Výpočet skóre dodržování předpisů

Poznámka

Microsoft 365 dodržování předpisů se teď nazývá Microsoft Purview a řešení v oblasti dodržování předpisů se přejmenovala. Další informace o Microsoft Purview najdete v oznámení na blogu.

V tomto článku: Zjistěte, jak Správce dodržování předpisů vypočítá skóre dodržování předpisů pro vaši organizaci. Tento článek vysvětluje, jak interpretovat skóre, co zahrnuje posouzení standardních hodnot ochrany dat , průběžné monitorování a způsob správy a hodnocení různých typů akcí.

Důležité

Recommendations správce dodržování předpisů by se nemělo interpretovat jako záruka dodržování předpisů. Je na vás, abyste vyhodnotili a ověřili efektivitu zákaznických kontrol podle vašeho regulačního prostředí. Tyto služby podléhají podmínkám a ujednáním v podmínkách produktu. Viz také Microsoft 365 pokyny k licencování pro zabezpečení a dodržování předpisů.

Jak si přečíst skóre dodržování předpisů

Na řídicím panelu Správce dodržování předpisů se zobrazí celkové skóre dodržování předpisů. Toto skóre měří váš pokrok při dokončování doporučených akcí vylepšení v rámci ovládacích prvků. Vaše skóre vám může pomoct porozumět aktuálnímu stavu dodržování předpisů. Může vám také pomoct určit prioritu akcí na základě jejich potenciálu ke snížení rizika.

Hodnota skóre se přiřadí na třech úrovních:

  1. Skóre akce zlepšení: Každá akce má na vaše skóre jiný dopad v závislosti na potenciálním riziku.

  2. Skóre kontroly: toto skóre je součet bodů získaných dokončením akcí vylepšení v rámci ovládacího prvku. Tento součet se použije v celém rozsahu na celkové skóre dodržování předpisů, pokud ovládací prvek splňuje obě následující podmínky:

    • Stav implementace se rovná implementované nebo alternativní implementaci a
    • Výsledek testu se rovná předané.
  3. Skóre hodnocení: Toto skóre je součet skóre kontroly. Počítá se pomocí skóre akce. Každá akce Microsoftu a každá akce vylepšení spravovaná vaší organizací se započítává jednou bez ohledu na to, jak často se na ni v ovládacím prvku odkazuje.

Celkové skóre dodržování předpisů se počítá pomocí skóre akcí, kde se každá akce Microsoftu počítá jednou, každá technická akce, kterou spravujete, se započítá jednou a každá netechnicky spravovaná akce se započítá jednou za skupinu. Tato logika je navržená tak, aby poskytovala co nejpřesnější monitorování způsobu implementace a testování akcí ve vaší organizaci. Můžete si všimnout, že to může způsobit, že se vaše celkové skóre dodržování předpisů bude lišit od průměru skóre hodnocení. Další informace o tom, jak se akce vyhodnotují, najdete níže.

Počáteční skóre na základě standardních hodnot ochrany dat Microsoft 365

Správce dodržování předpisů poskytuje počáteční skóre na základě standardních hodnot ochrany dat Microsoft 365. Tento směrný plán je sada ovládacích prvků, které zahrnují klíčové předpisy a standardy pro ochranu dat a obecné zásady správného řízení dat. Tento směrný plán čerpá prvky především z NIST CSF (National Institute of Standards and Technology Cybersecurity Framework) a ISO (International Organization for Standardization), jakož i z FedRAMP (Federal Risk and Authorization Management Program) a GDPR (Obecné nařízení o ochraně osobních údajů Evropské unie).

Vaše počáteční skóre se počítá podle výchozího posouzení standardních hodnot ochrany dat poskytnutého všem organizacím. Při první návštěvě už Správce dodržování předpisů shromažďuje signály z vašich Microsoft 365 řešení. Na první pohled uvidíte, jak si vaše organizace vede vzhledem ke klíčovým standardům a předpisům ochrany dat, a uvidíte navrhované akce vylepšení, které je potřeba provést.

Vzhledem k tomu, že každá organizace má specifické potřeby, správce dodržování předpisů spoléhá na to, že nastavíte a spravujete hodnocení, abyste minimalizovali a zmírnili rizika co nejkomplexněji.

Jak Správce dodržování předpisů průběžně posuzuje kontroly

Správce dodržování předpisů automaticky identifikuje nastavení ve vašem Microsoft 365 prostředí, které pomáhá určit, kdy určité konfigurace splňují požadavky na implementaci akcí vylepšení. Správce dodržování předpisů detekuje signály z jiných řešení dodržování předpisů, která jste možná nasadili, včetně správy životního cyklu dat, ochrany informací, dodržování předpisů komunikace a správy insiderních rizik, a také využívá monitorování bezpečnostního skóre Microsoftu u doplňkových akcí vylepšení.

Stav akce se na řídicím panelu aktualizuje do 24 hodin od provedení změny. Jakmile budete postupovat podle doporučení k implementaci ovládacího prvku, obvykle se následující den zobrazí aktualizace stavu ovládacího prvku.

Pokud například zapnete vícefaktorové ověřování (MFA) na portálu Azure AD, Správce dodržování předpisů toto nastavení zjistí a zobrazí v podrobnostech o řešení řízení přístupu. Pokud jste naopak vícefaktorové ověřování nezapnuli, Správce dodržování předpisů to označí jako doporučenou akci, kterou můžete provést.

Přečtěte si další informace o bezpečnostním skóre a o tom, jak to funguje.

Typy akcí a body

Správce dodržování předpisů sleduje dva typy akcí:

  1. Vaše akce vylepšení: akce, které spravuje vaše organizace.
  2. Akce Microsoftu: akce, které spravuje Microsoft.

Oba typy akcí mají body, které se započítávají do celkového skóre po dokončení.

Technické a netechnický zásahy

Akce se seskupují podle toho, jestli jsou technické nebo netechnicky. Bodovací dopad každé akce se liší podle typu.

  • Technické akce se implementují interakcí s technologií řešení (například změnou konfigurace). Body pro technické akce se udělují jednou za akci bez ohledu na to, do kolika skupin patří.

  • Netechnickou činnost spravuje vaše organizace a implementuje je jinými způsoby než práce s technologií řešení. Existují dva typy netechnických akcí: dokumentace a provoz. Body pro tyto akce se použijí na skóre dodržování předpisů na úrovni skupiny. To znamená, že pokud akce existuje ve více skupinách, obdržíte bodovou hodnotu akce pokaždé, když ji implementujete v rámci skupiny.

Příklad určení skóre technických a netechnick ých akcí:

Řekněme, že máte technickou akci v hodnotě 3 body, která existuje v 5 skupinách, a máte netechnickou akci v hodnotě 3 body, která existuje ve stejných 5 skupinách.

Pokud úspěšně implementujete technickou akci, celkový počet bodů, které obdržíte, je 3. Je to proto, že pro svého tenanta stačí tuto akci implementovat jenom jednou. Stav implementace a testu pro technickou akci se zobrazí stejně ve všech instancích této akce v každé skupině, do které patří.

Pokud úspěšně implementujete netechnický postup v každé z 5 skupin, celkový počet bodů, které obdržíte, je 15. Je to proto, že potřebujete implementovat akci v každé skupině. Stav implementace a testu pro netechnickou akci se bude mezi skupinami lišit, protože akce se implementuje samostatně v rámci každé z jejích skupin.

Tato logika vyhodnocování je navržená tak, aby poskytovala co nejpřesnější účtování toho, jak se akce implementují a testují ve vaší organizaci.

Způsob určení hodnot skóre

Akcím se přiřadí hodnota skóre na základě toho, jestli jsou povinné nebo volitelné a jestli jsou preventivní, detektivní nebo nápravné.

Povinné a volitelné akce

  • Povinné akce se nedají obejít záměrně nebo náhodně. Příkladem povinné akce je centrálně spravovaná zásada hesel, která nastavuje požadavky na délku, složitost a vypršení platnosti hesla. Uživatelé musí při přístupu k systému splňovat tyto požadavky.

  • Volitelné akce spoléhají na uživatele, aby porozuměli zásadám a dodržovali je. Například zásada, která vyžaduje, aby uživatelé uzamkli svůj počítač, když ho opustí, je volitelná akce, protože spoléhá na uživatele.

Preventivní, detektivní a opravné akce

  • Preventivní akce řeší konkrétní rizika. Například ochrana neaktivních uložených informací pomocí šifrování je preventivní akce proti útokům a porušením zabezpečení. Oddělení povinností je preventivní opatření k řízení střetu zájmů a ochrany před podvody.

  • Detektivní akce aktivně monitorují systémy za účelem identifikace nepravidelných podmínek nebo chování, které představují riziko nebo které lze použít k detekci vniknutí nebo porušení zabezpečení. Mezi příklady patří auditování přístupu systému a privilegované akce správy. Audity dodržování právních předpisů jsou typem detektivní akce, která se používá k vyhledání problémů s procesy.

  • Nápravné akce se snaží zachovat negativní účinky incidentu zabezpečení na minimum, provést nápravná opatření, aby se snížil okamžitý účinek, a pokud je to možné, zvrátit poškození. Reakce na incidenty ochrany osobních údajů je nápravná akce k omezení poškození a obnovení systémů do provozního stavu po porušení zabezpečení.

Každá akce má přiřazenou hodnotu ve Správci dodržování předpisů na základě rizika, které představuje:

Typ Přiřazené skóre
Preventivní povinné 27
Preventivní diskrétnost 9
Detektiv povinný 3
Detektiv diskrétnost 1
Povinná oprava 3
Nápravná diskrétnost 1

Hodnoty bodů akce Správce dodržování předpisů