Padrões de gerenciamento de segurança de informações ISO/IEC 27001:2013
Visão geral da ISO/IEC 27001
A ISO (International Organization for Standardization) é uma organização não governamental independente e o maior desenvolvedor de padrões internacionais voluntários do mundo. A IEC (International Electrotechnical Commission) é a principal organização do mundo na preparação e publicação de padrões internacionais para tecnologias elétricas, eletrônicas e relacionadas.
Publicada pelo subcomitê conjunto da ISO/IEC, o conjunto de padrões ISO/IEC 27000 descreve centenas de controles e mecanismos de controle para ajudar as organizações de todos os tipos e tamanhos a manter a segurança de seus ativos de informações. Esses padrões globais fornecem uma estrutura de políticas e procedimentos que incluem todos os controles legais, físicos e técnicos envolvidos nos processos de gerenciamento de riscos das informações da organização.
A ISO/IEC 27001 é um padrão de segurança que especifica formalmente um ISMS (Information Security Management System) que tem como objetivo submeter a segurança de informações ao controle de gerenciamento explícito. Como uma especificação formal, ela determina requisitos que definem como implementar, monitorar, manter e melhorar o ISMS continuamente. Também prescreve um conjunto de práticas recomendadas que inclui requisitos de documentação, divisões de responsabilidade, disponibilidade, controle de acesso, segurança, auditoria e medidas corretivas e preventivas. A certificação ISO/IEC 27001 ajuda as organizações a atender a diversos requisitos regulatórios e legais relacionados à segurança de informações.
Microsoft e ISO/IEC 27001
A aceitação internacional e a aplicabilidade da ISO/IEC 27001 são os principais motivos que fazem com que a certificação desse padrão esteja na vanguarda da abordagem da Microsoft para implementar e gerenciar a segurança das informações. A conquista da certificação ISO/IEC 27001 pela Microsoft indica seu compromisso em atender às promessas dos clientes do ponto de vista comercial de conformidade com a segurança. Atualmente, tanto o Azure Público quanto o Azure Alemanha são auditados uma vez por ano para conformidade com a ISO/IEC 27001 por um corpo de certificação credenciado por terceiros, oferecendo validação independente de que os controles de segurança estão em vigor e funcionando de forma eficaz.
Saiba mais sobre os benefícios do ISO/IEC 27001 na Nuvem da Microsoft: baixe o ISO/IEC 27001:2013.
Plataformas e serviços em nuvem no escopo da Microsoft
- Azure, Azure Government e Azure Alemanha
- Azure DevOps Services
- Microsoft Defender for Cloud Apps
- Microsoft Defender para Ponto de Extremidade
- Dynamics 365, Dynamics 365 Government e Dynamics 365 Germany
- Microsoft Graph
- Bot do Microsoft Healthcare
- Intune
- Área de Trabalho Gerenciada da Microsoft
- Serviço de nuvem do Power Automate (anteriormente Microsoft Flow) como um serviço autônomo ou incluído em um plano ou pacote do Office 365 ou Dynamics 365
- Office 365, Office 365 U.S. Government e Office 365 U.S. Government Defense
- Office 365 Alemanha
- Mapa do serviço do OMS
- Serviço de nuvem do PowerApps como um serviço autônomo ou incluído em um plano ou pacote do Office 365 ou do Dynamics 365
- Serviço de nuvem do Power BI como um serviço autônomo ou incluído em um plano ou pacote do Office 365
- Power BI incorporado
- Agentes virtuais do Power
- Serviços Profissionais da Microsoft
- Microsoft Stream
- Especialistas em ameaças da Microsoft
- Microsoft Translator
- Tópicos
- Windows 365
Azure, Dynamics 365 e SOC 27001
Para obter mais informações sobre o Azure, Dynamics 365 e outras serviços online conformidade, consulte a oferta iso 27001 do Azure.
Office 365 e ISO 27001
ambientes Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Esta seção aborda os seguintes ambientes de Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
| Aplicabilidade | Serviços no escopo |
|---|---|
| Comercial | Access Online, Microsoft Entra ID, Serviço de Comunicações do Azure, Gerenciador de Conformidade, Caixa de Bloqueio do Cliente, Delve, Exchange Online, Proteção do Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender para Office 365, Microsoft Teams, Microsoft Viva Topics, MyAnalytics, Conformidade Avançada do Office 365 complemento, Office 365 Portal do Cliente, Office 365 Microsserviços (incluindo, mas não se limitando a Kaizala, ObjectStore, Sway, Power Automate, PowerPoint Online Document Service, Serviço de Anotação de Consulta, Sincronização de Dados Escolares, Siphon, Fala, StaffHub, programa de aplicativos eXtensible), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Infraestrutura do Office Services, OneDrive for Business, Planner, PowerApps, Power BI, Project Online, Service Encryption com Microsoft Purview Customer Key, SharePoint Online, Skype for Business, Stream |
| GCC | Microsoft Entra ID, Serviço de Comunicações do Azure, Gerenciador de Conformidade, Delve, Exchange Online, Formulários, Microsoft Defender para Office 365, Microsoft Teams, Microsoft Viva Topics, MyAnalytics, Conformidade Avançada do Office 365 complemento, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream |
| GCC Alta | Microsoft Entra ID, Serviço de Comunicações do Azure, Exchange Online, Formulários, Microsoft Defender para Office 365, Microsoft Teams, Conformidade Avançada do Office 365 complemento, Office 365 Central de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business |
| DoD | Microsoft Entra ID, Serviço de Comunicações do Azure, Exchange Online, Formulários, Microsoft Defender para Office 365, Microsoft Teams, Conformidade Avançada do Office 365 complemento, Office 365 Central de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business |
Auditorias Office 365, relatórios e certificados
Os serviços de nuvem do Office 365 são auditados pelo menos anualmente de acordo com o padrão ISO 27001:2013.
Avaliações e relatórios do Office 365
- Final do Relatório de Avaliação iso do Microsoft 365 (2023)
- Office 365 - ISO 27001, 27017, 27018, 27701 Instrução de Aplicabilidade (2.23.2022)
Perguntas frequentes
Por que a conformidade do Office 365 com o ISO/IEC 27001 é importante?
A conformidade com esses padrões, confirmada por um auditor credenciado, demonstra que a Microsoft usa processos e práticas recomendadas reconhecidos internacionalmente para gerenciar a infraestrutura e a organização que dão suporte e fornecem seus serviços. O certificado confirma que a Microsoft implementou as orientações e os princípios gerais de criação, implementação, manutenção e aprimoramento do gerenciamento de segurança de informações.
Onde posso obter relatórios de auditoria da ISO/IEC 27001 e declarações de escopo dos serviços Office 365?
O Portal de Confiança de Serviços fornece relatórios de conformidade auditados de forma independente. Você pode utilizar o portal para solicitar relatórios para que seus auditores possam comparar os resultados dos serviços em nuvem da Microsoft com suas solicitações legais e regulatórias.
Os testes anuais são executados para falhas de infraestrutura do Office 365?
Sim. O processo de certificação anual da ISO/IEC 27001 do grupo de Infraestrutura e Operações do Microsoft Cloud inclui uma auditoria de resiliência operacional. Para exibir o certificado mais recente, selecione o link abaixo.
- Certificado microsoft 365 e Office 365: Office 365 – CERTIFICADO ISO 27001:2013 (2021-2024)
Por onde começo a iniciativa de conformidade em minha empresa para adotar a ISO/IEC 27001?
A adoção da ISO/IEC 27001 é um compromisso estratégico. Como ponto de partida, confira o Diretório ISO/IEC 27000.
Posso usar a conformidade dos serviços Office 365 com a ISO/IEC 27001 no processo de certificação de minha organização?
Sim. Se a sua empresa exige a certificação ISO/IEC 27001 para implementações implantadas em serviços da Microsoft, você pode usar a certificação aplicável para a sua avaliação de conformidade. Contudo, você é responsável por contratar um avaliador para analisar os controles e processos dentro de sua organização e a implementação da conformidade ISO/IEC 27001.
Use o Microsoft Purview Compliance Manager para avaliar seu risco
O Microsoft Purview Compliance Manager é um recurso no portal de conformidade do Microsoft Purview para ajudá-lo a entender a postura de conformidade da sua organização e tomar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade tem uma avaliação prévia para essa regulamentação para clientes do Enterprise E5. Encontre o modelo para criar a avaliação na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Gerenciador de Conformidade.
Recursos
- Mapear ofertas cibernéticas da Microsoft para: NIST Cybersecurity (CSF), Estruturas de Controles CIS e ISO 27001:2013
- Padrão ISO/IEC 27001:2013 (para compra)
- A Microsoft define um alto padrão para a segurança das informações (Estudo de caso da BSI)
- Estrutura de Conformidade do Hub de Controles Comuns da Microsoft
- Termos de Serviços Online da Microsoft
- Microsoft Cloud for Government
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários