Bu makalemde sizlere Office 365 kullanıcıları için özellikle bulut üzerinde verilerin güvenliği nasıl sağlanıyor? Microsoft bu konuda hangi sertifikalara sahip, bu sertifikaları hangi sürede ve nasıl yeniliyor, nasıl denetleniyor konularında pek çok detayın yer aldığı Service Assurance bölümünü detaylandıracağım.
Office 365 üzerinde eğer yetkili bir kullanıcı ile giriş yaparsanız Security & Compliance bölümünde “Service assurance” linkini görebilirsiniz;
Bu bölüme ulaşmak için office 365 üzerinde global admin veya bir global admin tarafından sizin kullanıcınızın “Service Assurance User” grubuna eklenmesi gereklidir.
Peki nedir bu service assurance?
Türkçe karşılığı Hizmet güvencesi olan bu bölümde aslında Microsoft’ un müşterilerine sunduğu hizmetin güvenliği ve endüstri standartlarından kabul görmüş sertifikasyonlarından bahsedilmektedir.
Temel olarak Office 365’te depolanan müşteri verileri için Microsoft güvenlik uygulamaları, Office 365’in bağımsız üçüncü taraf denetim raporları, Office 365’in verilerinizi korumak amacıyla kullandığı güvenlik, gizlilik ve uyumluluk denetimleri için uygulama ve test ayrıntılarına ait dokümanlara ulaşabilirsiniz.
Buna ek olarak Microsoft’ un sahip olduğu ISO 27001 ve 27018, HIPAA ve FedRAMP sertifikasyonları ile ilgilide detayları bulabilirsiniz.
Örneğin sol menüde bulunan compliance reports bölümüne tıklayalım
Karşımıza yukarıdaki gibi raporların yer aldığı bir sayfa çıkacaktır, bunlardan örneğin Türkiye de olduğu için en çok bilinen ISO Reports linkine tıklayın;
Karşımıza çıkacak olan pek çok servis için detaylı raporlardan istediğinizi açabilirsiniz
Örneğin ben bunu açıyorum
Office 365 ISO 27001-ISO 27018-ISO 27017 Audit Assessment Report Year 2016
Rapor pdf olarak açılıyor, incelemek artık sizin elinizde.
Burada sadece dikkatinizi bir noktaya çekmek istiyorum, bu tür konulardan anlayan uzmanlar zaten işin ne kadar ciddi olduğunu dokümandan anlayabilirler ki bu sadece bir servise ve bir regülasyona ait bir dokuman.
En alt bölümünde 12 ayda bir düzenli ziyaretler ile sistemlerin kontrol edildiği, 2016 dan beri düzenli olarak bu ziyaretlerin gerçekleştirildiği ve ziyaretlerin ortalama ki bu dokumanda 2.5 ay yazıyor sürdüğünü görüyoruz, yani bizim klasik 270001 denetlemeleri gibi 3 güne bitmiyor.
Özetle Microsoft bu konuda işi çok sıkı tutuyor.
Bir diğer bölüm ise Trust Documents bölümü.
Microsoft bulut hizmetlerinin verilerinizi nasıl koruduğunu ve bulut hizmetleriniz için veri güvenliği ve uyumluluğunu nasıl yönetebileceğinizi buradaki dokümanlardan öğrenebilirsiniz.
Örneğin burada en çok sorulardan birisi olan office 365 üzerinde tenant isolation yani müşterilerin verilerinin birbirinden nasıl ayrıldığını yine detaylı bir şekilde dokümanteri olarak bulabilirsiniz
Son bölümde ise Audited Control, yani Office 365’in uyguladığı genel bilgi güvenlik standartları ve düzenlemelerinden denetlenen denetimlerin durumunu anlamak için kullandığımız bölümdür. Denetimleri görüntülemek için standartları ve yönetmelikleri seçebilir ve bağımsız üçüncü taraf denetçilerin bunları test ettiklerini ve sonuçlarının ne olduğunu kontrol edebilirsiniz.
Uzun lafın kısası, office 365 ile ilgili güvenlik anlamında eğer aklınıza takılan bir şey var ise mutlaka cevabını bu sayfadaki dokümanlardan birinde bulacaksınız.
Umarım faydalı bir makale olmuştur, bir sonraki makalemde görüşmek üzere
Kaynak