当前位置: 首页 > Microsoft Azure > 正文

Azure Administrator认证学习指南之云计算安全合规性条款体系-02

企业业务系统迁移到云计算平台,云计算提供商必须遵从全球或者国家或地区信息安全保护条例,以证明数据存储当您的数据中心中有足够的安全性,因为我们常常会涉及如下问题:

  • 在处理敏感数据时,云提供商的符合程度如何?
  • 云提供商提供的服务的符合程度如何?
  • 如何将自己的基于云的解决方案部署到具有认证或合规性要求的方案中?
  • 哪些条款是提供商隐私声明的一部分?


以下以Microsoft Cloud为例,证明云计算从平台层面是安全的。

  • 中国国家信息安全等级保护。国家等级保护认证是中国最权威的信息产品安全等级资格认证,由公安机关依据国家信息安全保护条例及相关制度规定,按照管理规范和技术标准,对各机构的信息系统安全等级保护状况进行认可及评定。Microsoft Cloud在中国大陆境内通过了国家信息安全等级保护三级认证
  • 可信云认证。可信云服务认证是我国目前唯一针对云服务的权威认证体系,由数据中心联盟和云计算发展与政策论坛联合组织。Microsoft Cloud在中国大陆境内通过了可信云服务认证
  • CJIS。任何想要访问FBI刑事司法信息服务(CJIS)数据库的美国国家或地方机构都必须遵守CJIS安全政策。Azure是唯一一家在合同中承诺遵守CJIS安全政策的主要云提供商,其合同要求Microsoft遵守与执法机构和公共安全实体必须满足的要求相同的要求。
  • CSASTAR认证。Azure、Intune和MicrosoftPowerBI已获得STAR认证,该认证涉及对云提供商安全态势进行严格的独立第三方评估。此STAR认证以获得ISO/IEC27001认证并符合CCM中规定的标准为依据。它表明云提供商符合ISO/IEC27001的适用要求、已经解决了CCM中列出的云安全关键问题,并已根据STAR能力成熟度模型针对CCM控制区域中的活动管理进行评估。
  • 一般数据保护条例(GDPR)。自2018年5月25日起,欧洲隐私法—GDPR—已生效。GDPR针对向欧盟(EU)居民提供产品及服务,或收集和分析欧盟居民相关数据的公司、政府机构、非营利组织和其他组织制定了新的规则。无论你身在何处,均需遵守GDPR。
  • 欧盟示范条款。Microsoft向客户提供欧盟标准合同条款,该条款为在欧盟以外地区进行的个人数据传输提供合同保证。Microsoft是第一家获得欧盟第29条工作组联合批准的公司,这表明Azure向其企业云客户提供的合同隐私保护符合当前欧盟国际数据传输标准。这可确保Azure客户能够使用Microsoft服务通过Microsoft的云从欧洲自由地将数据传输到世界其他地区。
  • HIPAA。健康保险便利和责任法案(HIPAA)是一项美国联邦法律,监管患者的受保护健康信息(PHI)。Azure为客户提供HIPAA商业伙伴协议(BAA),其中规定遵守HIPAA和HITECH法案中的特定安全和隐私条款。为帮助客户完成其各自的合规性工作,Microsoft以合同附录的形式向Azure客户提供BAA。
  • ISO/IEC27018。Microsoft是第一家采用ISO/IEC27018业务守则的云提供商,其中涵盖云提供商对个人信息的处理。
  • 新加坡多层云端安全(MTCS)认证。经MTCS认证机构严格评估后,Microsoft云服务在全部三个服务分类中均获得MTCS584:2013认证,这三个服务分类为基础结构即服务(IaaS)、平台即服务(PaaS)和服务型软件(SaaS)。Microsoft是第一个在全部三个分类中获得此认证的全球云解决方案提供商(CSP)。
  • 服务组织控制(SOC)1、2和3。Microsoft涵盖的云服务由独立的第三方审核机构针对SOC报告框架至少每年审核一次。Microsoft云服务审核涵盖了对每个服务的范围内信任原则适用的数据安全性、可用性、处理完整性和保密性的控制。
  • 美国国家标准与技术研究院(NIST)网络安全框架(CSF)。NISTCSF是一个自愿性框架,由管理网络安全相关风险的标准、指南和最佳做法组成。Microsoft云服务已经过独立的第三方联邦风险和授权管理计划(FedRAMP)中级基线和高级基线审核,并根据FedRAMP标准进行了认证。此外,通过卫生信息信托联盟(HITRUST)(一家领先的安全和隐私标准开发及认证组织)执行的验证评估,Office365经认证符合NISTCSF中规定的目标。
  • 英国政府的政府云服务(G-Cloud)。英国政府的G-Cloud是一项针对英国政府机构使用的服务的云计算认证。Azure已获得英国政府泛政府认证的官方认证。

本文固定链接: http://365vcloud.net/2019/02/18/cloud-computing-compliance/ | Eric的学习之路

该日志由 TingXu 于2019年02月18日发表在 Microsoft Azure 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: Azure Administrator认证学习指南之云计算安全合规性条款体系-02 | Eric的学习之路
关键字:

Azure Administrator认证学习指南之云计算安全合规性条款体系-02:等您坐沙发呢!

发表评论

您必须 [ 登录 ] 才能发表留言!