Compliance-rammeverk
Aether365 evaluerer Microsoft 365-leietakeren din mot fire etablerte sikkerhetsrammeverk. Hvert rammeverk vedlikeholdes av en annen myndighet og har forskjellig fokusområde, omfang og målgruppe.
CIS Microsoft 365 Foundations Benchmark
Vedlikeholdt av: Center for Internet Security (CIS) Versjon: v3.0 Målgruppe: Alle organisasjoner som bruker Microsoft 365 Omfang: Kontosikkerhet, Entra ID, Exchange, Teams, SharePoint, revisjonslogging
CIS er den mest utbredte M365-sikkerhetsstandarden. Den definerer et tydelig, handlingsrettet sett med kontroller, hver med detaljert implementeringsveiledning. Kontrollene er kategorisert som Nivå 1 eller Nivå 2:
| Nivå | Beskrivelse | Når den brukes |
|---|---|---|
| L1 | Grunnleggende kontroller med minimal operasjonell effekt | Alle organisasjoner |
| L2 | Strengere kontroller som kan påvirke brukeropplevelsen | Sikkerhetssensitive miljøer |
Kontroll-ID-format: CIS.M365.{seksjon}.{underseksjon}.{element} - for eksempel CIS.M365.1.1.1
CIS-kontrollene dekker seksjon 1 til 9 av standarden, inkludert:
- Seksjon 1: Identitets- og tilgangsstyring
- Seksjon 2: Microsoft Entra ID
- Seksjon 3: Microsoft 365-apper
- Seksjon 4: Microsoft Teams
- Seksjon 5: E-postsikkerhet (Exchange Online)
- Seksjon 6: SharePoint Online
- Seksjon 7: OneDrive
- Seksjon 8: Microsoft Defender
- Seksjon 9: Revisjonslogging
EIDSCA (Entra ID Security Config Analyzer)
Vedlikeholdt av: Microsoft og åpen kildekode-miljøet Målgruppe: Organisasjoner med betydelig Entra ID-bruk Omfang: Dybde i Entra ID-konfigurasjon
EIDSCA fokuserer spesifikt på Entra ID (tidligere Azure Active Directory) og dekker områder som CIS ikke adresserer på samme dybdenivå. Nøkkelfokusområder:
- Registrering av autentiseringsmetoder og SSPR-policyer
- Gap i betinget tilgang og dekning av grunnlinjepolicyer
- Konfigurasjon av Privileged Identity Management (PIM)
- Tokenlevetid og sesjonskontroller
- Innstillinger for gjestebrukere og B2B-samarbeid
- Tillitsinnstillinger for eksterne identitetsleverandører
EIDSCA er spesielt nyttig hvis organisasjonen din er sterkt avhengig av Entra ID-funksjoner som Privileged Identity Management, eksternt samarbeid eller tilpassede autentiseringsflyter.
Kontroll-ID-format: EIDSCA.{kategori}{nummer} - for eksempel EIDSCA.PR01
CISA SCuBA M365-sikkerhetsgrunnlinje
Vedlikeholdt av: U.S. Cybersecurity and Infrastructure Security Agency (CISA) Versjon: Gjeldende publiserte grunnlinje Målgruppe: Amerikanske forvaltningsorganer og organisasjoner som samarbeider med dem; regulerte bransjer Omfang: Hele M365-produktpakken
SCuBA (Secure Cloud Business Applications) er den amerikanske regjeringens sikkerhetsgrunnlinje for skybaserte produktivitetsplattformer. Den er strukturert etter M365-produkt i stedet for etter kontrollkategori:
| Produkt | Kontrollene dekker |
|---|---|
| Microsoft Entra ID | Identitets- og tilgangsstyring |
| Microsoft Defender for Office 365 | Policyer for trusselbeskyttelse |
| Exchange Online | E-posttransport, anti-phishing, kryptering |
| Microsoft Teams | Ekstern tilgang, møtepolicyer |
| SharePoint Online og OneDrive | Deling, tilgangskontroll |
| Microsoft 365 Apps | Makropolicyer, administrasjon av tillegg |
| Power Platform | Koblingspolicyer (kun Enterprise) |
SCuBA er relevant utover amerikanske offentlige miljøer. De tydelige policyformuleringene og det automatiserte testformatet gjør den til en nyttig grunnlinje for enhver organisasjon som søker rigurøse, uavhengig vedlikeholdte retningslinjer.
Kontroll-ID-format: MS.{PRODUKT}.{nummer}.{undernummer} - for eksempel MS.AAD.1.1
NIS2
Vedlikeholdt av: Den europeiske union Direktiv: EU 2022/2502 (NIS2) Målgruppe: Organisasjoner som opererer i EU, særlig operatører av vesentlige og viktige enheter Omfang: Tekniske og organisatoriske tiltak under artikkel 21
NIS2 er ikke en teknisk standard - det er et regulatorisk direktiv. Aether365 tilordner M365-konfigurasjonskontroller til de tekniske kravene NIS2 pålegger under artikkel 21, som krever at organisasjoner treffer hensiktsmessige tiltak for å håndtere cybersikkerhetsrisiko.
NIS2-kontroller i Aether365 fokuserer på:
| NIS2-område | M365-kontroller |
|---|---|
| Tilgangskontroll og autentisering | MFA, privilegert tilgang, betinget tilgang |
| Hendelseshåndtering | Revisjonslogging, varselpolicyer, sikkerhetshendelser |
| Forretningskontinuitet | Sikkerhetskopierings- og gjenopprettingsinnstillinger, dataoppbevaring |
| Forsyningskjedesikkerhet | Policyer for appsamtykke, innstillinger for eksterne koblinger |
| Grunnleggende cyberhygiene | Eldre autentisering, oppdateringsrelaterte innstillinger |
NIS2 compliance-omfang
Aether365 dekker de M365-spesifikke tekniske kontrollene som er relevante for NIS2. Full NIS2-compliance krever et bredere program med tekniske og organisatoriske tiltak utover M365-konfigurasjonen din. Aether365-resultater utgjør ikke en NIS2-compliance-sertifisering.
Rammeverksammenligning
| Dimensjon | CIS | EIDSCA | CISA SCuBA | NIS2 |
|---|---|---|---|---|
| Myndighet | CIS | Åpen kildekode / Microsoft | US CISA | EU-regulering |
| Fokus | Bred M365 | Entra ID-dybde | Produkt for produkt | Risikobasert regulering |
| Detaljnivå | Høyt | Svært høyt | Høyt | Moderat |
| Egnet for EU-organisasjoner | Ja | Ja | Ja | Påkrevd |
| Egnet for amerikanske myndigheter | Ja | Ja | Påkrevd | Ikke relevant |
| Egnet for alle organisasjoner | Ja | Ja | Ja | Hvis EU-regulert |
| Antall kontroller i Aether365 | ~60 | ~40 | ~50 | ~30 |
Alle rammeverk kjøres som del av en Compliance-skanning. Du kan ikke velge individuelle rammeverk per skanning - alle relevante kontroller kjøres sammen, og resultatene merkes med rammeverk for filtrering.