Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Información general del BIR 2012
Las organizaciones que operan en el sector público holandés deben demostrar el cumplimiento normativo del estándar básico Informatiebeveiliging Rijksdienst (BIR 2012). BIR 2012 proporciona un marco de trabajo estándar basado en ISO 27001 e ISO 27002. Para las organizaciones que usan Microsoft Azure o Microsoft 365, Microsoft administra parte de los controles de BIR 2012 para estos servicios en la nube en línea con el modelo de responsabilidad compartida en informática en la nube. Por lo tanto, las organizaciones que necesitan cumplir con BIR 2012 deben determinar si los servicios subyacentes de Microsoft que usan cumplen con BIR 2012.
El informe de cobertura de BIR ofrece instrucciones para las situaciones en las que los estándares de BIR están cubiertos por las certificaciones ISO 27001 existentes disponibles para servicios en la nube de Microsoft. Cuando hay controles BIR adicionales que no están cubiertos por la norma ISO 27001, se hacen referencias a otras atestaciones independientes, documentación de auditoría o declaraciones contractuales.
Microsoft y BIR 2012
Aunque Microsoft no está sujeto al cumplimiento de BIR 2012, los clientes del sector gubernamental que buscan usar servicios en la nube pueden usar las certificaciones existentes de Microsoft para determinar su cumplimiento con este estándar. Azure y Microsoft 365 se someten a diversas certificaciones y atestaciones periódicas independientes, algunas de las cuales están estrechamente relacionadas con BIR 2012.
Descargue la guía de usuario de la nube de Microsoft: Azure y Office 365 BIR-2012
Servicios y plataformas en la nube de Microsoft en el ámbito
- Azure
- Microsoft Intune
- Microsoft 365
Microsoft 365 y BIR 2012
Entornos de Microsoft 365
Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.
En esta sección se tratan los siguientes entornos de Office 365:
- Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
- Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
- Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
- Office 365 Administración Pública Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
- Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.
Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.
Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.
Servicios de aplicabilidad y ámbito de Microsoft 365
Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:
| Aplicabilidad | Servicios incluidos |
|---|---|
| Comercial | Azure Information Protection, Bookings, Exchange Online, Exchange Online Protection, Microsoft Analytics, Microsoft Booking, Microsoft Graph, Microsoft Teams, Microsoft To-Do for Web, MyAnalytics, Office 365 Microsoft Defender for Cloud Apps, grupos de Office 365, Office Delve, OneDrive para la Empresa, Planner, Power Apps, Power Apps, Power Automate, Power BI para Office 365, SharePoint Online, Stream, Sway, Viva Engage |
Auditorías, informes y certificados
Microsoft retuvo una firma de auditoría independiente y de terceros para analizar hasta qué punto las certificaciones y atestaciones actuales de Azure y Microsoft 365 (como ISO/IEC 27001 y SOC 2 Tipo 2) cubren la parte de BIR 2012 de la que Microsoft es responsable. El informe resultante proporciona una asignación de estas certificaciones y atestaciones existentes a los controles enumerados en el estándar BIR 2012. Use el informe como herramienta para ayudar a adoptar Azure de forma conforme a BIR 2012. El informe muestra claramente qué controles de BIR 2012 cubre Microsoft y qué controles deben implementar los clientes. Puede descargar el informe "Microsoft Cloud: Azure y Office 365 cobertura de línea base de BIR 2012" de la sección Informes de auditoría del Portal de confianza del servicio - Informes de evaluación de GRC.
Preguntas más frecuentes
¿Está Microsoft certificado con el BIR 2012?
El sector gubernamental es responsable del cumplimiento de bir. Requiere que la organización implemente un sistema de administración de seguridad de la información y que aborde los riesgos con las medidas técnicas y de la organización adecuadas. Para Microsoft en su rol de proveedor de servicios en la nube, el cumplimiento de BIR no es el objetivo ni es técnicamente factible. Cuando un cliente implementa o usa servicios en la nube de Microsoft, esos servicios podrían estar en el ámbito de una evaluación de BIR. Sin embargo, la organización debe agregar sus propios controles, elecciones y procesos (adicionales), que forman parte de la evaluación de BIR general. El objetivo del informe es demostrar que una entidad gubernamental puede adoptar servicios en la nube de Microsoft de un modo que sea compatible con el BIR 2012.
¿Un cliente que use servicios en la nube de Microsoft cumple con BIR 2012?
El cliente es responsable de demostrar el cumplimiento de BIR. Los clientes que usan un proveedor de servicios en la nube normalmente exigen garantías al proveedor y agregan su propia tecnología (adicional) y decisiones organizativas, opciones y procesos. Este esfuerzo da como resultado una evaluación general por parte del cliente de su cumplimiento con BIR, que puede enviarse para su revisión o certificación a un auditor de terceros. El informe de cobertura de BIR proporciona información sobre qué controles BIR están cubiertos por los servicios en la nube de Microsoft, pero, como tal, no cubre el cumplimiento completo.
El informe no muestra una cobertura del 100 %. ¿No es factible el cumplimiento de BIR 2012?
Los servicios en la nube de Microsoft proporcionan muchos controles para ayudar a las organizaciones dentro del territorio holandés con sus necesidades de cumplimiento de BIR. Sin embargo, una organización debe complementar estas garantías de proveedor con sus propias opciones de implementación, controles de tecnología adicionales y procesos administrativos. El informe ya muestra más del 91 % de cobertura directa de la lista completa de controles aplicables. Para los controles restantes, Microsoft ofrece directrices en el informe acerca de cómo se puede demostrar el cumplimiento de esos controles.
¿El informe de cobertura de BIR es un documento jurídicamente vinculante?
No. Es una herramienta de apoyo para el proceso interno de control de BIR del cliente y ayuda a establecer la confianza y la confianza en que el cumplimiento de BIR es factible. El informe tiene un estado descriptivo y contiene una renuncia legal.
¿Podemos compartir este informe?
El informe se proporciona a los clientes en virtud de un contrato de no divulgación, sobre la base de que es solo para la información del cliente y que no se copiará ni divulgará a través de otros canales distintos de la Plataforma de confianza de servicios de Microsoft. Los clientes pueden compartir el informe con su auditor interno o externo como parte de sus procesos de cumplimiento o garantía.
Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo
El Administrador de cumplimiento de Microsoft Purview es una característica del portal de Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.