Quando un valutatore o un auditor chiede come è protetta la vostra organizzazione, gran parte della risposta si trova già in Microsoft 365. I controlli esistono, i log vengono catturati e le impostazioni vengono applicate. Il divario raramente riguarda la tecnologia. Sta piuttosto nella capacità di indicare l'impostazione esatta che soddisfa un controllo e di produrne le evidenze senza una settimana di lavoro manuale.
Questa guida mappa le impostazioni comuni di Microsoft 365, Microsoft Entra e Microsoft Intune sui controlli Cyber Essentials e su una manciata di controlli Annex A di ISO 27001:2022. La formulazione dei controlli segue i requisiti NCSC Cyber Essentials e ISO/IEC 27001:2022. Considerate questa mappatura come una guida per definire l'ambito delle vostre evidenze, non come un sostituto dei requisiti del vostro ente di certificazione, perché il modo in cui un controllo si applica dipende sempre dal vostro ambito e dalla vostra configurazione specifici.
Perché gli auditor chiedono evidenze da Microsoft 365
Sia Cyber Essentials che ISO 27001 sono basati sulle evidenze. Un controllo sulla carta conta poco se non si può dimostrare che è applicato e funzionante. Per la maggior parte delle organizzazioni che utilizzano Microsoft 365, la piattaforma è il luogo in cui vengono governati identità, dispositivi, email e aggiornamenti, e quindi diventa la fonte di evidenze più ricca dell'intera valutazione. La domanda pratica è come far emergere quelle evidenze in modo pulito, su richiesta e in una forma che un valutatore accetti.
Cyber Essentials: i cinque controlli in Microsoft 365
Cyber Essentials definisce cinque controlli tecnici. Ciascuno si mappa su una configurazione concreta di Microsoft 365, Entra o Intune, e ciascuno produce evidenze esportabili.
| Controllo Cyber Essentials | Dove si trova in Microsoft 365 | Evidenze esportabili |
|---|---|---|
| Firewall | Microsoft Defender Firewall gestito tramite i criteri firewall di sicurezza degli endpoint di Intune sui dispositivi registrati; il confine del servizio è di competenza Microsoft per la piattaforma cloud | Configurazione dei criteri firewall e stato del firewall dei dispositivi dal centro di amministrazione Intune |
| Configurazione sicura | Profili di configurazione Intune e baseline di sicurezza Windows, Microsoft Secure Score, e blocco dell'autenticazione legacy in Entra | Report di assegnazione baseline e conformità, cronologia Secure Score, report degli accessi con autenticazione legacy |
| Controllo degli accessi utente | Account Microsoft Entra, Conditional Access, autenticazione a più fattori, ruoli a privilegio minimo, e processi di ingresso, trasferimento e uscita del personale | Esportazione dei criteri di Conditional Access, log di accesso, elenchi di assegnazione dei ruoli, registri di revisione degli account |
| Protezione dal malware | Microsoft Defender Antivirus e Defender for Endpoint gestiti tramite Intune, oltre a Defender for Office 365 Safe Attachments e Safe Links | Configurazione dei criteri antivirus e Defender, stato di protezione dei dispositivi e impostazioni dei criteri contro le minacce email |
| Gestione degli aggiornamenti di sicurezza | Anelli di aggiornamento Windows Autopatch o Windows Update for Business, criteri di aggiornamento qualità di Intune, e il canale di aggiornamento di Microsoft 365 Apps | Configurazione degli anelli di aggiornamento e report di conformità di Windows Update o Autopatch che mostrano i livelli delle patch |
Vale la pena sottolineare due aspetti. Primo, Cyber Essentials è interessato al firewall degli endpoint e alla configurazione sicura dei dispositivi che gestite, non solo al servizio cloud, quindi il lato Intune della mappatura pesa di più. Secondo, la gestione degli aggiornamenti di sicurezza era in precedenza descritta come gestione delle patch; l'intento è lo stesso, e Windows Autopatch è il modo più pulito per documentarla.
ISO 27001:2022 Annex A: controlli selezionati e fonti di evidenza
ISO 27001 è più ampio di Cyber Essentials e copre governance, persone e processi oltre alla tecnologia. I controlli riportati di seguito sono un sottoinsieme dei controlli tecnologici e organizzativi dell'Annex A in cui Microsoft 365 è una fonte di evidenza primaria. Sono un punto di partenza per il vostro Statement of Applicability, non l'insieme completo.
| Controllo Annex A | Cosa richiede | Fonte di evidenza in Microsoft 365 |
|---|---|---|
| A.5.15 Controllo degli accessi | Regole per controllare l'accesso fisico e logico in base ai requisiti di business e sicurezza | Criteri di Conditional Access, assegnazioni di ruolo in Entra, e registri di access package o access review |
| A.8.2 Diritti di accesso privilegiato | Assegnazione e utilizzo dell'accesso privilegiato limitati e gestiti | Ruoli idonei di Microsoft Entra Privileged Identity Management, approvazioni di attivazione, e cronologia di audit scaricabile |
| A.8.7 Protezione dal malware | Protezione dal malware supportata dalla consapevolezza degli utenti | Configurazione dei criteri di Defender for Endpoint e Defender for Office 365 e report di incidenti e rilevamenti |
| A.8.8 Gestione delle vulnerabilità tecniche | Informazioni sulle vulnerabilità tecniche ottenute, con l'esposizione valutata e affrontata | Report di esposizione di Microsoft Defender Vulnerability Management, più la conformità delle patch di Autopatch o degli anelli di aggiornamento |
| A.8.13 Backup delle informazioni | Copie di backup mantenute e testate in linea con un criterio concordato | Configurazione dei criteri di conservazione di Microsoft Purview, più i propri registri per il backup di configurazione e dati |
A.8.13 merita particolare attenzione. Microsoft 365 offre ridondanza del servizio e controlli di conservazione come i criteri di conservazione di Purview, ma non è un prodotto di backup, e il modello di responsabilità condivisa lascia la protezione dei vostri dati e della vostra configurazione a voi. Per un controllo di backup ISO 27001, documentate la vostra configurazione di conservazione e il vostro approccio separato al backup di dati e configurazione del tenant, invece di lasciare intendere che la piattaforma esegua il backup di se stessa.
Come raccogliere evidenze senza maratone di screenshot
Gli screenshot sono lenti, diventano obsoleti in fretta e un valutatore non può verificarli. Ogni fonte nelle tabelle precedenti può invece essere esportata.
- La ricerca nei log di Microsoft Purview Audit esporta l'attività dell'intero tenant in CSV, così potete mostrare cosa è successo e quando su Exchange, SharePoint e le azioni amministrative.
- I log di accesso e di audit di Microsoft Entra si scaricano direttamente in CSV o JSON, documentando il controllo degli accessi, l'MFA e le modifiche alla directory.
- Le esportazioni dei report e le viste di conformità dei dispositivi di Microsoft Intune documentano la configurazione sicura, il firewall, l'antivirus e lo stato degli aggiornamenti sui dispositivi gestiti.
- Microsoft Entra Privileged Identity Management fornisce una cronologia di audit scaricabile per l'attivazione e le approvazioni degli accessi privilegiati.
- Le esportazioni di Microsoft Secure Score tracciano il miglioramento della configurazione sicura nel tempo.
- Microsoft Purview Compliance Manager conserva le azioni di miglioramento e permette di allegare file di evidenza ai controlli, offrendo un unico punto in cui assemblare un pacchetto di evidenze.
Per le evidenze dei dispositivi gestiti, uno strumento di reporting Intune può trasformare i segnali di compliance, app, update e configurazione in pack di audit ripetibili.
Per tutto ciò che ripetete, preferite un'esportazione pianificata o una query Microsoft Graph o PowerShell rispetto a un percorso manuale a clic. Le esportazioni ripetibili mantengono le evidenze aggiornate tra un ciclo di audit e l'altro ed eliminano la corsa affannosa annuale.
Dove si inseriscono EtherAssist e EtherInsights
Sapere quale impostazione si mappa su quale controllo è metà del lavoro. L'altra metà consiste nell'organizzare il flusso di lavoro, redigere le policy e le procedure che si collocano al di sopra delle impostazioni, e assemblare evidenze che un valutatore accetti.
EtherAssist supporta questo flusso di lavoro di compliance. Aiuta i team a mappare i controlli sulle evidenze di Microsoft 365, a redigere e mantenere policy e procedure, a strutturare le valutazioni e a preparare un pacchetto di evidenze per framework come ISO 27001, ISO 9001, ISO 42001 e Cyber Essentials. È compliance controllata e preparazione delle evidenze con un essere umano nel ciclo di lavoro; organizza e accelera il lavoro, e non sostituisce il vostro ente di certificazione né garantisce un esito di certificazione.
EtherInsights copre il lato posture. Vi offre una visione della configurazione di sicurezza di Microsoft 365, una baseline per il tenant e il rilevamento del drift, in modo che un controllo documentato in fase di audit non cambi silenziosamente in seguito. Backup della configurazione, drift e ripristino mantengono stabile l'ambiente IT tra una valutazione e l'altra, ed è esattamente ciò che mantiene le evidenze affidabili nel tempo.
Mappare le impostazioni sui controlli è il modo più rapido per trasformare un tenant Microsoft 365 che già gestite in evidenze pronte per l'audit. Cominciate dai cinque controlli Cyber Essentials, estendete ai controlli Annex A rilevanti per il vostro ambito, e sostituite gli screenshot con esportazioni ripetibili.
Scopri la soluzione per la compliance ISO e l'audit readiness per vedere come si integrano un flusso di lavoro di compliance controllato e la preparazione delle evidenze.
