如何實踐遵循國際資安標準的Microsoft365雲端資訊架構（第一集）

 

前言

由於這幾年所發生的COVID-19促使全球不同的組織或企業都進一步的使用雲端服務來提供組織能因應新經濟架構的商務運作，當然同時也促進了對雲端網路資安架構的需求，因此，我相信有許多組織都會提出一些要如何來實踐具有符合國際資安商務運作標準的雲端資訊架構。

2024年10月，微軟的Microsoft 365正式成為支援美國聯邦政府的雲端資訊架構，並針對美國聯邦政府所需要的資訊安全與合規需求進行了各種不同的優化。
在今年我們對微軟Microsoft 365更新環境的觀察，更進一步的證實了目前與未來的Microsoft 365，的確更適合來提供組織實踐能夠符合國際資料標準的雲端商務運作的資訊架構。
但是，隨之而來的就是要如何來按部就班的使用Microsoft 365來實踐具有符合國際資安標準的商務運作資訊架構，因此，基於以上的理由，接下來，如果有機會，我會陸陸續續的來引導了解如何可以按部就班的來實踐能夠符合國際資安標準的Microsoft 365資訊架構。

期初評估

首先第一集我們要先來談的是要使用Microsoft 365來建立一個具有符合國際資安標準的資訊架構需要具備有什麼樣的條件：

1. 了解並選擇適用的國際資訊安全標準：
   • 首先，您必須先對所要部署的組織，根據該商務運作的產業類別來了解該產業需要遵循國際資安標準有哪一些？例如最基本的國際資安標準：ISO/IEC 27001、27002、27017、27018、NIST Cybersecurity Framework(CSF)、GDPR、HIPPA… 等。
     • ISO/IEC 27001是專注於資訊安全所需最基本的國際標準，是任何需要使用到資訊架構的商務運作組織（包括任何規模或行業的組織），所需通過採用資訊安全管理系統來建立有系統並具有高經濟效率的保護該組織的資訊。
     • 而ISO/IEC 27002則是側重在組織進有可能的選擇有效實施資訊安全控制的補充標準。
   • 如果要在ISO/IEC 27001/27002的基礎下，使用雲端的資訊服務架構，則還要參考並遵循ISO/IEC 27017/27018。
     • ISO/IEC 27017是提供組織使用雲端架構的資訊安全指南，以提供組織可以對將要使用的雲端服務提供者，進行該雲端資訊安全架構的可靠評估。
     • ISO/IEC 27018則是專為雲端資訊架構的數據隱私而制定的國際標準。
2. 了解需要實施的資訊安全管理系統(ISMS)架構：
   • 根據 ISO/IEC 27001 的標準，要實踐具有資訊安全標準的架構必須建立並維護一個資訊安全管理系統，這個系統必須包括能夠制定安全政策、風險管理流程、建立存取控制措施以及能持續進行安全程序的改進計劃。
   • 要實施符合現有最新潮的資訊安全管理系統，不僅需要遵循以上所說明的國際標準架構外（包括了雲端架構），還要遵循目前最新潮的「零安全資訊架構/Zero Security Architecture」。
3. 實踐符合國際資安標準的Microsoft 365安全功能：

   依據國際資安標準，組織在部署資訊安全架構的前期，應先要決定該組織在該產業下，應建立符合何種安全等級的資訊安全架構，基本安全等級會區分成基本安全等級、中階安全等級、高階安全等級。 因此，對於要使用Microsoft 365 的安全功能來實踐具有標準的資訊安全架構就必須先決定要實踐的安全等級。

   • Microsoft 365提供多種安全功能，例如：資料加密、身份驗證、多因素驗證(MFA)、資料遺失防護(DLP)和敏感資訊類型識別等，這些功能可以幫助您保護敏感資料並符合合規要求。
   • 依據以上的安全等級分類，要達到基本安全等級需要的最基本授權是Microsoft 365的商務進階版，中階安全等級則需要Microsoft 365 E3的企業版、高階的安全等級則需要Microsoft 365 E5的企業版。
4. 建立定期的審計與監控活動：
   • 根據國際資安標準系統的需求，需要定期的進行安全的審計與監控活動，以確保所有安全措施有效運行並符合標準要求。
   • Microsoft 365提供了安全與合規中心來監控和管理由雲端資訊架構的安全事件，其中包含了對終端與地端的整合性安全架構。
5. 員工培訓與意識提升：
   • 確保所有員工了解並遵循安全政策和程序，定期進行安全培訓和意識提升活動，以減少人為因素帶來的安全風險。
   • 此部份便是我們之後要陸陸續續介紹需要學習的安全架構的部署。
6. 持續改進：
   • 根據審計結果和最新的安全威脅，不斷改進您的安全措施和管理系統，確保持續符合國際資安標準。
   • 此部分在Microsoft 365是最不擔心的部分，因為Microsoft 365為了精進雲端資訊架構的安全服務，會不斷的優化並改進以往不足之處，因此我們也必須隨著不同更新的版本來更新所需學習的內容。

結論

根據本篇所討論的結論，要實踐Microsoft 365符合國際資安標準的雲端架構，前提要先學習符合國際資訊安全標準的基本知識，在具備了這些標準的基本知識後，才能夠進一步的評估並實踐在Microsoft 365下，符合國際資訊安全標準的資訊架構。
這個基本知識，我們會強烈的建議您先完成CompTIA的Network+與Security+的國際認證課程，如此便能先奠定您要了解符合國際資訊安全架構的基礎內容有哪些？然後才能夠根據所需要的國際標準來對應到如何實踐Microsoft 365的各項安全功能。
為了讓您能夠繼續關切後面陸續介紹的內容，在此先列出根據國際資訊安全架構所需要的資訊管理系統，我們會依照這個排序來分別介紹在Microsoft 365下，所對應要實踐的管理系統。
這系列的資訊管理系統依序為：風險管理系統、資產管理系統、識別存取管理系統、設定管理系統、變更管理系統、控制管理系統、內容管理系統、合規管理系統、溝通管理系統、資訊事件管理系統、安全自動化協調管理系統、事件回應管理系統等。

您可在下列課程中了解更多技巧喔！

相關學習資源

• MS900Microsoft 365 Fundamentals認證班
• MS102Microsoft 365管理者認證班
• SC900Microsoft安全性、合規性和身份基礎知識
• SC300Microsoft身份和存取管理員
• SC400Microsoft資訊保護管理員