당사는 제3자의 감사와 인증을 받으므로 모든 서비스가 엄격한 보안 지침에 의해 설계 및 운영됨을 신뢰할 수 있습니다.
Microsoft는 고객이 기대하는 수준의 보안 및 개인정보취급방침을 준수하여 서비스를 운영하며 사용자에게 Microsoft의 보안 및 개인정보취급방침에 대한 명확한 보장을 제공하는 것을 목표로 합니다. Microsoft는 우발적 손실, 파괴 또는 변경, 무단 공개 또는 액세스, 불법적 파괴로부터 고객 데이터를 보호하기 위해 적절한 기술적, 조직적 조치, 내부 통제 및 정보 보안 절차를 수립하여 관리합니다. 매년 Microsoft는 국제적으로 인정받는 감사자를 통한 제3자 감사를 실시하여 보안, 개인 정보 보호, 지속성 및 규정 준수 방침 및 절차를 준수하고 있다는 독자적인 인증을 받은 사실을 입증하고 있습니다.
| MS 온라인 인증 및 규정 준수 찾아보기 | |
| Office 365 | |
| Microsoft Dynamics CRM Online |
|
| Office 365 및 Microsoft Dynamics CRM Online 데이터 센터 및 물리적 인프라(Microsoft Global Foundation Services 제공) | |
이 정보는 일반적인 정보 제공 목적으로만 제공됩니다. 이 정보는 언제든지 변경될 수 있으며 Microsoft의 약속이나 보증으로 해석될 수 없습니다.
SAS 70(Statement on Auditing Standards No.70)은 AICPA(American Institute of Certified Public Accountants)에서 수립한 감사 표준으로서 서비스 조직을 대상으로 하고 있습니다. 서비스 조직은 일반적으로 고객의 관리 환경에 영향을 주는 외주 서비스를 제공하는 업체입니다. 서비스 조직의 예를 들면 보험 및 의료비 청구 처리자, 호스팅된 데이터 센터, 응용 프로그램 서비스 공급자(ASP) 및 관리되는 보안 공급자 등입니다. 2011년 6월 15일자로 발효되는 SSAE 16(Statement on Standards for Attestation Engagements No. 16)은 서비스 조직의 관리 준수에 대한 독립적 인증을 제공하는 표준으로 SAS 70에 우선합니다. SSAE 16 및 SAS 70 감사는 보안 관리 규정 준수 및 보안 관리의 효과를 독립적으로 인증합니다.
SSAE 16 또는 SAS 70 서비스 감사자의 검사("SAS 70/SSAE 16 감사") 결과 서비스 감사자는 다음 사항에 대한 의견을 제시합니다.
1. 서비스 조직의 관리 설명이 타당하게 제시되었는지 여부
2. 서비스 조직의 관리가 효과적으로 설계되었는지 여부
3. 서비스 조직의 관리가 지정된 날짜에 운영되고 있는지 여부
4. 서비스 조직의 관리가 지정된 기간 동안 효과적으로 운영되고 있는지 여부 (SAS 70 Type II/ SSAE 16 SOC 1 Type II에만 해당).
Microsoft의 SAS 70/SSAE 16 감사는 외부의 제3자("4대(Big Four)" 회계 법인 중 하나)가 수행합니다.
SAS 70/SSAE 16 감사는 연 1회 수행됩니다. 작성되는 감사 보고서에는 관리 상태에 대한 외부 제3자의 의견이 포함됩니다. 감사의 표준과 유형에 대한 자세한 정보는 www.aicpa.org에서 찾을 수 있습니다.
GFS(Global Foundational Services)는 Office 365, BPOS-S, BPOS-D, Dynamics CRM Online 및 Windows Azure와 같은 Microsoft 온라인 자산에 인프라(데이터 센터 및 네트워킹) 서비스를 제공합니다. Office 365 및 Dynamics CRM Online에 대한 응용 프로그램 계층 관리는 현재 SSAE 16 SOC 1 Type I에 따라 1차, SSAE SOC 1 Type II에 따라 2차 평가될 계획입니다. Office 365 및 Dynamics CRM Online SSAE 16 보고서는 GFS 보고서 위에 누적되므로 처음부터 끝까지 관리 체계에 대한 모든 내용을 제공합니다. GFS는 지금 SAS 70 Type II 인증을 받았으며 다음에 예정된 정기 감사에서 SSAE 16으로 감사를 받을 것입니다.
Microsoft Online Services 정보 보안 정책은 온라인 서비스 특정 요구 사항이 강화된 ISO 27002를 준수합니다. 조직은 ISMS(Information Security Management System)에 대한 ISO 27001 인증을 받을 수 있으며 이는 일반적으로 ISO 27002 정보 보안 표준을 기반으로 합니다. ISO는 Microsoft Online Services의 기초로서 2009년 이후 이 서비스의 지원 인프라 역할을 하고 있으며 BSI(British Standards Institution)의 인증을 받았습니다. ISO 표준(공개적으로 이용 가능)을 검토하시기 바랍니다.
모든 ISO 인증은 공개적으로 이용할 수 있습니다.
ISO 27000 표준 그룹은 범위, 개인 정보 보호 적용, 비밀 유지 및 기술적 보안 문제에 대해 의도적으로 광범위하게 적용되며 "조직 내의 정보 보안 관리 체계를 시작, 구현, 유지 관리 및 개선하기 위한 지침 및 일반 원칙을 수립했습니다." 이러한 목적을 위해 이 표준은 예상되는 수백 가지의 관리 및 관리 체계를 정리해 놓았습니다.
GFS(Global Foundational Services)는 BPOS-S, BPOS-D, Dynamics CRM Online, Office 365 및 Windows Azure 같은 Microsoft 온라인 자산에 인프라(데이터 센터 및 네트워킹) 서비스를 제공합니다. ISO 인증용 응용 프로그램 계층 관리는 GFS 인증 위에 누적되므로 처음부터 끝까지 관리 체계의 모든 내용을 제공합니다.
유럽 연합은 EU 데이터 보호 규정을 통해 미국 및 기타 대부분의 국가보다 더 엄격한 개인 정보 보호 규정을 적용합니다. 이러한 규정을 집행하기 위해 EU는 일반적으로 아래 설명된 "Safe Harbor" 인증과 같이 공인된 방식으로 전송이 합법화되는 상황을 제외하고 개인 정보가 국경을 넘어 전송될 수 없도록 금지합니다.
국제 업무상 필요한 정보의 지속적인 흐름을 허용하기 위해 유럽 위원회(EC)는 미국 상무부와 계약을 체결하였으며, 이를 통해 미국의 조직은 EU 규정의 요구 사항에 대체로 일치하는 Safe Harbor 원칙을 준수한다는 자체 인증을 할 수 있게 되었습니다.
기업이 EU에서 미국으로 데이터를 합법적으로 전송하려면 미국 회사나 기타 조직은 EU의 개인 정보 보호 규정과 일치하는 Safe Harbor 원칙을 준수한다는 사실을 공개적으로 인증해야만 합니다. Microsoft가 Safe Harbor 인증을 받았기 때문에 Microsoft Online Services는 EU에서 미국으로 데이터를 전송할 수 있습니다.
미국 상무부 웹 사이트의 Microsoft 인증과 아울러 다음 링크의 인증 원칙을 검토하시기 바랍니다. Safe Harbor 규정 및 인증.
Microsoft는 2001년에 처음으로 Safe Harbor 프로그램에 따라 인증을 받았으며 12개월마다 Safe Harbor 원칙 준수 상태를 재인증합니다.
EU 회원국 외에 유럽 경제 구역(유럽경제지역: 아이슬란드, 리히텐슈타인 및 노르웨이)도 Safe Harbor 규정에 따라 인증을 받은 조직은 자국에서 미국으로의 국경을 넘는 전송을 정당화하는 적절한 개인 정보 보호 방식을 제공하는 것으로 인정하고 있습니다. 스위스는 미국 상무부와 거의 유사한 계약("스위스-미국 Safe Harbor")을 체결하고 스위스에서 미국으로의 전송을 법적으로 허가하고 있으며 Microsoft는 이에 대해서도 인증을 받았습니다.
캐나다와 아르헨티나 같은 기타 여러 국가에서 포괄적인 개인 정보 보호법이 통과됨에 따라 EU는 EU에서 이러한 국가로의 데이터 전송을 허용했습니다.
사용자의 요구에 비추어 Microsoft의 보안 절차를 평가하는 것입니다.
Microsoft Online Services의 보안은 세계 최고 수준입니다. 그러나 특별히 민감한 데이터가 있는지 또는 해당 산업에 적용되는 규정에 따라 특정 보안 수준으로 보관해야 하는 데이터가 있는지에 대한 평가는 사용자의 책임입니다. 이러한 데이터에는 Microsoft가 제공하지 않는 특수한 보안 요구 사항이 필요합니다.
예를 들어 산업 표준상 10자로 된 암호가 필요한 분야가 있을 수 있으나 Microsoft는 주로 8자로 된 암호를 사용합니다.
Microsoft의 보안 수준이 해당 조직의 요구 사항에 맞는지 판단할 책임은 사용자에게 있습니다.
Microsoft Online Services가 특별한 보안 표준이나 여기에 언급되지 않은 요구 사항을 충족하는지 판단하기 어려운 경우에는 리소스 섹션을 확인하거나 지원 부서에 문의하시면 자세히 알려드립니다.
아니요. Microsoft Online Services는 Microsoft의 서비스 제공을 지속적으로 평가하고 개선하기 위해 ISO 27001 프레임워크를 기반으로 합니다. Microsoft Online Services 정보 보안 정책은 또한 해당 분야 최고의 보안 방식에서 비롯된 추가 요구 사항과 관련 국제, 국가 및 주/지방 요구 사항의 매핑을 통합합니다.
조직은 ISMS(Information Security Management System)에 대한 ISO 27001 인증을 받을 수 있으며 이는 일반적으로 ISO 27002 정보 보안 표준을 기반으로 합니다. 다수의 인증 기관에서 인증을 받을 수 있으며 Microsoft는 BSI(British Standards Institution)의 인증을 받았습니다. ISO 27001 감사는 ISMS에 대한 보증을 제공합니다. Microsoft는 투명성을 제공함으로써 고객이 자체 요구 사항에 비춰 Microsoft의 서비스를 평가하고 합리적인 결정을 내릴 수 있도록 지원합니다.
SharePoint Online, Lync Online, Exchange Online과 같은 Office 365 서비스는 ISO 인증을 받았습니다. Microsoft Dynamics CRM Online 서비스는 ISO 인증을 받았습니다. 서비스(네트워크 및 데이터 센터)의 인프라 계층인 GFS(Global Foundation Services)도 ISO 27001 인증을 받았습니다. Microsoft Online Services 고객은 ISO 표준(공개적으로 이용 가능)을 검토하여 자체 보안 요구 사항이 충족되는지 판단해야 합니다.
Microsoft Online Services는 고객이 판단을 내리고 Microsoft의 정책을 충분히 이해하는 데 도움을 주기 위해 다음 문서를 포함한 다수의 리소스를 제공합니다.
SAS 70은 관리 체계의 설계 및 유효성에 대한 감사를 제공하는 표준으로 미국에서 가장 많이 사용되어 왔으며, SSAE 16은 유사한 방식으로 사용될 것입니다. ISO 27001은 조직의 보안 방식을 대상으로 하는 국제 표준입니다. ISO 27001은 유럽, 일본 및 일부 아시아 국가에서 보편적으로 사용되나 미국에서도 인기를 더해가고 있습니다. ISO 27001은 일련의 보안 관리 체계를 규정하고 이러한 관리 체계를 기준으로 인증을 제공하며 SAS 70/SSAE 16에 비해 훨씬 더 포괄적인 분야에 적용됩니다. ISO 27001은 흔히 CIA(비밀 유지, 무결성, 가용성)라고 하는 보안의 세 가지 측면을 다룹니다. 3가지 보안 측면을 모두 다룹니다. 조직은 전 세계에 퍼져 있는 다수의 공인 등록자를 통해 ISO 27001 준수 상태를 인증받을 수 있습니다.
Microsoft Online Services는 일반적으로 SAS 70 감사 보고서를 영어 이외의 언어로는 받지 않습니다. 그러나 Microsoft Online Services SAS 70 감사 법인은 요청 시 감사 보고서를 대부분의 외국어로 번역할 수 있습니다. 비용은 요청 언어에 따라 다르며 요청하는 고객이 부담합니다. 제공되지 않는 언어도 있습니다. 필요하면 Microsoft Online Services 고객 지원에 문의하십시오.
Microsoft가 사용하는 데이터 액세스 제한 방법에 대해서는 보안 센터의 관리 액세스 섹션을 참조하십시오.
아니요. 개별적인 고객 감사 대신 Microsoft의 독립 감사 및 인증 내용이 고객에게 공개됩니다. 이러한 인증 및 입증은 Microsoft의 보안 및 규정 준수 목표 달성 상태를 정확히 보여 주며 모든 고객에 대한 Microsoft의 약속을 입증하는 실제적인 메커니즘으로 사용됩니다. 수천 명의 고객이 Microsoft 서비스를 감사하도록 허용하는 것은 가능한 방법이 아닐 뿐 아니라 보안에도 영향을 줄 수 있습니다.
Microsoft Online Services의 내부 모니터링에는 인프라의 규정 준수 자동 모니터링(취약성 검사, 침투 테스트, 프로세스 및 직원 관리 테스트 등)이 포함됩니다. Microsoft Online Services 제3자 입증 프로그램에는 Microsoft Online Services의 보안 상태를 입증하기 위해 연례적으로 수행되는 독립 감사가 포함됩니다.
아니요. Microsoft는 개별 고객에 맞춰 감사 의무를 사용자 지정하는 데 동의할 수 없습니다. 비용 및 다양한 의무 간에 충돌 가능성이 있으므로 감사를 사용자 지정하는 것은 실행 가능한 방식이 아닙니다.
Microsoft가 데이터 위반에 대응하는 방법에 대해서는 해당 서비스 계약의 조항을 참조하십시오.