Übersicht zu Microsoft 365 Risikomanagement
Das Microsoft 365-Risikomanagementprogramm ist ein unabhängiges Programm, das auf das Enterprise Risk Management-Programm (ERM) und dessen Risikomanagementrichtlinien abgestimmt ist. Dies ermöglicht einen konsistenten und vergleichenden Ansatz für das Risikomanagement innerhalb von Geschäftsbereichen und Engineeringgruppen. Die Ausrichtung des ERM-Programms priorisiert und steuert die Aktivitäten des Microsoft 365-Risikomanagements, die letztendlich in den ERM-Risikomanagementprozess einfließen.
Microsoft 365 Trust ist verantwortlich für die Unterstützung von Qualitätssicherungsvorgängen in Bezug auf Richtlinienkonformität und Sicherheitsanforderungen sowie das Risikomanagement. Microsoft 365 Trust identifiziert neue Risiken, sobald sie entstehen, und überwacht bekannte Risiken und Reaktionen auf Risiken. Erfolg und Misserfolg von Risikoreaktionen werden verfolgt, um Analysen der Risikowahrscheinlichkeiten und -auswirkungen zu entwickeln und mit Daten zu versorgen. Im Rahmen des Risikomanagements analysiert Microsoft 365 Trust die Entwurfs- und Betriebseffektivität von Kontrollen, die als Teil des Microsoft 365 Controls Framework implementiert wurden. Das Feedback von Microsoft 365-Serviceteams sowie die fortlaufende Überwachung von Daten aus Microsoft 365-Umgebungen liefern Daten für den Risikomanagementprozess.
Die Aktivitäten des Microsoft 365-Risikomanagements sind in vier Phasen gegliedert: Identifikation, Bewertung, Reaktion sowie Überwachung und Berichterstellung. Das Risikomanagement in Microsoft 365 ist ein fortlaufender, iterativer Prozess, der Feedback von Risikobesitzern, wichtigen Diensten und wichtigen Geschäftsbereichen sowie die Analyse von Prüfungsergebnissen und die Implementierung von Steuerelementen umfasst. Regelmäßige Besprechungen zum Thema Risikoüberprüfung mit Risikobesitzern ermöglichen es Microsoft 365 Trust, Aktionspläne nach Bedarf zu aktualisieren und zu verwalten. Die Ergebnisse der Risikobewertung werden mit dem Microsoft 365-Management überprüft und validiert und in den ERM-Bericht zur Risikobewertung für den Microsoft-Verwaltungsrat (Board of Directors) übernommen.