Visão geral de governança, risco e conformidade
Como é que a Microsoft fornece uma governação de segurança eficaz em toda a empresa?
A Microsoft entende que as políticas de segurança eficazes têm de ser implementadas de forma consistente em toda a empresa para proteger os sistemas de informação e os clientes da Microsoft. As políticas de segurança também devem ser contabilizados para variações em funções de negócios e sistemas de informações a serem aplicáveis universalmente. Para cumprir estes requisitos, a Microsoft implementa um programa de governação de segurança abrangente como parte do Microsoft Policy Framework. A governança de segurança se enquadra na Política de Segurança da Microsoft (MSP).
O MSP organiza as políticas de segurança, os padrões e os requisitos da Microsoft para que eles possam ser implementados em todos os grupos de engenharia e unidades de negócios da Microsoft. Unidades de negócios individuais são responsáveis por implementações específicas das políticas de segurança da Microsoft. Por exemplo, o Microsoft 365 documenta as suas implementações de segurança na Política de Segurança de Informações do Microsoft 365 e no Microsoft 365 Control Framework relacionado. O Azure e o Dynamics 365 documentam as respetivas implementações de segurança nos Procedimentos Operacionais Padrão (SOPs) e no Azure Control Framework. Estas implementações de segurança estão alinhadas com os objetivos e objetivos do MSP.
O programa de governação de segurança da Microsoft é informado e está alinhado com várias arquiteturas regulamentares e de conformidade. Os requisitos de segurança estão em constante evolução para ter em conta as novas tecnologias, requisitos regulamentares e de conformidade e ameaças de segurança. Devido a estas alterações, a Microsoft atualiza regularmente as nossas políticas de segurança e documentos de suporte para proteger os sistemas e clientes Microsoft, cumprir os nossos compromissos e manter a confiança dos clientes.
Como é que o Microsoft serviços online implementar a Política de Segurança da Microsoft (MSP)?
O Microsoft 365 documenta implementações de segurança na Política de Segurança de Informações do Microsoft 365. Essa política se alinha à Política de Segurança da Microsoft e rege o sistema de informações do Microsoft 365, incluindo todos os ambientes do Microsoft 365 e todos os recursos envolvidos na coleta, processamento, manutenção, uso, compartilhamento, compartilhamento e descarte de dados. Da mesma forma, o Azure e o Dynamics 365 utilizam a Política de Segurança da Microsoft para governar o respetivo sistema de informações.
Os sistemas de informação incluem os seguintes componentes regidos pela Política de Segurança de Informações do Microsoft 365 (para o Microsoft 365) e a Política de Segurança da Microsoft (para o Azure e Dynamics 365):
- Infraestrutura: os componentes físicos e de hardware do Azure, Dynamics 365 e sistemas do Microsoft 365 (instalações, equipamentos e redes)
- Software: os programas e software operativo do Azure, Dynamics 365 e sistemas do Microsoft 365 (sistemas, aplicações e utilitários)
- Pessoas: o pessoal envolvido na operação e utilização dos sistemas do Azure, Dynamics 365 e Microsoft 365 (programadores, operadores, utilizadores e gestores)
- Procedimentos: os procedimentos programados e manuais envolvidos no funcionamento dos sistemas do Azure, Dynamics 365 e Microsoft 365
- Dados: as informações geradas, recolhidas e processadas pelos sistemas do Azure, Dynamics 365 e Microsoft 365 (fluxos de transações, ficheiros, bases de dados e tabelas)
A Política de Segurança de Informação do Microsoft 365 é complementada pela Estrutura de Controle do Microsoft 365. O Microsoft 365 Control Framework detalha os requisitos mínimos de segurança para todos os componentes do sistema de informações e serviços do Microsoft 365. Também referencia os requisitos legais e empresariais subjacentes a cada controlo. A estrutura inclui nomes de atividades de controle, descrições e diretrizes para garantir implementações de controle eficazes por equipes de serviço. O Microsoft 365 utiliza a arquitetura de controlo para controlar as implementações de relatórios internos e externos. Da mesma forma, o Azure e o Dynamics 365 implementações de controlo de registos no Azure Control Framework.
Como serviços online limitar e controlar exceções a políticas e procedimentos estabelecidos?
Todas as exceções às Estruturas de Controlo têm de ter justificação comercial legítima e ser aprovadas por uma entidade de governação adequada dentro de cada equipa serviços online. Dependendo do escopo da exceção e do risco potencial que ela representa, a aprovação de exceções pode precisar ser obtida de um vice-presidente corporativo ou superior. As exceções são geridas numa ferramenta de controlo onde são revistas e aprovadas para relevância contínua.
Como é que a Microsoft avalia e gere riscos em toda a empresa?
A gestão de riscos é o processo de identificar, avaliar e responder a ameaças ou eventos que podem afetar os objetivos da Empresa ou do cliente. O gerenciamento de riscos na Microsoft foi projetado para prever novas ameaças e fornecer segurança contínua para nossos sistemas de nuvem e os clientes que as usam.
A gestão de riscos da Microsoft está alinhada com a arquitetura de Gestão de Riscos Empresariais (ERM). O ARM permite o processo geral de gerenciamento de riscos empresariais e trabalha com o gerenciamento em toda a empresa para identificar e garantir a responsabilidade pelos riscos mais significativos da Microsoft.
O Microsoft ERM permite princípios comuns de gestão de riscos em toda a empresa para que as unidades empresariais possam facilitar avaliações de risco consistentes e comparativas de forma independente. Esta coordenação permite à Microsoft agregar e comunicar informações de risco de forma consolidada para gestão. ONS fornece unidades de negócios na Microsoft com metodologias, ferramentas e metas comuns para o processo de gerenciamento de riscos. O Microsoft 365 e outros grupos de engenharia e unidades de negócio utilizam estas ferramentas para realizar avaliações de riscos individuais como parte dos seus próprios programas de gestão de riscos sob a orientação do ERM.
Como é que o Microsoft serviços online funciona com o ERM?
Cada serviço online segue a documentação de orientação do ERM para gerir riscos em todos os serviços Microsoft. O programa concentra-se em alinhar a arquitetura ERM com os processos de engenharia, operações de serviço e conformidade existentes da Microsoft, tornando o programa de Gestão de Riscos mais eficaz e eficiente. As atividades de gestão de riscos de cada serviço online acabam por se agregar e informar o processo do ERM.
Como parte das atividades de avaliação de riscos, cada serviço online analisa a conceção e a eficácia operacional dos controlos implementados como parte do Microsoft Controls Framework (Framework). O Framework é um conjunto racionalizado de controlos que, quando implementados corretamente juntamente com atividades de conformidade de suporte, permitem que as equipas de engenharia cumpram as principais normas e certificações.
Como serviços online manter os requisitos de segurança e conformidade atualizados?
As equipas de Governação, Risco e Conformidade de cada serviço online (GRC) trabalham para manter o Framework de Controlo de forma contínua. Vários cenários podem exigir que a equipa GRC atualize a estrutura de controlo, incluindo alterações em regulamentos ou leis relevantes, ameaças emergentes, resultados de testes de penetração, incidentes de segurança, comentários de auditoria e novos requisitos de conformidade. Quando é necessária uma alteração de arquitetura, a equipa de Confiança identifica os principais intervenientes responsáveis pela aprovação e implementação da alteração para garantir que é viável e não causará problemas inesperados com os serviços Online. Assim que a equipa do GRC e os intervenientes relevantes chegarem a acordo sobre o que a alteração requer, as cargas de trabalho responsáveis pela implementação das datas de conclusão de destino definidas pela alteração e trabalham para implementar a alteração nos respetivos serviços. Depois de os destinos de implementação terem sido cumpridos, a equipa de Confiança atualiza a estrutura de controlo com os controlos novos ou atualizados.
Regulamentos externos relacionados & certificações
Os serviços online da Microsoft são regularmente auditados relativamente à conformidade com as certificações e regulamentos externos. Veja a tabela seguinte para obter a validação de controlos relacionados com governação, risco e conformidade.
Azure e Dynamics 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
|
ISO 27001 Declaração de Aplicabilidade Certificado |
A.5: Políticas de segurança de informações A.18.1: Conformidade com os requisitos legais e contratuais A.18.2: Revisões de segurança de informações |
8 de abril de 2024 |
|
ISO 27017 Declaração de Aplicabilidade Certificado |
A.5: Políticas de segurança de informações A.18.1: Conformidade com os requisitos legais e contratuais A.18.2: Revisões de segurança de informações |
8 de abril de 2024 |
|
ISO 27018 Declaração de Aplicabilidade Certificado |
A.5: Políticas de segurança de informações | 8 de abril de 2024 |
|
ISO 22301 Certificado |
6.1.1: Determinar riscos e oportunidades 6.1.2: Abordar riscos e oportunidades |
8 de abril de 2024 |
| SOC 1 | IS-1: Política de segurança da Microsoft IS-2: Revisão da política de segurança da Microsoft IS-3: Funções e responsabilidades de segurança |
16 de agosto de 2024 |
|
SOC 2 SOC 3 |
C5-1: Procedimentos operacionais padrão IS-1: Política de segurança da Microsoft IS-2: Revisão da política de segurança da Microsoft IS-3: Funções e responsabilidades de segurança SOC2-14: Acordos de confidencialidade e não divulgação SOC2-18: Requisitos legais, regulamentares e contratuais SOC2-19: Programa de conformidade multifuncional SOC2-20: programa ISMS SOC2-26: Avaliação anual de riscos |
20 de maio de 2024 |
Microsoft 365
| Auditorias externas | Section | Data do relatório mais recente |
|---|---|---|
| FedRAMP | CA-2: Avaliações de segurança CA-5: Plano de ação e marcos PL-2: Plano de segurança do sistema RA-3: Avaliação de riscos |
21 de agosto de 2024 |
|
ISO 27001/27017 Declaração de Aplicabilidade Certificação (27001) Certificação (27017) |
A.5: Políticas de segurança de informações A.18.1: Conformidade com os requisitos legais e contratuais A.18.2: Revisões de segurança de informações |
Março de 2024 |
| SOC 1 | CA-03: Gestão de riscos | 1 de agosto de 2024 |
| SOC 2 | CA-02: Responsabilidades da equipa de governação, risco e conformidade CA-03: Gestão de riscos CA-11: Atualizações da estrutura de políticas CA-17: Política de segurança da Microsoft CA-24: Avaliação de riscos internos CA-25: Atualizações da arquitetura de controlo |
23 de janeiro de 2024 |