ISO/IEC 27017 概述
ISO/IEC 27017:2015 實務守則為組織在實施基於 ISO/IEC 27002:2013 的雲端運算資訊安全管理系統時,選擇雲端服務資訊安全控制的參考。 雲端服務提供者也可以將其作為實施普遍接受的保護控管的指導文件。
此國際標準提供基於 ISO/IEC 27002 的額外雲端專用實作指引。 它提供額外的控制措施以應對雲端專屬的資訊安全威脅與風險,參考 ISO/IEC 27002:2013 中的第 5-18 條款,涵蓋控制、實施指引及其他資訊。 具體來說,該標準針對 ISO/IEC 27002 中的 37 項控制項提供指引,並新增七項 ISO/IEC 27002 未重複的控制項。 這些新的控制能解決下列重要領域:
- 雲端運算環境內的共同角色和責任
- 在合約終止時移除並退回雲端服務客戶資產
- 保護並分離客戶的虛擬環境與其他客戶的環境
- 虛擬機器強化需求,以滿足商務需求
- 雲端運算環境系統管理操作的程序
- 讓客戶能夠監視雲端運算環境內的相關活動
- 結合虛擬和實體網路的安全性管理
Microsoft 和 ISO/IEC 27017
ISO/IEC 27017 在為雲端服務提供者和雲端服務客戶提供指導方針方面與眾不同。 它也會為雲端服務客戶提供有關他們應該對雲端服務提供者所預期的實務資訊。 透過確保客戶了解在雲端中的共用責任,客戶可以直接從 ISO/IEC 27017 獲益。
Microsoft 範圍內的雲端平台與服務
- Azure、Azure Government 和 Azure 德國
- Microsoft Defender for Cloud Apps
- Dynamics 365、Dynamics 365 和 Dynamics 365 德國
- Intune
- 適用於端點的 Microsoft Defender
- Microsoft Graph
- Microsoft Healthcare Bot
- Microsoft 受管理的電腦
- Office 365、Office 365 美國政府、Office 365 美國政府國防版和 Office 365 Germany
- Power Automate (先前為 Microsoft Flow) 雲端服務可作為獨立服務或包含在 Office 365 或 Dynamics 365 品牌方案或套件中
- PowerApps 雲端服務可作為獨立服務或包含在 Office 365 或 Dynamics 365 品牌方案或套件中
- Power BI 雲端服務可作為獨立服務或包含在 Office 365 品牌方案或套件中
- Power BI Embedded
- Windows 365
Azure、Dynamics 365 和 ISO 27017:2015
如需 Azure、Dynamics 365 及其他線上服務合規性的詳細資訊,請參閱 Azure ISO 27017 供應項目。
Office 365 和 ISO 27017:2015
Office 365 環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋以下 Office 365 環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
| 適用性 | 範圍內服務 |
|---|---|
| 商業 | 線上存取、Microsoft Entra ID、Azure通訊服務、合規管理、客戶鎖箱、探險、Exchange Online、Exchange Online Protection、表單、Griffin、Identity Manager、鎖箱 (環) ,Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 進階合規性附加元件、Office 365 客戶入口、Office 365微服務 (包括但不限於 Kaizala、ObjectStore、Sway、PowerPoint 線上文件服務、查詢註解服務、學校資料同步、虹吸、語音、StaffHub、可擴展應用程式程式) 、Office 365 安全 & 合規中心、Office Online、Office Pro Plus、Office Services Infrastructure、OneDrive、Planner、PowerApps、Power Automate、Power BI,Project Online、Microsoft Purview 客戶金鑰服務加密、SharePoint Online、商務用 Skype、Stream、白板 |
| GCC | Microsoft Entra ID、Azure 通訊服務、合規管理、Delve、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、MyAnalytics、Office 365 進階合規性附加元件、Office 365 安全 & 合規中心、Office Online、Office Pro Plus、OneDrive、規劃器、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、Stream、白板 |
| GCC High | Microsoft Entra ID、Azure 通訊服務、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 進階合規性附加元件、Office 365安全 & 合規中心、Office Online、Office Pro Plus、OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、白板 |
| DoD | Microsoft Entra ID、Azure 通訊服務、Exchange Online、Forms、Microsoft Defender for Office 365、Microsoft Teams、Office 365 進階合規性附加元件、Office 365安全 & 合規中心、Office Online、Office Pro Plus、OneDrive、Planner、Power BI、SharePoint Online 商務用 Skype等 |
Office 365 稽核、報告和認證
Microsoft 雲端服務會每年隨著 ISO/IEC 27001:2013 的認證程序,針對 ISO/IEC 27017:2015 工作條例規定進行一次稽核。
常見問題集
該標準適用於誰?
此工作條例規定可提供雲端服務提供者和雲端服務客戶的控制和實作指導方針。 它的結構格式類似 ISO/IEC 27002:2013。
可以在何處檢視 Microsoft 的 ISO/IEC 27017:2015 合規性資訊?
您可以下載適用於 Azure、Intune 和 Power BI 的 ISO/IEC 27017:2015 認證。
我是否可以在組織的認證程序中使用 Microsoft 服務的 ISO/IEC 27017 合規性?
是。 如果貴公司正在尋求用於在任何 Microsoft 範圍內企業雲端服務上所部署實作的認證,則可以在您的合規性評定中使用 Microsoft 的相關認證。 然而,你有責任聘請評估員來評估你的實施是否符合法規,以及你自己組織內的控制與流程。
如何取得適用稽核報告的複本?
服務信任入口網站提供獨立的協力廠商稽核報告和其他相關文件。 您可以使用入口網站來下載並檢閱此文件,以獲得您自己的法規需求的協助。
使用 Microsoft Purview 合規管理工具來評估您的風險
Microsoft Purview 合規管理工具 是 Microsoft Purview 入口網站 中的一項功能,幫助您了解組織的合規狀況並採取措施降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。