Padrão de linha de base do Informatiebeveiliging Rijksdienst (BIR 2012)

Visão geral do BIR 2012

As organizações que operam no setor governamental holandês devem estar em conformidade com o padrão de linha de base Informatiebeveiliging Rijksdienst (BIR 2012). O BIR 2012 oferece uma estrutura padrão baseada na ISO 27001 e ISO 27002. Para organizações que usam o Microsoft Azure ou Office 365, a Microsoft gerencia parte dos controles BIR 2012 para esses serviços de nuvem de acordo com o modelo de responsabilidade compartilhada na computação em nuvem. As organizações que precisam cumprir o BIR 2012 são, portanto, necessárias para determinar se os serviços subjacentes da Microsoft que estão usando estão em conformidade com o BIR 2012.

O relatório de cobertura BIR fornece orientações onde as normas BIR são cobertas pelas certificações ISO 27001 existentes que estão disponíveis para os serviços em nuvem da Microsoft. Quando há controles bir adicionais que não são cobertos pelo ISO 27001, as referências são feitas a outros atestados independentes, documentação de auditoria ou instruções contratuais.

Microsoft e BIR 2012

Embora a Microsoft não esteja sujeita à conformidade do BIR 2012, clientes do setor governamental que buscam usar serviços de nuvem podem usar as certificações existentes da Microsoft para determinar sua conformidade com esse padrão. O Azure e o Office 365 passam por várias certificações e atestados independentes periódicos, alguns deles intimamente relacionados ao BIR 2012.

Baixe o Microsoft Cloud: Manual do Usuário Azure e Office 365 BIR-2012 para cobertura da linha de base

Plataformas e serviços de nuvem no escopo da Microsoft

  • Azure
  • Intune
  • Office 365

Office 365 e BIR 2012

Ambientes do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
Comercial Azure Proteção de Informações, Bookings, Proteção do Exchange Online, Exchange Online, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, Microsoft To-Do for Web, MyAnalytics, Office 365 Cloud App Security, grupos de Office 365, Office Delve, OneDrive for Business, Planner, Power Apps, Power Automate, Power BI para Office 365, PowerApps, SharePoint Online, Skype for Business, StaffHub, Stream, Sway, Viva Engage

Auditorias, relatórios e certificados

A Microsoft selecionou uma empresa de auditoria terceirizada e independente para analisar até que ponto as certificações e atestados atuais do Azure e do Office 365 (como ISO/IEC 27001 e SOC 2 Tipo 2) abrangem a parte do BIR 2012 pela qual a Microsoft é responsável. O relatório resultante fornece um mapeamento dessas certificações e atestados existentes para os controles listados no padrão BIR 2012. Os clientes podem usar o relatório como uma ferramenta para ajudar a adotar o Azure em conformidade com o BIR 2012. O relatório demonstra claramente quais controles BIR 2012 são cobertos pela Microsoft e quais controles continuam sendo implementados pelos clientes. O relatório 'Microsoft Cloud: cobertura da linha de base do Azure e Office 365 BIR 2012' pode ser baixado da seção Relatórios de Auditoria do Portal de Confiança do Serviço - Relatórios de Avaliação do GRC.

Perguntas frequentes

O Microsoft BIR 2012 é certificado?

A responsabilidade pela conformidade com o BIR aplica-se ao setor governamental. Ela exige que a organização implemente um sistema de gerenciamento de segurança das informações e trate do risco com medidas técnicas e organizacionais apropriadas. Para a Microsoft, no papel de provedor de serviços de nuvem, a conformidade com o BIR não é o objetivo nem é tecnicamente viável. Quando um cliente implementa ou utiliza os serviços em nuvem da Microsoft, esses serviços podem estar no escopo de uma avaliação do BIR. No entanto, a organização deve acrescentar seus próprios controles, escolhas e processos (adicionais) que fazem parte da avaliação geral do BIR. O objetivo do relatório é demonstrar que uma agência governamental pode adotar os serviços em nuvem da Microsoft de uma maneira que esteja em conformidade com o BIR 2012.

Um cliente que usa os serviços em nuvem da Microsoft está em conformidade com o BIR 2012?

A demonstração de conformidade com o BIR é responsabilidade do cliente. Os clientes que usam um fornecedor de serviços de nuvem normalmente exigem garantias do fornecedor e adicionam sua própria tecnologia (adicional) e decisões organizacionais, escolhas e processos. Esse esforço resulta em uma avaliação geral do cliente quanto à sua conformidade com o BIR, que pode ser submetida para revisão ou certificação a um auditor externo. O relatório de cobertura BIR fornece uma visão sobre o que os controles BIR são cobertos pelos serviços de nuvem da Microsoft, mas como tal não cobre a conformidade de ponta a ponta.

O relatório não mostra 100% de cobertura. A conformidade do BIR 2012 não é viável?

Os serviços em nuvem da Microsoft fornecem muitos controles que ajudam as organizações dentro dos Países Baixos com suas necessidades de conformidade com o BIR. No entanto, uma organização precisa complementar essas garantias do provedor com suas próprias opções de implementação, controles adicionais de tecnologia e processos administrativos. O relatório já mostra mais de 91% de cobertura direta da lista completa de controles aplicáveis. Para os demais controles, a Microsoft fornece orientações no relatório sobre como a conformidade com esses controles pode ser demonstrada.

O relatório sobre a cobertura do BIR é um documento de associação legal?

Não. É uma ferramenta para dar suporte ao processo interno de garantia do BIR do cliente e ajudar a estabelecer a confiança sobre a viabilidade da conformidade com o BIR. O relatório tem um status descritivo e inclui um aviso de isenção de responsabilidade legal.

Podemos compartilhar este relatório?

O relatório é fornecido aos clientes sob um acordo de confidencialidade tendo como base o fato de destinar-se apenas a informações do cliente e que não será copiado ou divulgado por outros canais além do Microsoft Service Trust Platform. Os clientes podem compartilhar o relatório com seu próprio auditor interno ou externo como parte dos processos de conformidade ou garantia.

Recursos