Office 365 - это удобный способ синхронизировать работу нескольких компьютеров и смартфонов. Однако для случаев, когда кто-то по контракту обязан обеспечивать безопасность и защиту данных и документов клиента, проблема инсайдерской угрозы является очень реальной проблемой (например, соответствие HIPAA для данных, связанных со здоровьем, проблемы интеллектуальной собственности или конфиденциальные материалы).
Может ли кто-нибудь направить меня к недавнему (в течение последнего года) официальному документу или результатам тестирования Office 365 на соответствие формальным STIG или аналогичного тестирования безопасности, проведенного в присутствии стороннего или государственного свидетеля?
Microsoft публикует данные о нескольких пройденных аудитах и сводку результатов в Центре управления безопасностью. https://products.office.com/en-us/business/office-365-trust-center-welcome
MS защищает и соответствует требованиям только до тех пор, пока служба не включена. После включения вы несете ответственность за выполнение любых дальнейших требований по обеспечению безопасности службы. Хотя они будут выпускать, скажем, HIPAA BAA, это будет просто то, на что вы ссылаетесь, и вы сможете доверять / унаследовать элементы управления безопасностью.
Такие вещи, как HITECH и ISO27001, могут быть применены к облачной службе, но если вам нужны такие вещи, как FISMA или другие правительственные средства контроля, вы будете искать не общедоступное облако, а специальный или частный хостинг для правительства (только правительственные учреждения), который предоставляет Microsoft.