ISO/IEC 27001:2013 Information Security Management Standards - Microsoft Compliance (2024)

  • Artikel

ISO/IEC 27001 – Übersicht

Die International Organization for Standardization (ISO) ist eine unabhängige Nichtregierungsorganisation und der weltweit größte Entwickler von freiwilligen internationalen Standards. Die International Electrotechnical Commission (IEC) ist die weltweit führende Organisation für die Vorbereitung und Veröffentlichung von internationalen Standards für elektrische, elektronische und damit verbundene Technologien.

Die vom gemeinsamen ISO/IEC-Unterausschuss herausgegebene ISO/IEC 27000-Standardfamilie beschreibt Hunderte von Kontrollen und Kontrollmechanismen, die Organisationen aller Arten und Größen dabei unterstützen, Informationsbestände sicher vorzuhalten. Diese globalen Standards stellen einen Rahmen für Richtlinien und Verfahren bereit, die alle gesetzlichen, physischen und technischen Kontrollen umfassen, welche an den Prozessen zum Informationsrisikomanagement einer Organisation beteiligt sind.

ISO/IEC 27001 ist ein Sicherheitsstandard, der ein Information Security Management System (ISMS) formal spezifiziert, das die Informationssicherheit unter ausdrückliche Verwaltungskontrolle bringen soll. Als formale Spezifikation gibt er Anforderungen vor, die definieren, wie das ISMS zu installieren, zu überwachen, zu pflegen und laufend zu verbessern ist. Außerdem werden eine Reihe von Best Practices vorgeschrieben, die Anforderungen im Hinblick auf Dokumentation, Zuständigkeitsbereiche, Verfügbarkeit, Zugriffssteuerung, Sicherheit, Prüfung und Abhilfe- und Präventivmaßnahmen umfassen. Die Zertifizierung nach ISO/IEC 27001 hilft Organisationen dabei, zahlreiche regulatorische und gesetzliche Anforderungen in Bezug auf die Informationssicherheit einzuhalten.

Microsoft und ISO/IEC 27001

Vor allem aufgrund der internationalen Akzeptanz und Anwendbarkeit von ISO/IEC 27001 hat Microsoft die Zertifizierung nach diesem Standard zu einer Grundlage für den Ansatz zur Implementierung und Verwaltung der Informationssicherheit erhoben. Die Tatsache, dass Microsoft eine Zertifizierung nach ISO/IEC 27001 erreicht hat, unterstreicht seine Verpflichtung, die Kundenversprechen aus Unternehmens- und Sicherheitscompliancesicht zu erfüllen. Derzeit werden sowohl Azure Public als auch Azure Deutschland einmal pro Jahr im Hinblick auf Compliance mit ISO/IEC 27001 von einer dritten, akkreditierten Zertifizierungsstelle überprüft. Diese Zertifizierungsstelle führt eine unabhängige Überprüfung durch, dass Microsoft die Sicherheitskontrollen eingeführt hat und diese effizient funktionieren.

Erfahren Sie mehr über die Vorteile von ISO/IEC 27001 in der Microsoft Cloud: Laden Sie iso/IEC 27001:2013 herunter.

Dienste von Microsoft-Cloudplattformen & im Gültigkeitsbereich

  • Azure, Azure Government und Azure Deutschland
  • Azure DevOps Services
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender für Endpunkt
  • Dynamics 365, Dynamics 365 Government und Dynamics 365 Deutschland
  • Microsoft Graph
  • Microsoft Healthcare Bot
  • Intune
  • Microsoft Managed Desktop
  • Power Automate-Clouddienst (ehemals Microsoft Flow) als eigenständiger Dienst oder in einem Office 365- oder Dynamics 365-Plan bzw. -Anwendungssuite enthalten
  • Office 365, Office 365 U.S. Government und Office 365 U.S. Government Defense
  • Office 365 Deutschland
  • OMS Service Map
  • PowerApps-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan oder einer -Anwendungssuite enthalten
  • Power BI-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365-Plan oder einer -Anwendungssuite enthalten
  • Power BI Embedded
  • Power Virtual Agents
  • Microsoft Professional Services
  • Microsoft Stream
  • Microsoft-Bedrohungsexperten
  • Microsoft Translator
  • Microsoft Viva Topics
  • Windows 365

Azure, Dynamics 365 und ISO 27001

Weitere Informationen zur Compliance mit Azure, Dynamics 365 und anderen Onlinediensten finden Sie im Azure ISO 27001:2013-Angebot.

Office 365 und ISO 27001

Office 365 Umgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

AnwendbarkeitIm Leistungsumfang enthaltene Dienste
KommerziellAccess Online, Azure Active Directory, Azure Communications Service, Compliance Manager, Kunden-Lockbox, Delve, Exchange Online, Exchange Online Protection, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender for Office 365, Microsoft Teams, Microsoft Viva Topics, MyAnalytics, Office 365 Advanced Compliance Add-On, Office 365 Customer Portal, Office 365 Microservices (einschließlich, aber nicht beschränkt auf Kaizala, ObjectStore, Sway , Power Automate, PowerPoint Online Document Service, Query Annotation Service, School Data Sync, Siphon, Speech, StaffHub, eXtensible Application Program), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Office Services Infrastructure, OneDrive for Business, Planner, PowerApps, Power BI, Project Online , Dienstverschlüsselung mit Microsoft Purview-Kundenschlüssel, SharePoint Online, Skype for Business, Stream
GCCAzure Active Directory, Azure Communications Service, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, Microsoft Viva Topics, MyAnalytics, Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream
GCC HighAzure Active Directory, Azure Communications Service, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business
DoDAzure Active Directory, Azure Communications Service, Exchange Online, Forms, Microsoft Defender for Office 365, Microsoft Teams, Office 365 Advanced Compliance Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business

Office 365-Prüfungen, -Berichte und -Zertifikate

Office 365-Clouddienste werden mindestens einmal jährlich anhand des Standards ISO 27001:2013 überprüft.

Office 365-Bewertungen und -Berichte

Häufig gestellte Fragen

Warum ist die Office 365-Compliance mit ISO/IEC 27001 wichtig?

Compliance mit diesen Standards, die durch einen akkreditierten Prüfer bestätigt wird, beweist, dass Microsoft international anerkannte Prozesse und Best Practices verwendet, um die Infrastruktur und die Organisation zur Unterstützung und Bereitstellung seiner Dienste zu verwalten. Das Zertifikat bestätigt, dass Microsoft die Richtlinien und allgemeinen Prinzipien zum Initiieren, Einführen, Pflegen und Verbessern der Informationssicherheitsverwaltung implementiert hat.

Wo erhalte ich die ISO/IEC 27001-Prüfberichte und Bereichserklärungen für Office 365-Dienste?

Das Vertrauensstellungsportal stellt unabhängig geprüfte Complianceberichte zur Verfügung. Sie können über das Portal Berichte anfordern, sodass Ihre Prüfer die Ergebnisse der Clouddienste von Microsoft mit Ihren eigenen gesetzlichen und regulatorischen Anforderungen vergleichen können.

Werden jährliche Tests für Office 365-Infrastrukturfehler ausgeführt?

Ja. Der jährliche Zertifizierungsprozess nach ISO/IEC 27001 für die Microsoft Cloud Infrastructure and Operations-Gruppe umfasst eine Überprüfung der Ausfallsicherheit im Betrieb. Um das neueste Zertifikat anzuzeigen, wählen Sie den Link unten aus.

Wo beginne ich mit dem Complianceprozess im Hinblick auf ISO/IEC 27001 für meine eigene Organisation?

Die Übernahme von ISO/IEC 27001 ist eine strategische Verpflichtung. Ein guter Ausgangspunkt ist die ISO/IEC 27000-Reihe.

Kann ich die ISO/IEC 27001-Compliance von Office 365-Diensten für den Zertifizierungsprozess meiner Organisation verwenden?

Ja. Wenn Ihr Unternehmen eine Zertifizierung nach ISO/IEC 27001 für Installationen benötigt, die in Microsoft-Diensten bereitgestellt werden, können Sie die entsprechende Zertifizierung für Ihre Compliancebewertung verwenden. Sie sind jedoch dafür verantwortlich, einen Auditor mit der Prüfung der Kontrollen und Prozesse in Ihrer eigenen Organisation und Ihrer Implementierung im Hinblick auf ISO/IEC 27001-Compliance zu beauftragen.

Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos

Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Complianceportal, das Ihnen hilft, den Compliancestatus Ihrer organization zu verstehen und Maßnahmen zur Verringerung von Risiken zu ergreifen. Der Compliance Manager verfügt über eine vorgefertigte Bewertung für diese Vorschrift für Enterprise E5-Kunden. Die Vorlage für die Erstellung der Bewertung finden Sie auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.

Ressourcen

ISO/IEC 27001:2013 Information Security Management Standards - Microsoft Compliance (2024)

FAQs

Does Microsoft have ISO 27001? ›

Microsoft's achievement of ISO/IEC 27001 certification points up its commitment to making good on customer promises from a business, security compliance standpoint.

Which standard is considered equivalent for the MS ISO IEC 27001? ›

Certification against any of the recognized national variants of ISO/IEC 27001 (e.g. JIS Q 27001, the Japanese version) by an accredited certification body is functionally equivalent to certification against ISO/IEC 27001 itself.

What is ISO 27001 2013 compliance? ›

ISO/IEC 27001:2013 is a security management standard that specifies security management best practices and comprehensive security controls following the ISO/IEC 27002 best practice guidance.

Which Azure services are compliant with ISO 27001 information security management standards? ›

The Azure ISO/IEC 27001 certificate covers Azure, Dynamics 365, Power Platform, and select Microsoft 365 cloud services. You can access Azure ISO/IEC 27001 audit documents from the Service Trust Portal (STP) ISO reports section.

Where can you go to see what standard Microsoft is in compliance with? ›

Sign in to the Azure portal. Navigate to Defender for Cloud > Regulatory compliance. The dashboard provides you with an overview of your compliance status and the set of supported compliance regulations.

What is the difference between ISO 27001 and ISO IEC 27001? ›

ISO 27001, also known as ISO/IEC 27001, is the central set of certification standards for planning, implementing, operating, monitoring, and improving an information security management system (ISMS).

Is ISO 27001 2013 still valid? ›

It's important to note that this new update does not impact your existing certification. Certification against ISO 27001:2013 is still allowed until April 30, 2024. But, companies should begin to update controls and processes, as to comply with the requirements in this new revision as soon as possible.

What is the difference between ISO 27001 2013 and 2022? ›

ISO 27001:2022 lists 93 controls rather than ISO 27001:2013's 114. These controls are grouped into 4 'themes' rather than 14 clauses. They are: People (8 controls)

How much does it cost to get ISO 27001 certified? ›

ISO 27001 Certification Cost Overview

The cost of ISO 27001 certification audits for Stage 1 and 2 is between $14,000 and $16,000. The audit-certification process consists of two primary stages: the documentation audit (Stage 1) and the certification audit (Stage 2).

How do I get ISO 27001 2013? ›

How to get ISO 27001 certification. To achieve ISO 27001 certification, an organisation must first develop and implement an ISMS that meets all the requirements of the Standard. Once the ISMS is in place, the organisation can then register for certification with an accredited certification body.

What are the 3 pillars of ISO 27001 2013 standard? ›

The 3 information security pillars are Availability, Confidentiality and Integrity.

What is the new version of ISO IEC 27001 2013? ›

ISO 27001:2022 is the current version of the internationally recognised Information Security Management System (ISMS) standard.

Which Microsoft Azure security can be an enterprise for a key management? ›

Azure Key Vault allows organizations to securely store and manage sensitive information, such as application secrets and cryptographic keys, in a way that is easily accessible to authorized users and applications. This allows organizations to enhance their IT security and reduce the risk of data breaches.

Does Google have ISO 27001 certification? ›

Google Cloud, our Common Infrastructure, Google Workspace, Chrome, and Apigee are certified as ISO/IEC 27001 compliant.

What does ISO stand for in Azure? ›

International Organization of Standards/International Electrotechnical Commission (ISO/IEC) 27018. Microsoft is the first cloud provider to have adopted the ISO/IEC 27018 code of practice, covering the processing of personal information by cloud service providers.

What companies have ISO 27001 certification? ›

ISO/IEC 27001
  • ARDENTEC SINGAPORE PTE LTD. PHONE.
  • BIOINFORMATICS INSTITUTE (IT SERVICES DEPARTMENT) PHONE.
  • BIRD & BIRD ATMD LLP. PHONE.
  • CTC GLOBAL PTE LTD (SERVICE DELIVERY GROUP) PHONE.
  • CYBERQUOTE PTE LTD. PHONE.
  • EQUINIX SINGAPORE PTE LTD. PHONE.
  • GETS ASIA PTE LTD. PHONE.
  • HEWLETT-PACKARD ASIA PACIFIC PTE LTD. PHONE.

Which company uses ISO 27001? ›

What do Microsoft, Verizon, Apple, Google, Intel, and Amazon have in common? As well as all being Fortune 500 companies, they are all ISO 27001 certified. With a global growth rate of 20%, ISO 27001 has become the de facto standard for information security management system certifications.

How do I know if my company has ISO 27001? ›

The best way to validate a potential vendor's certification is to ask for a copy of their certificate. Any organization with accredited certification should be happy to provide one. It is, however, essential to check that the certificate has been issued by an accredited certification body.

What security does Microsoft have? ›

Windows Security is built-in to Windows and includes an antivirus program called Microsoft Defender Antivirus.

References

Top Articles
Latest Posts
Article information

Author: Foster Heidenreich CPA

Last Updated:

Views: 6176

Rating: 4.6 / 5 (76 voted)

Reviews: 83% of readers found this page helpful

Author information

Name: Foster Heidenreich CPA

Birthday: 1995-01-14

Address: 55021 Usha Garden, North Larisa, DE 19209

Phone: +6812240846623

Job: Corporate Healthcare Strategist

Hobby: Singing, Listening to music, Rafting, LARPing, Gardening, Quilting, Rappelling

Introduction: My name is Foster Heidenreich CPA, I am a delightful, quaint, glorious, quaint, faithful, enchanting, fine person who loves writing and wants to share my knowledge and understanding with you.