Compliance frameworks
Aether365 evaluerer din Microsoft 365 tenant mod fire etablerede sikkerhedsframeworks. Hvert framework vedligeholdes af en forskellig myndighed og har forskelligt fokusområde, omfang og målgruppe.
CIS Microsoft 365 Foundations Benchmark
Vedligeholdt af: Center for Internet Security (CIS) Version: v3.0 Målgruppe: Alle organisationer, der bruger Microsoft 365 Omfang: Kontosikkerhed, Entra ID, Exchange, Teams, SharePoint, revisionslogning
CIS er den mest udbredte M365-sikkerhedsbenchmark. Den definerer et klart, handlingsrettet sæt kontroller, hver med detaljeret implementeringsvejledning. Kontroller kategoriseres som Level 1 eller Level 2:
| Niveau | Beskrivelse | Hvornår det skal anvendes |
|---|---|---|
| L1 | Grundlæggende kontroller med minimal driftsmæssig påvirkning | Alle organisationer |
| L2 | Strengere kontroller, der kan påvirke brugeroplevelsen | Sikkerhedsfølsomme miljøer |
Kontrol-ID-format: CIS.M365.{sektion}.{undersektion}.{punkt} - f.eks. CIS.M365.1.1.1
CIS-kontroller dækker sektion 1 til 9 i benchmarket, herunder:
- Sektion 1: Identitets- og adgangsstyring
- Sektion 2: Microsoft Entra ID
- Sektion 3: Microsoft 365 Apps
- Sektion 4: Microsoft Teams
- Sektion 5: E-mailsikkerhed (Exchange Online)
- Sektion 6: SharePoint Online
- Sektion 7: OneDrive
- Sektion 8: Microsoft Defender
- Sektion 9: Revisionslogning
EIDSCA (Entra ID Security Config Analyzer)
Vedligeholdt af: Microsoft og open source-fællesskabet Målgruppe: Organisationer med betydelig Entra ID-brug Omfang: Dybdegående Entra ID-konfiguration
EIDSCA fokuserer specifikt på Entra ID (tidligere Azure Active Directory) og dækker områder, som CIS ikke behandler i samme dybde. Vigtige områder:
- Registrering af autentificeringsmetoder og SSPR-politikker
- Huller i conditional access og dækning af baseline-politikker
- Konfiguration af Privileged Identity Management (PIM)
- Token-levetid og sessionskontroller
- Indstillinger for gæstebrugere og B2B-samarbejde
- Tillidsindstillinger for eksterne identitetsudbydere
EIDSCA er særligt nyttigt, hvis din organisation i høj grad anvender Entra ID-funktioner som Privileged Identity Management, eksternt samarbejde eller brugerdefinerede autentificeringsflows.
Kontrol-ID-format: EIDSCA.{kategori}{nummer} - f.eks. EIDSCA.PR01
CISA SCuBA M365 Security Baseline
Vedligeholdt af: U.S. Cybersecurity and Infrastructure Security Agency (CISA) Version: Aktuel publiceret baseline Målgruppe: Amerikanske føderale myndigheder og organisationer, der samarbejder med dem; regulerede industrier Omfang: Fuld M365-produktpakke
SCuBA (Secure Cloud Business Applications) er den amerikanske føderale regerings sikkerhedsbaseline for cloud-produktivitetsplatforme. Den er struktureret efter M365-produkt i stedet for kontrolkategori:
| Produkt | Kontroller dækker |
|---|---|
| Microsoft Entra ID | Identitets- og adgangsstyring |
| Microsoft Defender for Office 365 | Trusselsbeskyttelsespolitikker |
| Exchange Online | E-mailtransport, anti-phishing, kryptering |
| Microsoft Teams | Ekstern adgang, mødepolitikker |
| SharePoint Online og OneDrive | Deling, adgangskontrol |
| Microsoft 365 Apps | Makropolitikker, tilføjelsesstyring |
| Power Platform | Connector-politikker (kun Enterprise) |
SCuBA er relevant ud over amerikanske føderale miljøer. Dens klare politikerklæringer og automatiserede testformat gør den til en nyttig baseline for enhver organisation, der søger grundig, uafhængigt vedligeholdt vejledning.
Kontrol-ID-format: MS.{PRODUKT}.{nummer}.{undernummer} - f.eks. MS.AAD.1.1
NIS2
Vedligeholdt af: Den Europæiske Union Direktiv: EU 2022/2502 (NIS2) Målgruppe: Organisationer i EU, særligt operatører af væsentlige og vigtige enheder Omfang: Tekniske og organisatoriske foranstaltninger under artikel 21
NIS2 er ikke en teknisk benchmark - det er et lovgivningsdirektiv. Aether365 mapper M365-konfigurationskontroller til de tekniske krav, som NIS2 pålægger under artikel 21, der kræver, at organisationer træffer passende foranstaltninger til at håndtere cybersikkerhedsrisici.
NIS2-kontroller i Aether365 fokuserer på:
| NIS2-område | M365-kontroller |
|---|---|
| Adgangskontrol og autentificering | MFA, privilegeret adgang, conditional access |
| Hændelseshåndtering | Revisionslogning, advarselspolitikker, sikkerhedshændelser |
| Forretningskontinuitet | Backup- og gendannelsesindstillinger, dataopbevaring |
| Forsyningskædesikkerhed | App-samtykkepolitikker, eksterne connector-indstillinger |
| Grundlæggende cyberhygiejne | Legacy-autentificering, patch-relaterede indstillinger |
NIS2 compliance-omfang
Aether365 dækker de M365-specifikke tekniske kontroller, der er relevante for NIS2. Fuld NIS2-compliance kræver et bredere program af tekniske og organisatoriske foranstaltninger ud over din M365-konfiguration. Aether365-resultater udgør ikke en NIS2-compliancecertificering.
Framework-sammenligning
| Dimension | CIS | EIDSCA | CISA SCuBA | NIS2 |
|---|---|---|---|---|
| Myndighed | CIS | Open source / Microsoft | US CISA | EU-regulering |
| Fokus | Bred M365 | Entra ID-dybde | Produkt-for-produkt | Risikobaseret regulering |
| Detaljeniveau | Højt | Meget højt | Højt | Moderat |
| Egnet for EU-organisationer | Ja | Ja | Ja | Påkrævet |
| Egnet for amerikanske føderale | Ja | Ja | Påkrævet | Ikke relevant |
| Egnet for alle organisationer | Ja | Ja | Ja | Hvis EU-reguleret |
| Antal kontroller i Aether365 | ca. 60 | ca. 40 | ca. 50 | ca. 30 |
Alle frameworks kører som del af en compliance-scanning. Du kan ikke vælge individuelle frameworks per scanning - alle relevante kontroller kører sammen, og resultater tagges efter framework til filtrering.