本文提供 Microsoft 365 認證的詳細資訊,包括所需的安全控管清單及 ISV 與開發者的指引。
Microsoft 365 認證是一項獨立的安全與隱私審核,針對應用程式、外掛程式、代理程式及支援後端環境 (統稱為應用程式) 整合於 Microsoft 365 平台。 通過的應用程式將在整個 Microsoft 365 生態系統中獲得 Microsoft 365 認證認證,並可透過合規導向的搜尋篩選器與品牌形象,輕鬆在 Microsoft 365 市集中找到。 ISV 將有機會在本文件集中的專屬頁面分享其應用程式的合規屬性。
Microsoft 365 認證適用於以下類型的應用程式:
- Microsoft 365 擴充功能 (Word、Excel、Outlook、PowerPoint、OneNote、專案)
- Teams 應用程式
- SharePoint 解決方案
- 網頁應用程式 (SaaS)
- 副駕駛分機
重要事項
Microsoft 365 認證是一項嚴格審查應用程式安全性與合規性,並依照 Microsoft 365 認證框架進行,完成需要投入大量時間與資源。 在開始之前,請先檢視 合規控制框架 ,以確認您的應用程式是否符合資格。 如果你有任何問題,請寄電子郵件 appcert@microsoft.com給 。
條款
參與Microsoft 365認證計畫即表示您同意這些補充條款,並遵守適用於您參與Microsoft 365認證計畫的相關文件,Microsoft (「Microsoft」、「我們」、「我們」或「我們的」) 。 您代表並向我們保證,您有權代表自己、公司及/或其他適用實體接受這些 Microsoft 365 認證補充條款。 我們可隨時更改、修訂或終止這些補充條款。 您在任何變更或修訂後繼續參與 Microsoft 365 認證計畫,即表示您同意新的補充條款。 如果您不同意新的補充條款,或我們終止這些補充條款,您必須停止參與 Microsoft 365 認證計畫。
必要條件
在授予 Microsoft 365 認證之前,應用程式必須完成以下條件:
出版商驗證 當應用程式擁有經過驗證的發佈者時,發布該應用程式的組織已經過 Microsoft 驗證為真實。 驗證應用程式包括使用已驗證Microsoft雲端合作夥伴計畫 (CPP) 帳戶,並將已驗證的合作夥伴ID與應用程式註冊綁定。 讓出版商認證
出版者認證 是一種自助式流程,應用程式開發者 (獨立軟體供應商(ISV)) 填寫一組關於其安全實務的問題,例如如何處理敏感資料。 完成後,應用程式會收到一個文件頁面,讓他們可以分享給客戶,裡面包含他們提供的回應。
檢視 控制標準。 並非總是必須遵守所有管制才能獲得認證。 然而,對於本概述文件中討論的三個安全領域,) (門檻不會公開,且必須通過。 未達到標示為「硬失敗」的關鍵控制項,將導致評量不及格。
提交時間範圍
申請認證的過程分為兩個階段:
第一階段:初次文件提交 (14天期限)
在此階段,ISV 必須提交文件,概述其應用程式的支援環境。 這包括但不限於:
架構圖/資料流程
系統元件清單
軟體資產清單
分析師會審查這些文件以界定評估範圍。 ISV 有 14 天時間完成並上傳所需文件。 未能按時完成此期限可能會延誤申請過程或導致提交失敗。
第二階段:完整證據審查, (60天期限)
一旦範圍明確,ISV將進入證據收集階段。 在這個階段:
ISV必須上傳針對範圍中定義的所有適用控制措施的證據。
這些證據將經過審查、必要時 (修訂,) ,以及最終的問答程序。
此期間也可能進行滲透測試。
獨立軟體供應商有60天時間完成此階段,從首次提交證據開始,內容包括:
上傳所有控制的證據
分析師審查與回饋
提交的證據有需要修改的地方嗎?
問答流程完成
未能如期完成
若ISV未能在60天內完成流程,評估將失敗。 然而,分析師可酌情在有效情況下,批准最多60天的延長,例如:
- 季節性假期
- 滲透測試延遲
- 內部變動
- 實施必要變更以符合控制要求所需的時間
一旦兩個60天期限都用盡,將不再允許任何延期。
認證範圍
範圍內環境涵蓋所有提供應用程式、外掛程式或代理程式碼所需的系統與基礎設施,以及該應用程式/外掛/代理可能與之通訊的任何支援後端系統。 除非實施足夠的分段且連接環境不會影響範圍內環境的安全,否則任何與範圍內環境相連的額外環境也必須納入範圍。
請注意:任何獨立的災難復原環境也必須包含在範圍內環境中,因為這些環境對於在主要環境故障時維持服務連續性可能至關重要。
此外,遠端備份環境也必須納入範圍,因為它們可能儲存敏感的 Microsoft 資料。 因此,必須對這些環境實施足夠的安全控管。
「範圍內系統元件」一詞涵蓋所有在定義範圍內環境中積極使用的裝置與系統。 這些組成部分包括但不限於:
- Web 應用程式
- 伺服器 (實體或虛擬,無論是本地部署或雲端)
- 交換機
- 負載平衡器
- 虛擬基礎架構
- 雲端供應商網頁管理入口網站
- 雲端資源 (虛擬機器、應用程式服務、儲存帳號、資料庫等等 )
重要事項
面向公眾的系統元件特別容易受到外部威脅行為者的攻擊,因此風險較高。 通常,這些系統應透過實施網路安全控制措施 (NSC) ,例如非軍事區 (非軍事區) ,與系統內部元件隔離。 DMZ的目的是作為緩衝區,限制對外部系統的信任,並提升安全性以保護內部系統與資料。 雖然在某些情況下DMZ仍是理想選擇,但現代雲端架構常依賴針對特定部署情境量身打造的替代安全措施。
基礎設施即服務 (IaaS) 、平台即服務 (PaaS) ,以及軟體即服務 (SaaS)
若使用 IaaS 和/或 PaaS 支援審查範圍內環境,雲端平台提供者將負責整個認證過程中評估的一些安全控管。 分析師需透過外部合規報告(如 PCI-DSS、合規證明 (AOC) 、ISO 27001 或 SOC 2 第二類報告)獲得獨立外部安全最佳實務驗證。
關於部署類型可能適用哪些安全控制措施,以及環境是否處理或傳輸 Microsoft 365 資料,請參閱 附錄 C。部署類型包括:
- ISV 託管:由獨立軟體廠商託管的應用程式
- IaaS 託管:由第三方雲端平台提供的基礎設施。
- PaaS/無伺服器託管:採用平台或無伺服器架構的平均應用。
- 混合主機:結合本地與雲端主機元件。
- 共享主機:由多個租戶共用的雲端環境。
在使用 IaaS 或 PaaS 的情況下,必須有證據證明部署符合相關架構預期的安全控管。
抽樣
為確保全面評估,涵蓋範圍內系統元件的抽樣必須考量作業系統、主要裝置功能、裝置類型 (例如伺服器、路由器、網路安全控制) 及地理位置等因素。 樣品會在認證流程開始時根據這些考量選出。 下表根據範圍內元件的人口數量,指導抽樣大小:
| 人口規模 | 範例 |
|---|---|
| <=5 | 1 |
| >5 & <10= | 2 |
| >10 & <=30 | 3 |
| >30 | 4 |
這確保了對環境在不同配置與部署模式中合規性的具代表性評估。
注意事項
若評估過程中發現不同裝置間的差異,樣本數可調整以確保環境呈現的適當性。
認證流程概述
要開始 Microsoft 365 認證流程:
出版商認證 前往合作夥伴中心並填寫出版商認證表格。 注意:若提交超過三個月,必須重新提交以供審核與驗證。
開始認證 進入合作夥伴中心後,選擇「開始認證」選項,開始提交初始文件。 此步驟協助認證分析師根據您的應用程式架構及其管理 Microsoft 資料的方式,確定評估範圍。
認證分為兩個主要階段:
初始文件提交 此階段,你提供關鍵細節,幫助分析師了解應用程式的設計、資料流及範圍內環境。 分析師將確定適用的安全控管,並列出需要證據的系統組件。 您必須提供準確的文件以促進此審查,約佔整體流程的5%。
完整證據審查 在此階段,您提交詳細證據,證明其符合範圍內環境的安全控管。 分析師在此階段將與您密切合作,審查、釐清並驗證您的提交內容。 這個階段佔據了整個過程的剩餘部分。
評定
一旦初步文件提交獲准,入口網站中會出現一份必要的安全控管清單。 你有 60天 時間為每個控制措施提供證據,確認其已實施且可運作。 分析師會審查你的證據,並批准或要求補充細節或修訂。
認證
當您的申請經過分析師審核並驗證後,您將收到有關認證決定的通知。 成功符合認證標準的應用程式將獲得徽章,該徽章會顯示在其 AppSource 列表及相關的 Microsoft Docs 頁面上。 這些頁面也會提供應用程式安全與合規屬性的詳細報告。
審查與重新認證
Microsoft 365 認證應用程式必須每年重新認證,以確保持續符合 Microsoft 標準。 重新認證過程包括重新評估範圍內的控制措施,以確認其符合當前環境。 您可以在認證到期前最多90天開始重新認證程序,以避免任何中斷。 認證在此期間將持續有效。
若在到期日前未完成重新認證,認證將被撤銷。 因此:
該應用程式的認證徽章和品牌標籤將會被移除。
ISV 將不再被允許以 Microsoft 365 認證的名義行銷該應用程式。
若應用程式在預定重新認證期間之外有 重大變更 ,ISV 必須通知 Microsoft 應用程式合規計畫,以確保該應用程式持續合規。
初次提交文件
您的初始提交必須包含以下資訊:
| 文件概述 | 文件細節 |
|---|---|
| 應用程式/外掛/代理描述 | 說明該應用程式/外掛/代理的目的與功能。 這應該能讓認證分析師對應用程式/外掛/代理的運作方式及其預期用途有良好了解。 |
| 滲透測試報告 | 一份滲透測試報告已完成,該報告是在過去12個月內完成的。 此報告必須包含支援該應用程式/外掛/代理程式部署的環境,以及任何支援該應用程式/外掛/代理程式運作的額外環境。 注意: 若 ISV 目前未進行年度滲透測試,Microsoft將透過認證流程支付滲透測試費用, () 限制。 |
| 架構圖 | 一個邏輯架構圖,代表應用程式支援基礎設施的高階概述。 這必須包含 所有 支援該應用程式的主機環境及支援基礎設施。 此圖必須描繪環境中所有不同的支援系統元件,以協助認證分析師了解系統範圍並決定抽樣。 請同時說明所使用的主機環境類型;ISV 託管、IaaS、PaaS 或混合型。 註: 若使用 SaaS,請標示用於提供環境中支援服務的各種 SaaS 服務。 |
| 公共足跡 | 詳細說明支援基礎設施所使用 的所有 公共 IP 位址與網址。 除非已實施足夠的分段來分割使用範圍 (否則必須包含分配給環境的完整可路由IP範圍,) 需充分證據分段。 |
| 資料流程圖 | 以程圖說明: |
| ✓ Microsoft 365 資料流往來應用程式/外掛/代理 (,包括 EUII 與 OII ) | |
| ✓ Microsoft 365 支援基礎設施內的資料流 (適用時) 。 | |
| ✓ 圖表,說明資料儲存地點與內容、資料如何傳遞給外部第三方 (包括第三方) 的細節,以及資料如何在開放/公共網路傳輸與靜態時受到保護。 | |
| API 端點細節 | 完整列出您的應用程式所使用的所有 API 端點。 為了幫助理解環境範圍,請在你的環境中提供 API 端點位置。 |
| Microsoft API 權限 | 提供文件說明 所有 使用的 Microsoft API,以及應用程式/外掛/代理需要請求的權限,並說明這些權限的合理性 |
| 資料儲存類型 | 描述資料儲存與處理的文件: |
| ✓ Microsoft 365 資料的 EUII 與 OII 接收與儲存程度 | |
| ✓ 資料保留期間。 | |
| ✓ 為什麼要擷取 Microsoft 365 的資料。 | |
| ✓ Microsoft 365 資料的儲存地點 (也應包含在上述) 提供的資料流程圖中。 | |
| 合規確認 | 提供外部安全框架的支援文件,包含於出版者認證提交中,或在審查 Microsoft 365 認證安全控管時可參考。 目前支援的四個平台: |
| ✓ PCI DSS 合規證明書 (AOC) 。 | |
| ✓ SOC 2 第一類/第二類報告。 | |
| ✓ ISMS / IEC - 1S0/IEC 27001 (SoA) 與認證的適用性聲明。 | |
| ✓ FedRAMP FedRAMP 授權套件及 FedRAMP 準備度評估報告。 | |
| 網路相依關係 | 列出應用程式目前運行版本的所有依賴性文件。 |
| 軟體庫存 | 一個包含範圍內所有軟體及其版本的軟體清單。 |
| 硬體清查 | 支援基礎設施使用的最新硬體清單。 這些資料將用於評估階段的抽樣。 如果你的環境包含 PaaS,請提供所消耗的雲端服務或資源細節。 |
證據收集與評估活動
認證分析師需審查定義樣本集中所有系統組件的證據。 支持評估流程所需的證據類型包括以下任何或全部:
證據蒐集
- 初步文件,於初始文件提交指南中標示
- 政策文件
- 程序文件
- 系統設定
- 換票
- 變更控制紀錄
- 系統報告
- 會議記錄
- 合約/協議
將採用多種方法收集完成評估程序所需的證據。 這些證據收集可能以以下形式進行:
- 文件
- 螢幕擷取畫面
- 訪談
- 螢幕共享
所採用的證據蒐集技術將在評估過程中決定。 關於提交文件中所需證據類型的具體範例,請參閱 範例證據指南。
證據分享
在認證過程中,獨立軟體供應商可選擇直接與潛在客戶分享合規證據。 檔案上傳對話框中預設勾選的方框,會授權 Microsoft 365 管理員存取 Teams 管理員中心及 Microsoft 365 系統管理中心的應用程式認證證據。 (Microsoft 365 管理員負責在組織內配置、管理及保障 Microsoft 365 服務與資源。) 此透明度旨在簡化組織評估新應用程式時的盡職調查流程,以加速決策。 若ISV不願公開此證據,他們可在提交時取消勾選,保有完全自主權決定合規文件何時何地揭露。
評估活動
認證分析師將審查提交的證據,以確保 Microsoft 365 認證所需的所有控制措施均已達成。 為加快流程,請確保 初始文件 提交中所有文件皆已完整並提前提供。
在審查過程中,分析師將評估最初提交及出版社聲明的證據。 他們將決定調查範圍、抽樣方,以及是否需要額外證據。 分析師將利用所有收集的資訊評估是否符合 Microsoft 365 認證規範,並判斷您的應用程式是否符合定義的控制範圍。
應用程式認證標準
該應用程式及其支援基礎設施和相關文件將在以下三個安全領域進行評估:
每個安全領域都包含包含一項或多項將作為評估過程一部分需求的具體關鍵控制。 為確保 Microsoft 365 認證對各種規模的開發者皆具包容性,每個安全領域皆使用評分系統評估,以確定各領域的整體分數。 每個Microsoft 365認證控制的分數,根據該控制未實施的風險,分配介於1 (低) 與3 (高) 之間。 每個安全領域都會有一個最低百分比標記,才能被視為通過。 某些因素會導致自動故障,包括:
使用不符合最小權限原則 (PoLP)
必要時缺乏滲透測試報告。
缺乏反惡意軟體防禦措施。
未能實作多重驗證 (多重驗證) 用於管理存取。
缺少或不足的補丁流程。
缺乏符合GDPR 規範的 隱私聲明。
應用程式安全
應用安全領域評估以下領域:
- 滲透測試
- 圖形 API 權限驗證
- 負責任的 AI
滲透測試
滲透測試對於識別及減輕應用程式或外掛及其支援環境相關風險至關重要。 這確保應用程式能為客戶提供足夠的安全保障。
滲透測試是任何連接非 Microsoft 託管或管理外部服務的 應用程式的強制 性。 若應用程式作為僅使用 Microsoft 服務(如 GraphAPI)的獨立解決方案部署,則可能不需要滲透測試。 然而,託管於 Azure 的應用程式必須通過滲透測試,以確保範圍內環境的安全性。
滲透測試範圍
基礎設施測試:無論是內部或外部基礎設施,滲透測試都必須在支援該應用程式、外掛或代理程式的 正式生產環境中 進行。 這包括:
應用程式、外掛程式或代理程式所託管的環境通常 (在清單檔案) 中被引用。
任何與應用程式/外掛/代理程式互動或支援其運作的額外環境 (,例如該應用程式/外掛/代理程式與 365) 外的其他網頁應用程式Microsoft通訊。
在定義滲透測試的範圍時,必須納入所有可能影響範圍內環境安全的 連網系統或環境 。
建議
網頁應用程式滲透測試:建議直接針對現場生產環境進行滲透測試。 然而,只要滲透測試報告確認測試時生產環境中仍使用相同的程式碼庫,網頁應用程式測試仍可在 test/UAT (使用者驗收測試) 環境中進行。
分群驗證:若使用分段技術將範圍內環境與其他環境隔離,滲透測試報告必須驗證這些分群技術的有效性。 這確保了分段過程中不會引入任何漏洞。
滲透測試要求
滲透測試報告將被審查,以確保不存在符合以下控制措施中所述 自動失敗標準 的漏洞。
| 標準類型 | 滲透測試控制 |
|---|---|
| 一般標準 | 網頁應用程式 (認證與未認證) ,內部 ((如) 適用)及外部基礎設施滲透測試 必須 每年 (每12個月一次) 由有信譽的獨立公司執行。 |
| 針對已識別的關鍵及高風險漏洞的修復, 必須 在滲透測試結束後一個月內完成,或視 ISV 所記錄的修補流程更早而定。 | |
| 完整的外部覆蓋範圍 (IP 位址、URL、API 端點等 ) 必須 納入滲透測試範圍,並且必須在滲透測試報告中清楚記錄。 | |
| 除非環境與PaaS相符,否則完整的內部網路 必須 納入滲透測試範圍,並且必須在滲透測試報告中清楚記錄。 | |
| 網頁應用程式滲透測試 必須 包含所有漏洞類別;例如,最新的 OWASP 前十名或 SANS 前 25 名 CWE。 建議將此點詳細列入滲透測試報告,否則將難以證明。 | |
| 關鍵且高風險的漏洞,或被視為自動失敗的漏洞 ,必須 由滲透測試公司重新測試,並在滲透測試報告中明確標示為已修復。 | |
| 自動失效標準: | 存在不支援的作業系統或未支援的 JavaScript 函式庫。 |
| 存在違約、可枚舉或可猜測的行政帳戶。 | |
| 存在 SQL 注入風險。 | |
| 跨站腳本的存在。 | |
| 目錄遍歷 (檔案路徑的存在) 漏洞。 | |
| 例如存在 HTTP 漏洞,例如標頭回應分裂、請求走私及不同步攻擊。 | |
| 包含 LFI) (原始碼揭露的存在。 | |
| 任何根據CVSS補丁管理指引定義的嚴重或高分數。 | |
| 任何重大技術漏洞,容易被利用,進而入侵大量 EUII 或 OUI。 |
重要事項
報告必須能提供足夠的保證,確保上述滲透測試需求部分所詳述的內容都能被證明。
免費滲透測試要求與規則
對於目前尚未執行滲透測試的獨立軟體供應商,Microsoft 提供免費的滲透測試服務,作為 Microsoft 365 認證流程的一部分。 此服務涵蓋最多 12天的人工測試,超出此期間的額外費用由獨立服務供應商負責。
關鍵要求:
預測試要求:ISV 必須提交證據並取得 50% 範圍內控制的批准,方可排程滲透測試。
測試報告:此報告與您的 Microsoft 365 認證一同,可用來向客戶展示您的環境是安全的。
漏洞修復:ISV 負責在測試中解決任何在認證前發現的漏洞。 然而,不需要一份乾淨的報告,只需確認漏洞已被妥善處理的證據即可。
其他考量:
一旦安排了滲透測試,ISV 將負責支付與重新排程或取消相關的費用。
| 重新排程費用的時間表 | 應繳比例 |
|---|---|
| 延期申請於預定開始日期前超過30天收到。 | 0% 應付 |
| 重新安排申請於預定開始日期前8至30天收到。 | 25% 應繳稅率 |
| 重新安排申請須於預定開始日期前2至7天內收到,並確定重新預訂日期。 | 50% 應繳 |
| 重新安排的申請是在開始日期前不到兩天收到的。 | 100% 支付 |
| 取消費用的時間表 | 應繳比例 |
|---|---|
| 取消申請於預定開始日期前超過30天收到。 | 25% 應繳稅率 |
| 取消申請於預定開始日期前8至30天收到。 | 50% 應繳 |
| 取消申請於預定開始日前7天內收到。 | 90% 應付 |
圖形 API 權限驗證
這確保應用程式、外掛或代理程式不會要求過多或過度寬容的權限。 認證分析師會手動審查應用程式所請求的權限,並與出版者認證提交進行交叉比對。
目標是確認所請求的權限是否符合最小權限原則。 如果分析師發現應用程式請求的權限超出必要範圍,他們會與 ISV 聯繫,驗證這些權限的商業合理性。 若申請許可與出版商認證提交之間發現任何不一致,必須在本審查期間加以處理與解決。
負責任的 AI
針對負責任的 AI 控管所提交的資訊,將與 ISV 提供的應用程式清單檔案一同審查。 這讓分析師能檢查 Microsoft Copilot 與應用程式的整合,進而清楚了解兩者如何互動,以及客戶會採取哪些行動。 我們深知,AI 必須負責任且讓客戶充分知情地使用。 只要所分享的資訊符合預期應用程式功能及Microsoft負責任 AI Standard或 NIST 可信賴 & 負責任人工智慧資源中心,這些控制措施將被視為核准 (並需通過常規的問答檢查) 。
計畫是與 Microsoft 進一步合作,在相關公開頁面提供部分檢查細節,讓客戶能在使用 Copilot 及相關應用程式時,做出充分知情的決策。
作戰安全
此領域衡量應用程式支援基礎設施與部署流程與安全最佳實務的一致性。
控制項
| 對照家族 | Controls |
|---|---|
| 意識訓練 | 提供證據證明該組織為資訊系統使用者提供既有的安全意識訓練, (包括經理、高階主管及承包商,) 作為新用戶初期訓練的一部分,或因資訊系統變更而需要時進行。 |
| 提供組織定義的意識訓練頻率證據。 | |
| 提供個別資訊系統安全意識活動的文件與監控證據,同時保留組織定義頻率內的個別訓練紀錄。 | |
| 惡意軟體防護 - 防毒軟體 | 提供證據證明您的反惡意軟體解決方案已啟用並已啟用,涵蓋所有受測系統元件,並配置符合以下標準: |
| 如果是防毒軟體,該存取掃描會啟用,且簽名會在一天內更新,偵測到惡意軟體時會自動封鎖或警示並隔離。 | |
| 或者如果 EDR/NGAV (端點偵測與回應/次世代防毒軟體) ,則會定期進行掃描、產生稽核日誌,並持續保持更新,並具備自我學習功能。 | |
| 如果是 EDR/NGAV,則會封鎖已知惡意軟體,並根據巨集行為識別並封鎖新的惡意軟體變種,並具備完整的安全名單功能。 | |
| 惡意軟體防護 - 應用程式控制 | 提供可證明的證據,證明一份經核准且具商業依據的軟體/應用清單存在且是最新的。 |
| 每個申請在部署前都要經過審核程序並簽署。 | |
| 該應用程式控制技術在所有受取樣的系統元件中均已啟用、啟用並配置,符合文件說明。 | |
| 補丁管理-補丁與風險排名 | 提供政策文件,規範如何識別並分配風險分數。 |
| 提供新安全漏洞如何被識別的證據。 | |
| 提供證據證明所有漏洞一旦被識別,都會被分配風險等級。 | |
| 提供證據證明所有抽樣系統元件均依組織規定的修補時程進行修補,且不支援的作業系統及軟體元件未被使用。 若適用,應包含無伺服器技術或 PaaS 的程式碼基礎,或使用 IaaS 時同時包含基礎架構與程式碼基礎。 | |
| 貼片時間框架指引,例如「危急期14天內,高峰期30天內,中等期60天內」。 | |
| 漏洞掃描 | 提供季度基礎設施及網頁應用程式漏洞掃描報告。 掃描必須針對整個公共範圍進行, (IP 位址、網址、) 及內部 IP 範圍。 |
| 提供可證明的證據,證明在漏洞掃描過程中識別的漏洞修復已依照你所記錄的修補時限進行修補。 | |
| 網路安全控制 (NSC) | 提供證據顯示網路安全控制 (NSC) 安裝於範圍內環境邊界,並安裝於邊界網路與內部網路之間。 |
| 而且如果混合式、本地部署、IaaS 也能證明所有公共存取都終止於邊界網路。 | |
| 驗證所有網路安全控制 (NSC) 設定為丟棄規則庫中未明確定義的流量,且網路安全控制 (NSC) 規則審查至少每六個月進行一次。 | |
| 變更控制 | 提供證據證明任何引入生產環境的變更都是透過文件化的變更請求實施,請求內容包含變更的影響、退回程序細節、應執行的測試、審查及授權人員的核准。 |
| 提供證據證明存在分離環境,確保:開發與測試/暫存環境強制執行與生產環境的職責分離,透過存取控制強制執行職責分離,敏感生產資料不在開發或測試/暫存環境中使用。 | |
| 安全軟體開發/部署 | 提供支持安全軟體開發的政策與程序,並包含產業標準及/或安全編碼的最佳實務。 例如 Open Web Application Security Project (OWASP) 前十名,或 SysAdmin、Audit, Network and Security (SANS) CWE) (25 大常見弱點列舉。 |
| 提供程式碼庫安全的證據,確保:所有程式碼變更在合併主分支前,均由第二位審查者審核與核准,適當的存取控制措施已建立,所有存取皆透過多重驗證 (多重認證) 強制執行 | |
| 提供所有進入生產環境 () 發布前均經過審查與核准的證據。 | |
| Account management | 提供證據顯示預設憑證在系統組件中被停用、移除或變更。 |
| 提供證據證明已有程序保障 (強化) 服務帳戶,且此程序已被遵守。 | |
| 提供證據證明:所有使用者皆有獨特使用者帳號,環境中遵守使用者最低權限原則,設有強而有力的密碼/密碼政策或其他適當的緩解措施,且至少每三個月執行一次,關閉或刪除三個月內未使用的帳號。 | |
| 確認 MFA 已設定為所有遠端存取連線及非主控台管理介面,包括存取任何程式碼庫與雲端管理介面。 | |
| 安全事件記錄、審查與警示 | 提供證據顯示至少有30天的安全事件記錄資料立即可用,且保留90天的安全事件記錄。 |
| 提供記錄定期審查的證據,並在審查過程中發現任何潛在的安全事件或異常都會被調查與處理 | |
| 提供證據顯示警示規則已設定為能針對以下安全事件(如適用)觸發警示調查:特權帳號建立/修改、特權/高風險活動或操作、惡意軟體事件、事件日誌竄改、IDPS/WAF 事件。 (設定) | |
| 資訊風險管理 | 提供經批准的正式資訊安全風險管理政策/流程已被文件化並建立的證據。 |
| 提供證據證明至少每年進行一次正式的全公司資訊安全風險評估。 | |
| 或針對性風險分析:針對每一次未建立傳統控制或產業最佳實務、設計或技術限制導致引入環境漏洞或使使用者與資料處於風險的案例,至少每12個月進行一次目標性風險分析。 在懷疑或確認有妥協時。 | |
| 驗證資訊安全風險評估是否包含受影響的系統元件或資源、威脅與漏洞或等效內容、影響與可能性矩陣或等效資料,並建立風險登記冊/風險處理計畫。 | |
| 提供證據證明您已建立風險管理流程,評估並管理與供應商及商業夥伴相關的風險,並能識別並評估可能影響內部控制系統的變更與風險。 | |
| 安全事件應變 | 提供您核准 (的安全事件應變計畫/程序,) IRP。 |
| 提供證據說明您的組織如何回應事件,說明其維護方式,並包含事件應變團隊的詳細資訊,包括聯絡資訊、事件期間的內部溝通計畫,以及與相關方(如關鍵利害關係人、支付品牌與收購方、監管機構)的外部溝通,例如GDPR) (72小時內。 監督機關、董事、客戶,以及事件分類、控制、緩解、復原和恢復正常營運等活動步驟,視事件類型而定 | |
| 提供所有事件應變團隊成員均接受年度訓練的證明,使其能應對事件。 | |
| 提供證據證明事件應變策略及相關文件是根據桌上演習、事件應對經驗教訓、組織變革所獲得的經驗教訓進行檢視與更新的。 | |
| 業務持續性計畫與災難復原計畫 | 提供證據證明存在且有維護的文件,以說明業務持續性計畫。 |
| 提供證據證明業務持續性計畫詳述相關人員及其角色與責任,包括:業務職能及其相關的應變需求與目標、系統與資料備份程序、設定與排程/保留、復原優先順序與時間框架目標、應急計畫,說明在意外且未排程中斷,這是一個既有的流程,涵蓋最終的系統完整恢復及恢復原始狀態。 | |
| 提供證據證明文件存在、維護中,並概述災難復原計畫,至少包括:人員及其角色、責任與升級流程、用於支援關鍵業務功能與服務的資訊系統清單、系統與資料備份程序與設定、復原計畫,詳細說明恢復關鍵資訊系統與資料恢復運作的行動與程序。 | |
| 提供證明業務持續計畫與災難復原計畫至少每12個月檢視一次,以確保其在不利情況下仍有效且有效。 | |
| 提供證據證明業務持續性計畫已根據年度檢討更新,所有相關人員接受應變計畫中分配的角色與責任訓練,計畫正透過業務持續性或災難復原演練進行測試,測試結果也被記錄下來,包括從演習中獲得的經驗教訓或組織變革。 |
資料處理、安全性與隱私
為確保資料安全,應用程式使用者、中介服務與 ISV 系統之間傳輸的資料必須使用 TLS (傳輸層安全) 連線加密。 至少需要TLS 1.2,強烈建議TLS 1.3或以上。 欲了解更多細節,請參閱附錄A。
對於擷取或儲存 Microsoft 365 資料的應用程式,必須實作資料儲存加密方案。 此規定必須符合 附錄B所列規範。
控制項
| 控制家族 | Controls |
|---|---|
| 傳輸中的資料 | 提供證據證明 TLS 配置是否符合 TLS 設定檔的 TLS1.2 或更高等級,並保存並維護可信金鑰與憑證清單。 |
| 提供證據顯示,所有處理網路請求的公開服務都已停用 TLS 壓縮,以防止 Compression Ratio Info-Leak Made Easy (CRIME) ,且所有站點啟用並設定 TLS HSTS 為 180 天。 | |
| 靜止資料 | 提供證據證明靜態資料已依照加密規範進行加密,使用如 AES) 、RSA 及 Twofish 等加密演算法,且加密金鑰大小為 256 位元以上,Standard (AES 。 |
| 資料保存、備份與處理 | 提供正式訂立並記錄核准資料保存期限的證明。 |
| 提供證據顯示資料僅保留於先前對照中所述的定義保留期間。 | |
| 提供證據證明已有程序在資料保留期限後安全刪除。 | |
| 提供證明自動備份系統已建立並設定能在預定時間執行備份的證據。 | |
| 提供證據:備份資訊依照備份排程程序進行測試,並定期還原以確認資料的可靠性與完整性。 | |
| 提供證據、適當的存取控制與保護機制 (即不可變備份) 實施,以確保備份/系統快照能防範未經授權的存取,並確保備份資料的機密性、完整性與可用性。 | |
| 資料存取管理 | 提供證據顯示有維護有存取資料及/或加密金鑰的使用者名單。 包括每位員工的商業理由,並確認此用戶名單已根據其工作所需的存取權限正式核准,且使用者已依核准文件中列明的權限進行配置。 |
| 提供證據,證明所有資料共享對象的第三方名單被維護,並與所有使用者簽訂資料共享協議。 | |
| 隱私權 | 貴組織是否已建立、實施並維護隱私資訊管理 (PIM) 系統,並透過政策或其他文件/電腦化系統,對隱私資訊管理工作有領導承諾,以確保系統機密性與完整性? 確定每位維護系統人員的角色、責任與權限,包括個人識別資訊處理者與控制員。 |
| 提供驗證PII最小化過程的證據,PII識別化與刪除在處理期結束時正在進行,PII傳輸有控管措施,包括保密性,且有明確同意的PII從一國/地區轉移至另一國家/地區的紀錄。 | |
| GDPR | 提供證據證明資料主體能夠啟動 SAR,ISV 能在回應 SAR 請求時識別資料主體的所有位置,備份有保留期,允許客戶端在最舊備份刪除/重) 寫生命週期 (移除時,透過 SAR 移除資料。 |
| 提供隱私聲明,內容應包含以下所有必要要素:組織資訊 (姓名、地址及其他可識別個人識別資訊) 、處理的個人資料類型、個人資料保存期限、個人資料處理的合法性、資料主體權利;包括:資料主體權利、知情權、資料主體存取權、刪除權、處理限制權、資料可攜性權、異議權、與自動決策相關的權利,包括側寫。 | |
| HIPAA | 提供證據證明:貴組織內有針對員工、承包商、供應商等的HIPAA處理政策。請確認我們的組織確保 ePH 的機密性、完整性及可用性。 |
| 確認你:提供防範合理預期使用或洩露此類資訊的保護,防止隱私規則不允許的使用,確保員工遵守安全規則。 在 164.308 () (7) (ii) (A) 及 164.308 () (7) (ii) (B) 提供資料備份與災難復原計畫。 |
可選的外部合規架構審查
如果您的組織已經符合外部安全框架,如 ISO 27001、PCI-DSS、FedRAMP 或 SOC 2 Type 2,您可以選擇利用這些認證來滿足部分 Microsoft 365 認證的控制要求。 分析師將致力於使現有的外部安全架構與 Microsoft 365 認證要求對齊。
然而,若您的支持文件未顯示 Microsoft 365 認證控制措施在外部框架的審核或評估中被明確評估,您必須提供額外證據以驗證這些控制措施的存在。
文件要求:
文件必須明確證明 Microsoft 365 認證的範圍內環境包含在永續安全框架的範圍內。 這些框架的驗證將透過接受由可信且具認證的第三方審核員核發的有效認證證明來完成。
這些第三方審核員必須是國際認可機構的成員,例如:
ISO 27001 認證與合規標準
品質安全評估員 (QSA) PCI-DSS
欲了解更多細節,請參閱與您認證相關的外部框架的具體指引與標準。
下表列出認證分析師在驗證過程中接受的必要框架與文件。
| Standard | 需求 |
|---|---|
| ISO 27001 | 需提供公開版本的 適用性說明 書 (SOA) 及ISO 27001認證副本。 SOA總結了您對114項資訊安全控管的立場,並用以識別是否有排除ISO 27001證書中未充分詳述的控管措施。 若無法透過審查面向公開的 SOA 版本判斷此點,分析師可能需要取得完整 SOA,若 ISO 27001 將用於驗證部分 Microsoft 365 認證安全控管。 除了驗證 ISO 27001 評估活動的範圍外,分析師也會確認上述審計公司的有效性。 |
| PCI DSS | 必須提供有效的 第一級合規 證明書 (AOC) 文件,明確標示範圍內應用及系統元件。 自我評估的AOC 不會 被視為符合安全最佳實務的證明。 AOC 將用於判斷哪些 Microsoft 365 認證規範控制措施已在 PCI DSS 評估中被評估並確認。 |
| SOC 2 | SOC 2 (II) 報告必須是最新 (,且申報期間開始於過去 27 個月內,) 作為符合本 Microsoft 365 認證框架中任何評估控制措施的證據。 |
| FedRAMP | 聯邦風險與授權管理計畫 (FedRAMP) 是一項於2011年成立的美國聯邦政府範圍計畫。 它提供一套標準化的方法,用於雲端產品與服務的安全評估、授權及持續監控。 |
| 架構 | 其他考量 |
|---|---|
| ISO 27001 | 附錄C:證據收集——ISO 27001的Delta。 |
| PCI-DSS | 附錄D:證據收集-PCI-DSS的Delta。 |
| SOC 2 | 附錄E:證據收集-SOC 2的Deltas。 |
注意事項
雖然外部安全標準或框架可作為符合特定 Microsoft 365 認證控制的證據,但取得 Microsoft 365 認證則需另行評估。 取得 Microsoft 365 認證並不代表該應用程式已完全通過這些外部框架的審核。 Microsoft 365 認證規範聚焦於這些框架衍生出的特定控制子集,以提供 Microsoft 對應用程式安全態勢更高層次的保證。
使用外部合規架構的要求
使用外部合規框架的要求
範圍內環境及所有支援的業務流程必須納入任何支援的外部安全合規框架之內。 這些必須在所提供的文件中清楚記錄。
外部安全合規框架必須是最新的,也就是說,若有持續的重新評估並有支持證據,則應在過去12個月 (或15個月內進行)
外部安全合規評估必須由獨立且具認證的公司執行。
外部框架驗證標準
SOC 2 第二類評量
- SOC 2 報告必須是第二類報告
- SOC 2 稽核必須包含被評估的 M365 環境
- SOC 2 審計必須在過去 12 個月內完成
- 控制措施必須公平呈現,並依照第二類報告的要求適當設計
- SOC 2 審計必須由合格的外部第三方執行
- 測試程序必須確認安全控管已到位,並由稽核員妥善驗證。
ISO 27001 評估
- ISO 27001 審核必須包含本 M365 評估中指定的環境
- ISO 27001 證書必須是最新且適用於該實體的
- ISO 27001 評估必須由經認可的外部第三方進行 (內部 ISO 27001 審核不被接受)
- ISO 27001 評估必須在過去 12 個月內完成
PCI-DSS 評估
- AOC 文件必須明確定義被評估的 M365 環境
- AOC 必須符合日期
- AOC必須經QSA及實體簽署