi di transazioni, file, database e tabelle)

I Criteri di sicurezza delle informazioni Microsoft 365 sono integrati dal Framework di controllo Microsoft 365. Microsoft 365 Control Framework descrive in dettaglio i requisiti minimi di sicurezza per tutti i servizi e i componenti del sistema informativo di Microsoft 365. Fa inoltre riferimento ai requisiti legali e aziendali alla base di ogni controllo. Il framework include nomi e descrizioni delle attività di controllo e indicazioni per assicurare implementazioni efficaci dei controlli da parte dei team di servizio. Microsoft 365 usa il framework di controllo per tenere traccia delle implementazioni di controllo per la creazione di report interni ed esterni. Analogamente, Azure e Dynamics 365 implementazioni di controllo dei record in Azure Control Framework.

In che modo Servizi online limitare e tenere traccia delle eccezioni ai criteri e alle procedure stabiliti?

Tutte le eccezioni ai framework di controllo devono avere una giustificazione aziendale legittima ed essere approvate da un'entità di governance appropriata all'interno di ogni team Servizi online. In base all'ambito dell'eccezione e al potenziale rischio che rappresenta, l'approvazione dell'eccezione potrebbe dover essere ottenuta da un vicepresidente aziendale o da un ruolo superiore. Le eccezioni vengono gestite in uno strumento di rilevamento in cui vengono esaminate e approvate per la pertinenza continua.

In che modo Microsoft valuta e gestisce i rischi in tutta l'azienda?

La gestione dei rischi è il processo di identificazione, valutazione e risposta a minacce o eventi che possono influire sugli obiettivi aziendali o dei clienti. La gestione dei rischi di Microsoft è progettata per prevedere nuove minacce e garantire la sicurezza continua per i sistemi cloud e i clienti che li usano.

La gestione dei rischi di Microsoft è allineata al framework Enterprise Risk Management (ERM). L’ERM consente il processo complessivo di gestione dei rischi aziendali e interagisce con la gestione in tutta l'azienda per identificare e garantire la responsabilità per i rischi più significativi di Microsoft.

Struttura di gestione dei rischi.

Microsoft ERM consente principi comuni di gestione dei rischi in tutta l'azienda, in modo che le business unit possano facilitare in modo indipendente valutazioni dei rischi coerenti e comparative. Questo coordinamento offre a Microsoft la possibilità di aggregare e segnalare le informazioni sui rischi in modo consolidato per la gestione. L’ERM fornisce alle unità operative di Microsoft metodologie, strumenti e obiettivi comuni per il processo di gestione dei rischi. Microsoft 365 e altri gruppi di progettazione e business unit usano questi strumenti per condurre valutazioni dei rischi individuali come parte dei propri programmi di gestione dei rischi sotto la guida di ERM.

Come funziona Microsoft Servizi online con ERM?

Ogni servizio online segue le indicazioni ERM per gestire i rischi nei servizi Microsoft. Il programma è incentrato sull'allineamento del framework ERM ai processi di progettazione, gestione dei servizi e conformità Microsoft esistenti, rendendo il programma gestione dei rischi più efficace ed efficiente. Le attività di gestione dei rischi di ogni servizio online vengono in definitiva inserite e informate sul processo ERM.

Nell'ambito delle attività di valutazione dei rischi, ogni servizio online analizza la progettazione e l'efficacia operativa dei controlli implementati nell'ambito di Microsoft Controls Framework (Framework). Il framework è un set razionalizzato di controlli che, se implementati correttamente insieme alle attività di conformità di supporto, consentono ai team di progettazione di rispettare le normative e le certificazioni chiave.

In che modo Servizi online mantenere aggiornati i requisiti di sicurezza e conformità?

I team di governance, rischio e conformità di ogni servizio online (GRC) lavorano per mantenere il Framework di controllo su base continuativa. Diversi scenari possono richiedere al team grc di aggiornare il framework di controllo, tra cui modifiche alle normative o alle leggi pertinenti, minacce emergenti, risultati dei test di penetrazione, eventi imprevisti di sicurezza, feedback di controllo e nuovi requisiti di conformità. Quando è necessaria una modifica del framework, il team trust identifica gli stakeholder principali responsabili dell'approvazione e dell'implementazione della modifica per garantire che sia fattibile e non provocherà problemi imprevisti con i servizi online. Una volta che il team grC e gli stakeholder pertinenti sono d'accordo su ciò che richiede la modifica, i carichi di lavoro responsabili dell'implementazione delle date di completamento obiettivo del set di modifiche e lavorano per implementare la modifica all'interno dei rispettivi servizi. Dopo aver raggiunto le destinazioni di implementazione, il team trust aggiorna il framework di controllo con i controlli nuovi o aggiornati.

I Servizi online Microsoft vengono controllati regolarmente per verificare la conformità alle normative e alle certificazioni esterne. Per la convalida dei controlli correlati alla governance, al rischio e alla conformità, vedere la tabella seguente.

Azure e Dynamics 365

Controlli esterni Sezione Data report più recente
ISO 27001

Dichiarazione di applicabilità
Certificato
A.5: Criteri di sicurezza delle informazioni
A.18.1: Conformità ai requisiti legali e contrattuali
A.18.2: Verifiche della sicurezza delle informazioni
8 aprile 2024
ISO 27017

Dichiarazione di applicabilità
Certificato
A.5: Criteri di sicurezza delle informazioni
A.18.1: Conformità ai requisiti legali e contrattuali
A.18.2: Verifiche della sicurezza delle informazioni
8 aprile 2024
ISO 27018

Dichiarazione di applicabilità
Certificato
A.5: Criteri di sicurezza delle informazioni 8 aprile 2024
ISO 22301

Certificato
6.1.1: Determinazione di rischi e opportunità
6.1.2: Affrontare i rischi e le opportunità
8 aprile 2024
SOC 1 IS-1: Criteri di sicurezza Microsoft
IS-2: Revisione dei criteri di sicurezza Microsoft
IS-3: Ruoli e responsabilità della sicurezza
16 agosto 2024
SOC 2
SOC 3
C5-1: Procedure operative standard
IS-1: Criteri di sicurezza Microsoft
IS-2: Revisione dei criteri di sicurezza Microsoft
IS-3: Ruoli e responsabilità della sicurezza
SOC2-14: accordi di riservatezza e non divulgazione
SOC2-18: requisiti legali, normativi e contrattuali
SOC2-19: Programma di conformità tra funzioni
SOC2-20: programma ISMS
SOC2-26: valutazione annuale dei rischi
20 maggio 2024

Microsoft 365

Controlli esterni Sezione Data report più recente
FedRAMP CA-2: Valutazioni della sicurezza
CA-5: Piano d'azione e attività cardine
PL-2: Piano di sicurezza del sistema
RA-3: Valutazione dei rischi
21 agosto 2024
ISO 27001/27017

Dichiarazione di applicabilità
Certificazione (27001)
Certificazione (27017)
A.5: Criteri di sicurezza delle informazioni
A.18.1: Conformità ai requisiti legali e contrattuali
A.18.2: Verifiche della sicurezza delle informazioni
Marzo 2024
SOC 1 CA-03: Gestione dei rischi 1 agosto 2024
SOC 2 CA-02: Responsabilità del team di governance, rischio e conformità
CA-03: Gestione dei rischi
CA-11: Aggiornamenti del framework dei criteri
CA-17: Criteri di sicurezza Microsoft
CA-24: Valutazione dei rischi interna
CA-25: Aggiornamenti del framework di controllo
23 gennaio 2024

Risorse