Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Übersicht über das ENS Spanien
2007 verabschiedete die spanische Regierung das Gesetz 11/2007, das eine Rechtsrahmen schuf, um Bürgern elektronischen Zugriff auf Systeme der Regierung und der öffentlichen Verwaltung bereitzustellen. Dieses Gesetz ist die Grundlage für Esquema Nacional de Seguridad (Nationales Sicherheitsframework), das durch das aktualisierte Königliche Dekret (RD) 311/2022 geregelt wird. Das Ziel des Rahmens ist der Aufbau von Vertrauen im Hinblick auf die Bereitstellung von elektronischen Diensten und sowie die Sicherstellung von Zugriff, Integrität, Verfügbarkeit, Authentizität, Vertraulichkeit, Nachverfolgbarkeit und Datenaufbewahrung, Informationen und Dienste.
Der Rahmen gilt für alle öffentlichen Organisationen und Regierungsstellen in Spanien, die Cloud Services in Anspruch nehmen sowie für Anbieter von Informations- und Kommunikationstechnologien (ICT). Es leitet diese Behörden und Unternehmen bei der Implementierung wirksamer Kontrollen für die Sicherheit in der Cloud und lokal in Übereinstimmung mit spanischen und EU-Sicherheits- und Datenschutzstandards.
Der Rahmen legt Kernrichtlinien und obligatorische Anforderungen fest, die sowohl Regierungsstellen als auch ihre Dienstanbieter erfüllen müssen. Er definiert eine Reihe von spezifischen Sicherheitskontrollen, von denen viele direkt auf ISO/IEC 27001 abgestimmt sind, in Bezug auf Verfügbarkeit, Authentizität, Integrität, Vertraulichkeit und Nachverfolgbarkeit. Die Vertraulichkeit der Informationen – niedrig, zwischengeschaltet oder hoch – bestimmt die Sicherheitsmaßnahmen, die angewendet werden müssen, um sie zu schützen.
Jede Regierungsstelle muss ein Risikomanagementansatz für die Sicherheit verfolgen, wobei sie Risiken identifizieren und bewerten und anschließend entsprechende Sicherheitskontrollen übernehmen. Dienstanbieter müssen ebenfalls die strengen Anforderungen des Rahmenwerks erfüllen, um sicherzustellen, dass ihre Verfahren, technischen Kapazitäten und Betriebsabläufe sicher sind und den Regierungsstellen ermöglichen, die Bestimmungen zu erfüllen.
Der Rahmen schreibt einen Akkreditierungsprozess vor, der für Systeme, die Daten mit niedriger Vertraulichkeitsstufe verarbeiten, freiwillig und für Systeme mit Daten mit mittlerer und hoher Vertraulichkeitsstufe obligatorisch ist. Von einem akkreditierten unabhängigen Auditor wird eine Prüfung durchgeführt. Der Bericht wird anschließend in einem Zertifizierungsprozess geprüft, bevor die Kontrollen zum Risikomanagement in der letzten Akkreditierungsstufe angenommen werden.
Sicherheitsmaßnahmen auf hoher Ebene von Microsoft und Spanien
Microsoft Azure und Microsoft 365 durchliefen eine strenge Bewertung durch BDO, einen unabhängigen Prüfer, der eine offizielle Erklärung ihrer Konformität abgab. BDO berichtet, dass die Sicherheitsmaßnahmen in beiden Diensten sowie deren Informationssysteme und Datenverarbeitungsanlagen auf hoher Ebene mit RD 311/2022 übereinstimmen, ohne dass Korrekturmaßnahmen erforderlich sind. Microsoft war der erste Anbieter hyperskalierter Clouddienste, der diese Zertifizierung in Spanien erhielt.
In-Scope-Cloudplattformen und -Dienste von Microsoft
- Azure
- Microsoft 365 und Microsoft 365 for Education
- Microsoft Dynamics 365
Microsoft 365 und ENS High
Microsoft 365-Umgebungen
Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.
In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:
- Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
- Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
- Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
- Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
- Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.
Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.
Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.
Anwendbarkeit von Microsoft 365 und Microsoft 365 für Bildungseinrichtungen und dienste im Bereich
Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Microsoft 365- und Microsoft 365 for Education-Dienste und -Abonnements zu bestimmen:
| Anwendbarkeit | Im Leistungsumfang enthaltene Dienste |
|---|---|
| Kommerziell | Copilot in Windows, Microsoft 365 (einschließlich Word, Excel, PowerPoint, Outlook, SharePoint, Exchange, OneNote, OneDrive, Microsoft Planner, Sway, Whiteboard, Delve, Microsoft Forms, Microsoft To Do und Windows), Microsoft Copilot für Microsoft 365, Microsoft Copilot mit gewerblichem Datenschutz, Microsoft Defender for Cloud Apps, Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Defender für Office 365, Microsoft Defender XDR (einschließlich Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Defender für Office 365 und Microsoft Defender for Cloud Apps), Microsoft Exchange Online Protection, Microsoft Intune, Microsoft Outlook Mobile, Microsoft Outlook Web App, Microsoft Purview (umfasst Überwachung, adaptiver Schutz, Kommunikationscompliance, eDiscovery, Compliance-Manager, Information Protection, Datenlebenszyklusverwaltung, Insider-Risikomanagement, Verhinderung von Datenverlust und Einheitliche Datengovernance (auch bekannt als Microsoft Purview), Microsoft Teams (einschließlich Audiokonferenzen und Telefonsystem), Microsoft Viva (einschließlich Verbindungen, Erkenntnisse, Lernen und Engage) |
Dynamics 365 und ENS High
Dynamics 365 Anwendbarkeits- und Bereichsbezogene Dienste
Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Dynamics 365 Dienste und Ihr Abonnement zu bestimmen:
| Anwendbarkeit | Im Leistungsumfang enthaltene Dienste |
|---|---|
| Kommerziell | Copilot für Dynamics 365, Copilot für Finanzen, Copilot für Vertrieb, Copilot für den Service, Copilot in Power Platform (umfasst Copilot für Power Apps, Copilot für Power Automate, Copilot für Power Pages und Copilot für Power BI). Copilot Studio, Dynamics 365 Business Central, Dynamics 365 Commerce, Dynamics 365 Customer Insights-Daten, Dynamics 365 Customer Insights Journey, Dynamics 365 Kundendienst (einschließlich Omnichannel), Dynamics 365 Customer Voice, Dynamics 365 Außendienst (einschließlich Remote Assist), Dynamics 365 Finance, Dynamics 365 Fraud Protection, Dynamics 365 Human Resources, Dynamics 365 Project Operations, Dynamics 365 Sales, Dynamics 365 Supply Chain Management, Power Platform (einschließlich Power BI, Power Apps, Power Automate und Power Pages) |
Microsoft Azure und ENS High
Azure Anwendbarkeit und bereichsinterne Dienste
Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Azure Dienste und Ihr Abonnement zu bestimmen:
| Anwendbarkeit | Im Leistungsumfang enthaltene Dienste |
|---|---|
| Kommerziell | Azure AI Foundry (umfasst Azure OpenAI Studio, Azure Machine Learning Studio, Azure Language Studio, Azure Speech Studio, Azure Vision Studio, Azure Custom Translator Studio, Azure Document Intelligent Studio und Azure Content Safety Studio), Azure AI Services (umfasst Azure OpenAI, Azure Cognitive Search, Azure KI Vision, Azure KI Custom Vision, Azure KI Language, Azure KI Speech, Azure KI Übersetzer, Azure KI Document Intelligence, Azure KI Bot Service, Azure AI Audio & Video, Azure AI Anomalieerkennung, Azure KI Inhaltssicherheit, Azure KI Personalisierung , Azure KI Metrics Advisor und Azure KI Plastischer Reader), Azure Analysis Services, Azure API Management, Azure App Service, Azure Application Gateway, Azure Arc, Azure Backup, Azure Bastion, Azure Cache for Redis, Azure Confidential Computing, Azure Container Apps, Azure Container Instances, Azure Container Registry, Azure Cosmos DB, Azure Data Factory, Azure Data Lake, Azure Data Lake Analytics, Azure Database for MariaDB, Azure Database for MySQL, Azure Database for PostgreSQL, Azure Databricks, Azure DDoS Protection, Azure DevOps, Azure Event Grid, Azure Event Hubs, Azure ExpressRoute, Azure Firewall, Azure Firewall Manager, Azure HDInsight, Azure IoT Hub, Azure Key Vault (einschließlich Standard, Premium und verwaltetes HSM), Azure Kubernetes Service, Azure Load Balancer, Azure Log Analytics, Azure Logic Apps, Azure Monitor, Azure NetApp Files, Azure Service Bus, Azure Site Recovery, Azure SQL, Azure SQL-Datenbank, Azure SQL Managed Instance, Azure Storage (einschließlich Blob, Archiv, Datenträger, File und Data Box), Azure Synapse Analytics, Azure Virtual Desktop (AVD), Azure Virtual Machines, Azure Virtual Network, Azure-VMware-Lösung, Azure VPN Gateway, Azure Web Application Firewall, Azure Web-Apps, Copilot for Azure, Fabric Copilot, Microsoft Copilot for Security, Microsoft Defender Cloud Security Posture Management, Microsoft Defender External Attack Surface Management (EASM), Microsoft Defender für Cloud, Microsoft Defender für IoT, Microsoft Entra (einschließlich Entra-ID, Entra ID-Governance, Entra External ID, Entra Domain Services, Entra Verified ID, Entra Permissions Management, Entra Workload ID, Entra Internet access und Entra Private Access), Microsoft Fabric, Microsoft Sentinel, Power BI Embedded |
Prüfungen, Berichte und Zertifikate
Die Zertifizierung ist zwei Jahre gültig, wobei eine jährliche Kontrollprüfung durchgeführt wird.
Azure
- Azure ENS-Zertifikat (National Security Framework) (Spanisch)
- Auditbericht des Azure Nationalen Sicherheitsrahmens (ENS) (Spanisch)
Microsoft 365 und Microsoft 365 for Education
- Microsoft 365 & Microsoft 365 for Education National Security Framework (ENS)-Zertifikat (Spanisch)
- Microsoft 365 & Microsoft 365 for Education National Security Framework (ENS) Audit Report (Spanisch)
Dynamics 365
- Dynamics 365 ENS-Zertifikat (National Security Framework) (Spanisch)
- Auditbericht des Dynamics 365 Nationalen Sicherheitsrahmens (ENS) (Spanisch)
Häufig gestellte Fragen
Wie erhalte ich Kopien der Prüfberichte und Zertifizierungen?
Das Service Trust Portal stellt die Prüfberichte und Zertifizierungen sowohl in spanischer als auch in englischer Sprache zur Verfügung. Anhand der Berichte können Ihre Prüfer die Ergebnisse der Microsoft Cloud Services mit Ihren eigenen gesetzlichen Anforderungen vergleichen.
Wo beginne ich mit dem Complianceprozess für meine eigene Organisation?
Wenn Ihr organization Azure oder Office 365 verwendet, können Sie ENS Microsoft-Prüfberichte und -Akkreditierungen als Teil Ihres eigenen Akkreditierungsprozesses verwenden. Sie sind jedoch dafür verantwortlich, einen Prüfer zu beauftragen, Ihre Implementierung auf Compliance zu bewerten und sicherzustellen, dass die Kontrollen und Prozesse innerhalb Ihrer eigenen organization mit dem Framework übereinstimmen.
Ressourcen
- Esquema Nacional de Seguridad of Spain(Spanisch and Englisch)
- Microsoft Online Services-Nutzungsbedingungen
- Compliance im Microsoft Trust Center