Codice di condotta in materia di controllo della sicurezza informatica ISO/IEC 27017:2015

Panoramica ISO-IEC 27017

Il Codice di condotta ISO/IEC 27017:2015 è stato progettato come un riferimento per la selezione dei controlli di sicurezza delle informazioni dei servizi cloud quando si implementa un sistema di gestione della sicurezza delle informazioni cloud computing basato su ISO/IEC 27002:2013. Può anche essere usato dai provider di servizi cloud come documento guida per l'implementazione dei controlli di protezione comunemente accettati.

Questo standard internazionale fornisce indicazioni aggiuntive sull'implementazione specifiche del cloud basate su ISO/IEC 27002 e controlli aggiuntivi per attenuare i rischi per la sicurezza delle informazioni facendo riferimento alle clausole 5-18 in ISO/IEC 27002: 2013 per controlli, indicazioni sull'implementazione e altre informazioni. In modo specifico, questo standard fornisce indicazioni su 37 controlli in ISO/IEC 27002 e include sette nuovi controlli che non sono duplicati in ISO/IEC 27002. Questi nuovi controlli riguardano le aeree importanti elencate di seguito:

  • Responsabilità e ruoli condivisi nell'ambiente di cloud computing
  • Rimozione e restituzione degli asset dei clienti dei servizi cloud alla rescissione del contratto
  • Protezione e separazione dell'ambiente virtuale di un cliente dagli ambienti di altri clienti
  • Requisiti di hardening delle macchine virtuali per soddisfare esigenze di business
  • Procedure per operazioni amministrative di un ambiente di cloud computing
  • Monitoraggio di attività rilevanti da parte dei clienti in un ambiente di cloud computing
  • Allineamento della gestione della sicurezza per reti virtuali e fisiche

Microsoft e ISO/IEC 27017

ISO/IEC 27017 è unico nel fornire indicazioni tanto ai provider di servizi cloud quanto ai clienti di servizi cloud. Fornisce inoltre ai clienti di servizi cloud informazioni pratiche su ciò che devono aspettarsi dai provider. I clienti possono trarre vantaggio direttamente da ISO/IEC 27017 assicurandosi che comprendano le responsabilità condivise nel cloud.

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

  • Azure, Azure per enti pubblici e Azure Germania
  • Microsoft Defender for Cloud Apps
  • Dynamics 365, Dynamics 365 e Dynamics 365 Germany
  • Intune
  • Microsoft Defender per endpoint
  • Microsoft Graph
  • Microsoft Healthcare Bot
  • Microsoft Managed Desktop
  • Office 365, Office 365 U.S. Government, Office 365 U.S. Government Defense e Office 365 Germany
  • Servizio cloud Power Automate (in precedenza Microsoft Flow), autonomo o incluso in un piano o in una famiglia di prodotti Office 365 o Dynamics 365
  • Servizio cloud PowerApps, autonomo o incluso in un piano o in una famiglia di prodotti con marchio Office 365 o Dynamics 365
  • Servizio cloud Power BI, autonomo o incluso in un piano o in una famiglia di prodotti con marchio Office 365
  • Power BI Embedded
  • Windows 365

Azure, Dynamics 365 e ISO 27017:2015

Per altre informazioni su Azure, Dynamics 365 e la conformità dei servizi online, vedere l'offerta Azure ISO 27017.

Office 365 e ISO 27017:2015

ambienti Office 365

Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.

Questa sezione illustra gli ambienti di Office 365 seguenti:

  • Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
  • Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
  • Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
  • Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
  • Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.

Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.

L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.

Applicabilità di Office 365 e servizi inclusi nell'ambito

Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:

Applicabilità Servizi inclusi nell'ambito
Commerciale Access Online, ID Microsoft Entra, Servizio comunicazioni di Azure, Compliance Manager, Customer Lockbox, Delve, Exchange Online, Exchange Online Protection, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender per Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Customer Portal, Office 365 Microservizi (inclusi, a titolo esemplificativamente, Kaizala, ObjectStore, Sway, Servizio documenti di PowerPoint Online, Servizio annotazioni query, Sincronizzazione dati dell'istituto di istruzione, Sifone, Voce, StaffHub, Programma applicazioni eXtensible), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Infrastruttura di Office Services, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, Project Online, Crittografia dei servizi con Chiave cliente Microsoft Purview, SharePoint Online, Skype for Business, Flusso, Lavagna
GCC MICROSOFT ENTRA ID, Servizio comunicazioni di Azure, Compliance Manager, Delve, Exchange Online, Moduli, Microsoft Defender per Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream, Lavagna
GCC High ID Microsoft Entra, Servizio comunicazioni di Azure, Exchange Online, Moduli, Microsoft Defender per Office 365, Microsoft Teams, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Centro conformità & di sicurezza, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, lavagna
DoD ID Microsoft Entra, Servizio comunicazioni di Azure, Exchange Online, Moduli, Microsoft Defender per Office 365, Microsoft Teams, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Centro conformità & sicurezza, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business

Controlli, report e certificati di Office 365

I servizi cloud Microsoft vengono controllati una volta all'anno per verificare l'adeguamento al Codice di comportamento ISO/IEC 27017:2015 come parte del processo di certificazione per ISO/IEC 27001:2013.

Domande frequenti

A chi si applica lo standard?

Questo codice di comportamento fornisce controlli e indicazioni sull'implementazione tanto ai provider di servizi cloud quanto ai clienti di servizi cloud. È strutturato in un formato simile a ISO/IEC 27002:2013.

Dove è possibile consultare le informazioni sull'adeguamento di Microsoft per ISO/IEC 27017:2015?

Si può scaricare il certificato ISO/IEC 27017:2015 per Azure, Intune e Power BI.

Posso usare la conformità ISO/IEC 27017 dei servizi Microsoft nella procedura di certificazione della mia organizzazione?

Sì. Se l'azienda desidera una certificazione per le implementazioni distribuite su qualsiasi servizio cloud aziendale nell’ambito Microsoft, è possibile utilizzare le certificazioni rilevanti di Microsoft nella valutazione dell'adeguamento. Tuttavia, hai la responsabilità di affidare l'incarico a un valutatore affinché valuti la tua implementazione in termini di adeguamento e per i controlli e i processi all'interno dell'organizzazione.

Come si possono ottenere copie dei report di controllo applicabili?

Il portale di attendibilità dei servizi fornisce report di controllo indipendenti e di terze parti e altra documentazione correlata. È possibile usare il portale per scaricare e rivedere questa documentazione come supporto per i requisiti normativi.

Usare Microsoft Purview Compliance Manager per valutare il rischio

Microsoft Purview Compliance Manager è una funzionalità del Portale di conformità di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.

Risorse