Partilhar via


Visão geral de governança, risco e conformidade

Como é que a Microsoft fornece uma governação de segurança eficaz em toda a empresa?

A Microsoft entende que as políticas de segurança eficazes têm de ser implementadas de forma consistente em toda a empresa para proteger os sistemas de informação e os clientes da Microsoft. As políticas de segurança também devem ser contabilizados para variações em funções de negócios e sistemas de informações a serem aplicáveis universalmente. Para cumprir estes requisitos, a Microsoft implementa um programa de governação de segurança abrangente como parte do Microsoft Policy Framework. A governança de segurança se enquadra na Política de Segurança da Microsoft (MSP).

O MSP organiza as políticas de segurança, os padrões e os requisitos da Microsoft para que eles possam ser implementados em todos os grupos de engenharia e unidades de negócios da Microsoft. Unidades de negócios individuais são responsáveis por implementações específicas das políticas de segurança da Microsoft. Por exemplo, o Microsoft 365 documenta as suas implementações de segurança na Política de Segurança de Informações do Microsoft 365 e no Microsoft 365 Control Framework relacionado. O Azure e o Dynamics 365 documentam as respetivas implementações de segurança nos Procedimentos Operacionais Padrão (SOPs) e no Azure Control Framework. Estas implementações de segurança estão alinhadas com os objetivos e objetivos do MSP.

O programa de governação de segurança da Microsoft é informado e está alinhado com várias arquiteturas regulamentares e de conformidade. Os requisitos de segurança estão em constante evolução para ter em conta as novas tecnologias, requisitos regulamentares e de conformidade e ameaças de segurança. Devido a estas alterações, a Microsoft atualiza regularmente as nossas políticas de segurança e documentos de suporte para proteger os sistemas e clientes Microsoft, cumprir os nossos compromissos e manter a confiança dos clientes.

Como é que o Microsoft serviços online implementar a Política de Segurança da Microsoft (MSP)?

O Microsoft 365 documenta implementações de segurança na Política de Segurança de Informações do Microsoft 365. Essa política se alinha à Política de Segurança da Microsoft e rege o sistema de informações do Microsoft 365, incluindo todos os ambientes do Microsoft 365 e todos os recursos envolvidos na coleta, processamento, manutenção, uso, compartilhamento, compartilhamento e descarte de dados. Da mesma forma, o Azure e o Dynamics 365 utilizam a Política de Segurança da Microsoft para governar o respetivo sistema de informações.

Os sistemas de informação incluem os seguintes componentes regidos pela Política de Segurança de Informações do Microsoft 365 (para o Microsoft 365) e a Política de Segurança da Microsoft (para o Azure e Dynamics 365):

  • Infraestrutura: os componentes físicos e de hardware do Azure, Dynamics 365 e sistemas do Microsoft 365 (instalações, equipamentos e redes)
  • Software: os programas e software operativo do Azure, Dynamics 365 e sistemas do Microsoft 365 (sistemas, aplicações e utilitários)
  • Pessoas: o pessoal envolvido na operação e utilização dos sistemas do Azure, Dynamics 365 e Microsoft 365 (programadores, operadores, utilizadores e gestores)
  • Procedimentos: os procedimentos programados e manuais envolvidos no funcionamento dos sistemas do Azure, Dynamics 365 e Microsoft 365
  • Dados: as informações geradas, recolhidas e processadas pelos sistemas do Azure, Dynamics 365 e Microsoft 365 (fluxos de transações, ficheiros, bases de dados e tabelas)

A Política de Segurança de Informação do Microsoft 365 é complementada pela Estrutura de Controle do Microsoft 365. O Microsoft 365 Control Framework detalha os requisitos mínimos de segurança para todos os componentes do sistema de informações e serviços do Microsoft 365. Também referencia os requisitos legais e empresariais subjacentes a cada controlo. A estrutura inclui nomes de atividades de controle, descrições e diretrizes para garantir implementações de controle eficazes por equipes de serviço. O Microsoft 365 utiliza a arquitetura de controlo para controlar as implementações de relatórios internos e externos. Da mesma forma, o Azure e o Dynamics 365 implementações de controlo de registos no Azure Control Framework.

Como serviços online limitar e controlar exceções a políticas e procedimentos estabelecidos?

Todas as exceções às Estruturas de Controlo têm de ter justificação comercial legítima e ser aprovadas por uma entidade de governação adequada dentro de cada equipa serviços online. Dependendo do escopo da exceção e do risco potencial que ela representa, a aprovação de exceções pode precisar ser obtida de um vice-presidente corporativo ou superior. As exceções são geridas numa ferramenta de controlo onde são revistas e aprovadas para relevância contínua.

Como é que a Microsoft avalia e gere riscos em toda a empresa?

A gestão de riscos é o processo de identificar, avaliar e responder a ameaças ou eventos que podem afetar os objetivos da Empresa ou do cliente. O gerenciamento de riscos na Microsoft foi projetado para prever novas ameaças e fornecer segurança contínua para nossos sistemas de nuvem e os clientes que as usam.

A gestão de riscos da Microsoft está alinhada com a arquitetura de Gestão de Riscos Empresariais (ERM). O ARM permite o processo geral de gerenciamento de riscos empresariais e trabalha com o gerenciamento em toda a empresa para identificar e garantir a responsabilidade pelos riscos mais significativos da Microsoft.

Estrutura de gestão de riscos.

O Microsoft ERM permite princípios comuns de gestão de riscos em toda a empresa para que as unidades empresariais possam facilitar avaliações de risco consistentes e comparativas de forma independente. Esta coordenação permite à Microsoft agregar e comunicar informações de risco de forma consolidada para gestão. ONS fornece unidades de negócios na Microsoft com metodologias, ferramentas e metas comuns para o processo de gerenciamento de riscos. O Microsoft 365 e outros grupos de engenharia e unidades de negócio utilizam estas ferramentas para realizar avaliações de riscos individuais como parte dos seus próprios programas de gestão de riscos sob a orientação do ERM.

Como é que o Microsoft serviços online funciona com o ERM?

Cada serviço online segue a documentação de orientação do ERM para gerir riscos em todos os serviços Microsoft. O programa concentra-se em alinhar a arquitetura ERM com os processos de engenharia, operações de serviço e conformidade existentes da Microsoft, tornando o programa de Gestão de Riscos mais eficaz e eficiente. As atividades de gestão de riscos de cada serviço online acabam por se agregar e informar o processo do ERM.

Como parte das atividades de avaliação de riscos, cada serviço online analisa a conceção e a eficácia operacional dos controlos implementados como parte do Microsoft Controls Framework (Framework). O Framework é um conjunto racionalizado de controlos que, quando implementados corretamente juntamente com atividades de conformidade de suporte, permitem que as equipas de engenharia cumpram as principais normas e certificações.

Como serviços online manter os requisitos de segurança e conformidade atualizados?

As equipas de Governação, Risco e Conformidade de cada serviço online (GRC) trabalham para manter o Framework de Controlo de forma contínua. Vários cenários podem exigir que a equipa GRC atualize a estrutura de controlo, incluindo alterações em regulamentos ou leis relevantes, ameaças emergentes, resultados de testes de penetração, incidentes de segurança, comentários de auditoria e novos requisitos de conformidade. Quando é necessária uma alteração de arquitetura, a equipa de Confiança identifica os principais intervenientes responsáveis pela aprovação e implementação da alteração para garantir que é viável e não causará problemas inesperados com os serviços Online. Assim que a equipa do GRC e os intervenientes relevantes chegarem a acordo sobre o que a alteração requer, as cargas de trabalho responsáveis pela implementação das datas de conclusão de destino definidas pela alteração e trabalham para implementar a alteração nos respetivos serviços. Depois de os destinos de implementação terem sido cumpridos, a equipa de Confiança atualiza a estrutura de controlo com os controlos novos ou atualizados.

Os serviços online da Microsoft são regularmente auditados relativamente à conformidade com as certificações e regulamentos externos. Veja a tabela seguinte para obter a validação de controlos relacionados com governação, risco e conformidade.

Azure e Dynamics 365

Auditorias externas Section Data do relatório mais recente
ISO 27001

Declaração de Aplicabilidade
Certificado
A.5: Políticas de segurança de informações
A.18.1: Conformidade com os requisitos legais e contratuais
A.18.2: Revisões de segurança de informações
8 de abril de 2024
ISO 27017

Declaração de Aplicabilidade
Certificado
A.5: Políticas de segurança de informações
A.18.1: Conformidade com os requisitos legais e contratuais
A.18.2: Revisões de segurança de informações
8 de abril de 2024
ISO 27018

Declaração de Aplicabilidade
Certificado
A.5: Políticas de segurança de informações 8 de abril de 2024
ISO 22301

Certificado
6.1.1: Determinar riscos e oportunidades
6.1.2: Abordar riscos e oportunidades
8 de abril de 2024
SOC 1 IS-1: Política de segurança da Microsoft
IS-2: Revisão da política de segurança da Microsoft
IS-3: Funções e responsabilidades de segurança
16 de agosto de 2024
SOC 2
SOC 3
C5-1: Procedimentos operacionais padrão
IS-1: Política de segurança da Microsoft
IS-2: Revisão da política de segurança da Microsoft
IS-3: Funções e responsabilidades de segurança
SOC2-14: Acordos de confidencialidade e não divulgação
SOC2-18: Requisitos legais, regulamentares e contratuais
SOC2-19: Programa de conformidade multifuncional
SOC2-20: programa ISMS
SOC2-26: Avaliação anual de riscos
20 de maio de 2024

Microsoft 365

Auditorias externas Section Data do relatório mais recente
FedRAMP CA-2: Avaliações de segurança
CA-5: Plano de ação e marcos
PL-2: Plano de segurança do sistema
RA-3: Avaliação de riscos
21 de agosto de 2024
ISO 27001/27017

Declaração de Aplicabilidade
Certificação (27001)
Certificação (27017)
A.5: Políticas de segurança de informações
A.18.1: Conformidade com os requisitos legais e contratuais
A.18.2: Revisões de segurança de informações
Março de 2024
SOC 1 CA-03: Gestão de riscos 1 de agosto de 2024
SOC 2 CA-02: Responsabilidades da equipa de governação, risco e conformidade
CA-03: Gestão de riscos
CA-11: Atualizações da estrutura de políticas
CA-17: Política de segurança da Microsoft
CA-24: Avaliação de riscos internos
CA-25: Atualizações da arquitetura de controlo
23 de janeiro de 2024

Recursos