حساب نقاط التوافق

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ملاحظة

يسمى التوافق Microsoft 365 الآن Microsoft Purview وقد تم تغيير تسمية الحلول داخل منطقة الامتثال. لمزيد من المعلومات حول Microsoft Purview، راجع إعلان المدونة.

في هذه المقالة: تعرف على كيفية حساب Compliance Manager لنقاط التوافق لمؤسستك. تشرح هذه المقالة كيفية تفسير درجاتك، وما يتضمنه تقييم أساس حماية البيانات ، والمراقبة المستمرة، وكيفية إدارة الأنواع المختلفة من الإجراءات وتسجيلها.

هام

لا ينبغي تفسير التوصيات من Compliance Manager على أنه ضمان للامتثال. الأمر متروك لك لتقييم والتحقق من فعالية عناصر تحكم العملاء وفقا للبيئة التنظيمية الخاصة بك. تخضع هذه الخدمات للأحكام والشروط الواردة في شروط المنتج. راجع أيضا Microsoft 365 إرشادات الترخيص للأمان والتوافق.

كيفية قراءة درجة التوافق الخاصة بك

تعرض لوحة معلومات Compliance Manager درجة التوافق الإجمالية. تقيس هذه النتيجة تقدمك في إكمال إجراءات التحسين الموصى بها داخل عناصر التحكم. يمكن أن تساعدك درجاتك على فهم وضع التوافق الحالي. كما يمكن أن يساعدك على تحديد أولويات الإجراءات استنادا إلى قدرتها على تقليل المخاطر.

يتم تعيين قيمة درجة على ثلاثة مستويات:

1. درجة إجراء التحسين: يكون لكل إجراء تأثير مختلف على درجاتك اعتمادا على المخاطر المحتملة التي ينطوي عليها

2. درجة التحكم: هذه النتيجة هي مجموع النقاط المكتسبة من خلال إكمال إجراءات التحسين داخل عنصر التحكم. يتم تطبيق هذا المجموع بأكمله على درجة التوافق الإجمالية عندما يفي عنصر التحكم بكل من الشرطين التاليين:

   • تساوي حالة التنفيذ التنفيذ أو التنفيذ البديل، و
   • نتيجة الاختبار تساوي Passed.

3. درجة التقييم: هذه النتيجة هي مجموع درجات التحكم الخاصة بك. يتم حسابه باستخدام درجات الإجراء. يتم حساب كل إجراء من إجراءات Microsoft وكل إجراء تحسين تديره مؤسستك مرة واحدة، بغض النظر عن عدد مرات الإشارة إليه في عنصر تحكم.

يتم حساب درجة التوافق الإجمالية باستخدام درجات الإجراءات، حيث يتم حساب كل إجراء من إجراءات Microsoft مرة واحدة، ويتم حساب كل إجراء تقني تديره مرة واحدة، ويتم حساب كل إجراء غير تقني تديره مرة واحدة لكل مجموعة. تم تصميم هذا المنطق لتوفير المحاسبة الأكثر دقة لكيفية تنفيذ الإجراءات واختبارها في مؤسستك. قد تلاحظ أن هذا يمكن أن يتسبب في اختلاف درجة الامتثال الإجمالية عن متوسط درجات التقييم الخاصة بك. اقرأ المزيد أدناه حول كيفية تسجيل الإجراءات.

درجة أولية استنادا إلى أساس حماية البيانات Microsoft 365

يمنحك Compliance Manager درجة أولية استنادا إلى أساس حماية البيانات Microsoft 365. هذا الأساس هو مجموعة من الضوابط التي تتضمن اللوائح والمعايير الرئيسية لحماية البيانات والإدارة العامة للبيانات. يستمد هذا الأساس العناصر بشكل أساسي من NIST CSF (المعهد الوطني للمعايير والتكنولوجيا، إطار الأمان عبر الإنترنت) و ISO (المنظمة الدولية للتوحيد القياسي)، وكذلك من FedRAMP (البرنامج الفيدرالي لإدارة المخاطر والتخويل) و GDPR (القانون العام لحماية البيانات في الاتحاد الأوروبي).

يتم حساب درجاتك الأولية وفقا لتقييم أساس حماية البيانات الافتراضي المقدم لجميع المؤسسات. عند أول زيارة، يقوم Compliance Manager بالفعل بجمع الإشارات من حلول Microsoft 365 الخاصة بك. سترى بنظرة سريعة كيفية أداء مؤسستك بالنسبة إلى معايير ولوائح حماية البيانات الرئيسية، وسترى إجراءات التحسين المقترحة التي يجب اتخاذها.

نظرا لأن كل مؤسسة لديها احتياجات محددة، فإن Compliance Manager تعتمد عليك لإعداد التقييمات وإدارتها للمساعدة في تقليل المخاطر والتخفيف منها بشكل شامل قدر الإمكان.

كيف يقيم Compliance Manager عناصر التحكم باستمرار

يحدد Compliance Manager تلقائيا الإعدادات في بيئة Microsoft 365 التي تساعد في تحديد متى تفي بعض التكوينات بمتطلبات تنفيذ إجراء التحسين. تكتشف Compliance Manager الإشارات من حلول التوافق الأخرى التي ربما تكون قد نشرتها، بما في ذلك إدارة دورة حياة البيانات وحماية المعلومات وتوافق الاتصالات وإدارة المخاطر الداخلية، كما تستفيد من مراقبة نقاط الأمان من Microsoft لإجراءات التحسين التكميلية.

يتم تحديث حالة الإجراء على لوحة المعلومات الخاصة بك في غضون 24 ساعة من إجراء تغيير. بمجرد اتباع توصية لتنفيذ عنصر تحكم، سترى عادة حالة عنصر التحكم محدثة في اليوم التالي.

على سبيل المثال، إذا قمت بتشغيل المصادقة متعددة العوامل (MFA) في مدخل Microsoft Azure AD، يكشف Compliance Manager عن الإعداد ويظهره في تفاصيل حل الوصول إلى عنصر التحكم. وعلى العكس من ذلك، إذا لم تقم بتشغيل المصادقة متعددة العوامل، يقوم Compliance Manager بوضع علامة على ذلك كإجراء موصى به عليك اتخاذه.

تعرف على المزيد حول درجة الأمان وكيفية عملها.

أنواع الإجراءات والنقاط

يتعقب Compliance Manager نوعين من الإجراءات:

1. إجراءات التحسين الخاصة بك: الإجراءات التي تديرها مؤسستك.
2. إجراءات Microsoft: الإجراءات التي تديرها Microsoft.

يحتوي كلا النوعين من الإجراءات على نقاط تحسب في النتيجة الإجمالية عند الانتهاء.

الإجراءات التقنية وغير التقنية

يتم تجميع الإجراءات حسب ما إذا كانت تقنية أو غير تقنية بطبيعتها. يختلف تأثير تسجيل كل إجراء حسب النوع.

• يتم تنفيذ الإجراءات التقنية من خلال التفاعل مع تقنية الحل (على سبيل المثال، تغيير التكوين). يتم منح نقاط الإجراءات التقنية مرة واحدة لكل إجراء، بغض النظر عن عدد المجموعات التي ينتمي إليها.

• تتم إدارة الإجراءات غير التقنية من قبل مؤسستك ويتم تنفيذها بطرق أخرى غير العمل مع تقنية الحل. هناك نوعان من الإجراءات غير التقنية: الوثائق والتشغيلية. يتم تطبيق نقاط هذه الإجراءات على درجة التوافق الخاصة بك على مستوى المجموعة. وهذا يعني أنه إذا كان هناك إجراء موجود في مجموعات متعددة، فستتلقى قيمة نقطة الإجراء في كل مرة تقوم فيها بتنفيذه داخل مجموعة.

مثال على كيفية تسجيل الإجراءات التقنية وغير التقنية:

لنفترض أن لديك إجراء تقنيا بقيمة 3 نقاط موجودة في 5 مجموعات، ولديك إجراء غير تقني بقيمة 3 نقاط موجودة في نفس المجموعات ال 5.

إذا قمت بتنفيذ الإجراء التقني بنجاح، فإن العدد الإجمالي للنقاط التي تتلقاها هو 3. وذلك لأنك تحتاج فقط إلى تنفيذ الإجراء مرة واحدة للمستأجر الخاص بك. سيظهر التنفيذ وحالة الاختبار للإجراء التقني نفس الشيء في جميع مثيلات هذا الإجراء، في كل مجموعة ينتمي إليها.

إذا نجحت في تنفيذ الإجراء غير التقني في كل مجموعة من المجموعات ال 5، فإن العدد الإجمالي للنقاط التي تتلقاها هو 15. وذلك لأنك تحتاج إلى تنفيذ الإجراء في كل مجموعة. ستختلف حالة التنفيذ والاختبار للإجراء غير التقني عبر المجموعات لأنه يتم تنفيذ الإجراء بشكل منفصل داخل كل مجموعة من مجموعاته.

تم تصميم منطق التسجيل هذا لتوفير المحاسبة الأكثر دقة لكيفية تنفيذ الإجراءات واختبارها في مؤسستك.

كيفية تحديد قيم النقاط

يتم تعيين قيمة نقاط للإجراءات استنادا إلى ما إذا كانت إلزامية أو تقديرية، وما إذا كانت وقائية أو مخبرية أو تصحيحية.

الإجراءات الإلزامية والاختيارية

• لا يمكن تجاوز الإجراءات الإلزامية، سواء عن قصد أو عن طريق الخطأ. مثال على إجراء إلزامي هو نهج كلمة مرور مدار مركزيا يحدد متطلبات طول كلمة المرور وتعقيدها وانتهاء صلاحيتها. يجب على المستخدمين اتباع هذه المتطلبات للوصول إلى النظام.

• تعتمد الإجراءات الاستنسابية على المستخدمين لفهم النهج والالتزام به. على سبيل المثال، النهج الذي يتطلب من المستخدمين تأمين أجهزة الكمبيوتر الخاصة بهم عند مغادرتهم له هو إجراء تقديري لأنه يعتمد على المستخدم.

الإجراءات الوقائية والمخبرية والتصحيحية

• تعالج الإجراءات الوقائية مخاطر محددة. على سبيل المثال، حماية المعلومات الثابتة باستخدام التشفير هو إجراء وقائي ضد الهجمات والخروقات. الفصل بين الواجبات هو إجراء وقائي لإدارة تضارب المصلحة والحماية من الاحتيال.

• تراقب الإجراءات المخبرية الأنظمة بنشاط لتحديد الظروف أو السلوكيات غير المنتظمة التي تمثل المخاطر، أو التي يمكن استخدامها للكشف عن الاختراقات أو الخروقات. وتشمل الأمثلة تدقيق الوصول إلى النظام والإجراءات الإدارية المتميزة. عمليات تدقيق الامتثال التنظيمي هي نوع من الإجراءات المخبرية المستخدمة للعثور على مشكلات العملية.

• تحاول الإجراءات التصحيحية الحفاظ على الحد الأدنى من الآثار السلبية لحادث الأمان، واتخاذ إجراءات تصحيحية لتقليل التأثير الفوري، وعكس الضرر إذا أمكن. الاستجابة لحوادث الخصوصية هي إجراء تصحيحي للحد من الضرر واستعادة الأنظمة إلى حالة تشغيلية بعد خرق.

لكل إجراء قيمة معينة في Compliance Manager استنادا إلى المخاطر التي يمثلها:

نوع	النقاط المعينة
إلزامي وقائي	27
تقديري وقائي	9
إلزامية المخبر	3
تقديري للكاتساب المخبرية	1
إلزامي تصحيحي	3
تقديري تصحيحي	1