Comprendere il programma dei criteri di sicurezza e standard Microsoft

  • 5 minuti

Il programma Microsoft Security Policy and Standards fa parte del Microsoft Policy Framework e offre un programma di gestione della sicurezza completo per tutto il personale Microsoft, i gruppi di progettazione e le unità aziendali. Poiché i requisiti di sicurezza cambiano costantemente per tenere conto delle nuove tecnologie, dei requisiti normativi e di conformità e delle minacce alla sicurezza, Microsoft aggiorna regolarmente i criteri di sicurezza e i documenti di supporto per proteggere i sistemi e i clienti Microsoft, rispettare gli impegni e mantenere la fiducia dei clienti.

Programma Microsoft Security Policy and Standards

Il programma Microsoft Security Policy and Standards è organizzato in criteri, standard, requisiti e linee di base. I criteri, gli standard e i requisiti forniscono indicazioni a livello aziendale per supportare procedure di sicurezza e privacy coerenti in Microsoft. Le singole unità aziendali, ad esempio Microsoft 365, usano le procedure operative standard (SOP) per descrivere in dettaglio il modo in cui le unità aziendali implementano i requisiti.

Il programma Microsoft Security Policy and Standards e i relativi requisiti di sicurezza includono:

  • Microsoft Security Policy (MSP): MSP è una raccolta non tecnica di obiettivi di sicurezza che si applicano a tutto il personale Microsoft. Gli obiettivi di MSP guidano tutti i criteri, gli standard e i requisiti di sicurezza in Microsoft.
  • Microsoft Security Program Policy (MSPP): Microsoft Security Program Policy (MSPP) definisce un set comune di obiettivi di sicurezza per favorire un framework di governance per i risultati di sicurezza previsti. Il pacchetto MSPP si applica, a titolo esemplificativo, al personale Microsoft nei ruoli di sviluppo, operativi, sicurezza, conformità e controllo durante la creazione, la manutenzione e/o il funzionamento del software e/o dei servizi Microsoft.
  • Standard: Online Services Security Standard (OSSS) ed Enterprise Information Security Standards (EISS) definiscono i requisiti aziendali per i servizi online e la sicurezza aziendale. OSSS guida la sicurezza per tutti i servizi online, mentre EISS viene implementato dai team di sicurezza aziendali.
  • Requisiti: i requisiti sono più dettagliati degli standard e forniscono implementazioni tecniche specifiche che devono essere rispettate dai sistemi e dalle unità aziendali applicabili. Ad esempio, qualsiasi unità aziendale che sviluppa prodotti o servizi Microsoft deve implementare il Security Development Lifecycle (SDL) di Microsoft per applicare procedure di sviluppo sicure. Altri requisiti di Microsoft includono Operational Security Assurance (OSA) per sistemi di produzione operativi sicuri, Infrastruttura a chiave pubblica (PKI) per la crittografia a chiave pubblica sicura e requisiti di integrità del software (SI) per proteggere e verificare l'integrità del codice.
  • Procedure operative standard (SOP): singoli gruppi di prodotti e unità aziendali usano le SOP per descrivere in dettaglio il modo in cui l'organizzazione implementa gli standard e i requisiti per soddisfare gli obiettivi di sicurezza definiti in MSP.

Informazioni sui ruoli e le responsabilità di MSP e MSPP

Gli aggiornamenti ai criteri di sicurezza Microsoft (MSP) e ai criteri del programma di sicurezza Microsoft (MSPP) sono gestiti da Customer Security and Trust, un'unità aziendale di Relazioni aziendali ed esterne e affari legali Microsoft (CELA) con l'input di tutti i gruppi tecnici e le unità aziendali pertinenti. Il CVP di Customer Security &Trust e il CISO della strategia aziendale fungono da responsabili dell'approvazione finali per tutte le modifiche apportate all'MSP.

Processo di revisione MSP e MSPP

Come minimo, i criteri, gli standard e i requisiti di sicurezza Microsoft vengono rivisti e aggiornati su base annuale. La revisione annuale dei criteri di sicurezza prende in considerazione diversi fattori, tra cui:

  • Modifiche ai requisiti normativi o di conformità esterni. Ad esempio, la legislazione o gli aggiornamenti agli standard esterni, ad esempio ISO o NIST. Il processo di revisione dei criteri di sicurezza include la revisione di tutte le modifiche proposte per garantire l'allineamento alle normative applicabili.
  • Modifiche apportate al panorama della sicurezza. Sono incluse le minacce emergenti, i problemi di sicurezza e le lezioni apprese dagli incidenti precedenti.
  • Modifica delle esigenze aziendali e dei clienti. Man mano che l'azienda cambia, potrebbe essere necessario aggiornare i criteri e gli standard per tenere conto delle nuove tecnologie. Ad esempio, i nuovi prodotti e servizi potrebbero richiedere nuovi approcci alla sicurezza.

Le parti interessate, i delegati e i revisori valutano il modo in cui la modifica delle condizioni potrebbe richiedere aggiornamenti ai criteri e agli standard di sicurezza Microsoft. Le modifiche proposte vengono inviate ai revisori pertinenti per l'approvazione. Al termine della revisione, le versioni aggiornate dei criteri e degli standard di sicurezza Microsoft vengono diffuse e implementate dalle unità aziendali Microsoft, che aggiornano le procedure operative standard (SOP) per tenere conto di eventuali modifiche alle implementazioni di sicurezza specifiche dell'organizzazione.

Gestione delle eccezioni

Le eccezioni ai criteri e agli standard di sicurezza di Microsoft rappresentano deviazioni dai requisiti con una giustificazione aziendale legittima per la deviazione. Tutte le eccezioni vengono esaminate e approvate da un'entità di governance appropriata. A seconda dell'ambito dell'eccezione e del rischio potenziale che rappresenta, potrebbe essere necessaria l'approvazione dell'eccezione da parte di un dirigente appropriato. Tutte le eccezioni devono essere gestite nello strumento appropriato.