如何實踐遵循國際資安標準的Microsoft Cloud資訊安全架構(第二集)

前言

大家好！好久不見！又輪到我來交文章了，本篇要來繼續談論「如何實踐遵循國際資安標準的Microsoft 365雲端資訊架構（第一集）」的題目內容。 但是，你一定會覺得很奇怪的就是，本篇的題目與第一集的題目有些不同，為什麼？這是因為微軟在2025年的趨勢是將Microsoft 365與Microsoft Azure進行架構整合的趨勢，統稱叫做Microsoft Cloud，因此本集將名稱稍做變動，以符合未來繼續談論此主題的內容，這個內容我們還是會比較以Microsoft 365為主，然後繼續針對各企業或組織要如何遵循國際資訊安全標準來規劃並部署Microsoft Cloud的資訊安全服務環境。

先講一個在去年（2024年）發生以下的好消息：

1. 2024年，Microsoft 365 正式成為美國聯邦政府資訊處理的雲端服務架構之一，並提供Microsoft 365離線部署的選項。 其中，Microsoft 365 Apps for Enterprise 提供了各項雲端服務功能、AI 整合（例如：Copilot）、安全性與合規性工具，並支援政府機構的特殊需求，其中包含以下的三種特殊環境的需求：如：
   • GCC（Government Community Cloud）
     這是微軟提供專屬於美國政府機構的 Microsoft 365 雲端環境，保證其資料中心是儲存於美國境內，除此之外，除了提供商業版相似的功能外，更強化了有關資料儲存、存取控制、合規性方面的資訊安全能力，而所提供合規性的功能更符合了包括了FedRAMP High、CJIS、IRS 1075 等政府的合規要求。
   • GCC High
     其功能面與上述類似，但適用對象是美國國防部相關的承包商、處理 CUI/ITAR 資料供應商…等，其合規性符合NIST SP 800-53、FIPS 199 High…等標準。
   • DoD（Department of Defense）環境
     其功能與第一項類似，但適用對象是美國國防部，提供最嚴格的合規性與安全性的要求，其合規性符合DISA SRG Level 5…等標準。
2. 微軟在台灣建立與全球的雲端佈局。 根據Microsoft 365 Roadmap，許多的新的資訊安全功能（如 Copilot、Purview 資安與合規性工具）都明確標示支援 GCC、GCC High、DoD 等政府雲端環境，這明顯的顯示微軟會持續擴展其在美國聯邦政府的雲端部署能力，因此也間接支持了其他的政府進行雲端服務的遷移。

以上的訊息是一直延伸到今年2025，都再一次的證實並說明Microsoft Cloud對國際資訊安全標準的支援，因此相對來說，不管對政府機構或是一般的企業、組織、公司…等，更能夠提供完整遵循國際資安標準部署的雲端服務架構。

期初評估

我們在第一集的期初評估說明了，國際資安標準的基礎是建立在NIST所提出的CSF Cybersecurity Framework(CSF)與ISO提出的27001/27002的資訊安全架構，除此之外，ISO亦提出的符合雲端資訊安全架構的27017/27018。 另外，隨著資訊安全等級的需求，還會隨著提出需符合更多的國際安全標準，例如：隱私權保護的GDPR或ISO2701。
那麼在此第二集就要來說明，當企業決定了要部署一個具有符合國際資安標準的期初評估作業是什麼？
首先，在評估一個雲端服務供應商對遵循國際資訊安全標準的能力，是由該供應商所提出對遵循國際資訊安全標準的保證。
微軟對Microsoft Cloud所提供雲端服務的遵循國際資訊安全標準的保證，公開在Microsoft Service Trust Portal/服務信任入口的網站下，以下是該網站的網址：https://servicetrust.microsoft.com/ 該網站的首頁如下圖所示：

該網站的首頁如下圖所示：

此網站提供微軟在遵循國際資訊安全標準所需的各項文件內容，其內容大致上包含以下三大部分：

• 用來證明 Microsoft Cloud 服務符合各項國際資訊安全標準的電子認證書，例如：ISO、NIST、FedRAMP、GDPR…等。
• 提供Microsoft Cloud的各項具有符合國際資訊安全標準的資安白皮書、稽核報告、資料處理政策說明…等文件。
• 說明 Microsoft 如何保護客戶資料、隱私與主權…等的各項文件。 這些相關說明的文件除了在以上所公布的網址之外，目前還有另一個網址：https://www.microsoft.com/zh-tw/trust-center 要調閱查看這些網址，必須先進行免費註冊的Microsoft Account或是使用Microsoft Entra ID的帳戶登入。

風險等級評估

根據ISO/IEC的27005/31000、NIST的CSF與SP 800-53/800-30，都明確定義了當企業要部署一個符合國際資訊安全標準的資訊架構，首先應該要先進行對企業/組織的風險評估，此項評估也包含在ISO 31000（簡稱ISO31K）以及FedRAMP(Federal Risk and Authorization Management Program) 聯邦風險與授權管理計畫，這是美國聯邦政府針對雲端產品與服務提供標準化的風險安全評估、授權和持續監控所推行的方法。 其目標是加速聯邦機構對安全雲端解決方案的採用，確保雲端服務符合嚴格的安全標準，並能處理敏感的政府資料，而此計畫將風險評估分成低（Low）、中（Moderate）、高（High）三種風險等級，其內容已被國際標準作為主要合規要求的標準。

以下便是這三種風險等級所需符合國際資訊安全標準的簡述：

• 低度風險（Low）：企業須建立符合CSF的資訊安全架構。
• 中度風險（Moderate）：企業必須建立具符合ISO/27001/27002的資訊保護控制偵測回應架構，以及各項特定性國際資訊安全標準，例如：GDPR/PCI DSS/ISO27701…等。
• 高度風險（High）：主要對象是政府機構與需相符於政府機構的企業或組織，因此除了符合中度風險等級的標準外，還需符合各項資訊安全架構的要求，例如：ISO22301/27005/27017/27018…等，以及FedRAMP High的要求。

因此，企業在進行的企業風險評估作業後，便要先來決定企業要部署的資訊架構要符合的是哪一種風險等級的資訊安全架構。 在決定了採用哪一種風險等級後，便可以來選擇需要部署的Microsoft 365的版本，以下便來說明一下，Microsoft 365在符合資訊安全標準的各項版本。

版本選擇

• 低度風險（Low）：
  Microsoft 365 的商務「基本版/Basic」與「標準版/Standard」適用於低度風險等級的資訊安全架構的部署，這兩項版本都同過了HITRUST評估，符合了NIST的CSF基本網路安全框架。 以下便是這兩項版本的CSF符合內容表：
  
  

  NIST CSF 五大功能	商務 基本版/標準版 支援情況
  Identify（識別）	基本資產管理、帳號管理（Microsoft Entra ID）
  Protect（保護）	多重身份驗證（MFA）、Exchange Online Protection、資料加密（OneDrive/SharePoint）
  Recover（復原）	支援版本歷程、回收站、基本備份與還原功能
  Detect（偵測）	無內建 SIEM/XDR，需升級至 Premium 或 E5
  Respond（回應）	無自動化應變工具，需手動處理或升級

  
  從以上的表可看出，低度風險等級一定要符合的標準，是NIST CSF的前三項，如果能夠符合後兩項，則是Better，因此可以使用商務進階版以上的版本，其中包含企業版的E3或E5版本。
• 中度風險（Moderate）：
  有符合中度風險等級的版本是需要從商務進階版以上的版本，包括企業E3、E5版才能符合中度風險，例如：下面是企業E3版對CSF符合內容表：
  
  

  NIST CSF 五大功能	企業 E3 版
  Identify（識別）	使用 Microsoft Entra ID 進行身份管理與資產盤點
  Protect（保護）	支援 MFA、條件式存取、資料加密、DLP
  Recover（復原）	支援資料備份、保留、版本與復原機制
  Detect（偵測）	提供基本稽核與活動記錄、異常偵測
  Respond（回應）	可透過 Microsoft Purview 來提供回應活動

  
  確認E3版有通過的國際安全標準，包括了FedRAMP Moderate、HITRUST CSF、NIST CSF…等的第三方稽核，而商務進階版則是有符合以上的國際安全標準，而並非直接通過，除此之外，其他有些較細節性的國際安全標準所需的功能，則必須是E5的版本才有提供。 國際資訊安全標準的中度風險等級通常適用在金融、製造、教育、醫療…等各產業。
• 高度風險（High）：
  要符合國際資訊安全的高度風險等級，至少需要企業E5版本的環境，但如果是政府機構，則還不夠，因此微軟針對符合政府機構的資訊安全標準提供了Microsoft 365 GCC(Government Community Cloud)的專屬版，不過目前此版本只提供給美國聯邦政府所使用。

結論

本集結論便是當企業想要建立具有遵循國際資訊安全標準的雲端架構資訊架構，首先的第一件事，便是先進行企業的風險評估來決定企業所需要的資訊安全風險等級。 在決定了所需要的資訊安全風險等級來選擇所需要的Microsoft 365的版本為何？然後調整企業在不同部門對風險等級的國際資訊安全標準的需求是否需要提升。如果是，便可以部份選擇符合風險等級較高的版本來提升該部門對國際資訊安全標準的需求。

您可在下列課程中了解更多技巧喔！