Yhteensopivuuden pisteiden laskenta

Tässä artikkelissa: Lue, miten Compliance Manager laskee organisaatiosi yhteensopivuuspisteet. Tässä artikkelissa kerrotaan, miten voit tulkita pisteytyksesi, mitä tietojen suojaamisen perustason arviointi sisältää, jatkuvaa seurantaa ja miten erityyppisiä toimintoja hallitaan ja pisteytetään.

Tärkeä

Compliance Managerin suosituksia ei tule pitää takuuna vaatimustenmukaisuudesta. Sinun tehtäväsi on arvioida ja vahvistaa asiakasohjausobjektien tehokkuus oman sääntelyympäristösi mukaan. Näihin palveluihin sovelletaan tuoteehtojen ehtoja. Katso myös Microsoft 365 -käyttöoikeusohjeet suojauksesta ja yhteensopivuuden noudattamisesta.

Vaatimustenmukaisuuspisteiden lukeminen

Compliance Manager -koontinäyttö näyttää yleiset yhteensopivuuspisteet. Tämä pistemäärä mittaa edistymistäsi ohjausobjektien suositeltujen parannustoimintojen suorittamisessa. Pisteytyksesi voi auttaa sinua ymmärtämään nykyisen yhteensopivuustilan. Se voi myös auttaa priorisoimaan toimintoja niiden riskien pienentämismahdollisuuksien perusteella.

Pistearvo määritetään kolmella tasolla:

  1. Parannustoiminnon pisteet: kullakin toiminnolla on eri vaikutus pisteisiin mahdollisen riskin mukaan

  2. Ohjausobjektin pistemäärä: tämä pistemäärä on ohjausobjektin parannustoimintojen avulla ansaittujen pisteiden summa. Tätä summaa sovelletaan kokonaisuudessaan yhteensopivuuden kokonaispistemäärään, kun ohjausobjekti täyttää molemmat seuraavista ehdoista:

    • Toteutuksen tila on sama kuin Toteutettu tai Vaihtoehtoinen toteutus ja
    • Testitulos on sama kuin Hyväksytty.
  3. Arviointipisteet: tämä pistemäärä on hallintapisteiden summa. Se lasketaan käyttämällä toimintopisteitä. Jokainen organisaatiosi hallitsema Microsoft-toiminto ja jokainen parannustoiminto lasketaan kerran riippumatta siitä, kuinka usein ohjausobjektissa viitataan.

Yleiset yhteensopivuuspisteet lasketaan käyttämällä toimintopisteitä, joissa kukin Microsoft-toiminto lasketaan kerran, jokainen hallitsemasi tekninen toiminto lasketaan kerran ja jokainen hallitsemasi ei-tekninen toiminto lasketaan kerran per ryhmä. Tämä logiikka on suunniteltu tarjoamaan tarkimman selvityksen siitä, miten toimintoja toteutetaan ja testataan organisaatiossasi. Saatat huomata, että tämä voi aiheuttaa sen, että yleiset yhteensopivuuspisteet eroavat arviointipisteiden keskiarvosta. Lue lisää alla siitä , miten toiminnot pisteytetään.

Microsoft 365:n tietojen suojauksen perustasoon perustuva ensimmäinen pistemäärä

Compliance Manager antaa sinulle ensimmäisen pistemäärän Microsoft 365 :n tietojen suojauksen perustason perusteella. Tämä perustaso on joukko ohjausobjekteja, jotka sisältävät keskeisiä tietosuojaa ja yleistä tiedonhallintaa koskevia säädöksiä ja standardeja. Tämä perustaso perustuu pääasiassa NIST CSF:ään (National Institute of Standards and Technology Cybersecurity Framework) ja ISO:han (International Organization for Standardization) sekä FedRAMP:iin (Federal Risk and Authorization Management Program) ja GDPR:hen (Euroopan unionin yleinen tietosuoja-asetus).

Alkuperäinen pistemääräsi lasketaan kaikille organisaatioille annetun tietojen suojaamisen perustason oletusarvioinnin mukaan. Ensimmäisellä käynnillä compliance Manager kerää jo signaaleja Microsoft 365 -ratkaisuistasi. Näet yhdellä silmäyksellä, miten organisaatiosi suoriutuu suhteessa keskeisiin tietosuojastandardeihin ja -määräyksiin, ja näet ehdotetut parannustoimet.

Koska jokaisella organisaatiolla on erityisiä tarpeita, compliance Manager luottaa siihen, että määrität ja hallitset arviointeja, joiden avulla voit minimoida ja vähentää riskejä mahdollisimman kattavasti.

Miten Compliance Manager arvioi jatkuvasti ohjausobjekteja

Compliance Manager tunnistaa automaattisesti Microsoft 365 -ympäristösi asetukset, jotka auttavat määrittämään, milloin tietyt määritykset täyttävät parannustoimien toteutusvaatimukset. Compliance Manager havaitsee signaaleja muista mahdollisesti käyttöön ottamistasi yhteensopivuusratkaisuista, kuten tietojen elinkaaren hallinnasta, tietojen suojauksesta, viestinnän yhteensopivuuden ja insider-riskinhallinnasta, ja hyödyntää myös Microsoftin suojattua pistemäärää täydentävien parannustoimintojen seurantaa.

Toiminnon tila päivitetään koontinäyttöön 24 tunnin kuluessa muutoksen toteuttamisesta. Kun noudatat ohjausobjektin käyttöönottosuositusta, näet yleensä ohjausobjektin tilan päivitettynä seuraavana päivänä.

Jos esimerkiksi otat monimenetelmäisen todentamisen (MFA) käyttöön Azure AD-portaalissa, Compliance Manager tunnistaa asetuksen ja ottaa sen huomioon hallintaratkaisun tiedoissa. Vastaavasti, jos et ottanut monimenetelmäistä todentamista käyttöön, Compliance Manager merkitsee sen suositelluksi toiminnoksi.

Lue lisätietoja suojauspisteistä ja sen toiminnasta.

Toimintotyypit ja pisteet

Compliance Manager seuraa kahdenlaisia toimintoja:

  1. Parannustoimintosi: organisaatiosi hallitsemat toiminnot.
  2. Microsoftin toiminnot: Microsoftin hallitsemat toiminnot.

Kummallakin toimintotyypillä on pisteitä, jotka lasketaan kokonaispistemäärään, kun se on valmis.

Tekniset ja muut kuin tekniset toimet

Toimet on ryhmitelty sen mukaan, ovatko ne luonteeltaan teknisiä vai ei-teknisiä. Kunkin toiminnon pisteytyksen vaikutus vaihtelee tyypin mukaan.

  • Teknisiä toimintoja toteutetaan käyttämällä ratkaisun tekniikkaa (esimerkiksi muuttamalla määritystä). Teknisten toimien pisteet myönnetään kerran toimintoa kohden riippumatta siitä, kuinka moneen ryhmään se kuuluu.

  • Organisaatiosi hallitsee muita kuin teknisiä toimintoja ja toteuttaa niitä muilla tavoin kuin ratkaisun teknologian parissa. Muita kuin teknisiä toimia on kahdenlaisia: dokumentaatio ja toiminnallinen toiminta. Näiden toimintojen pisteitä sovelletaan vaatimustenmukaisuuspisteisiin ryhmätasolla. Tämä tarkoittaa sitä, että jos toiminto on olemassa useissa ryhmissä, saat toiminnon pistearvon aina, kun otat sen käyttöön ryhmässä.

Esimerkki siitä, miten tekniset ja muut toiminnot pisteytetään:

Oletetaan, että sinulla on tekninen toimenpide, jonka arvo on 3 pistettä ja joka on olemassa 5 ryhmässä, ja sinulla on ei-tekninen toimi, jonka arvo on 3 pistettä ja joka on olemassa samoissa 5 ryhmässä.

Jos otat teknisen toiminnon onnistuneesti käyttöön, vastaanotettujen pisteiden kokonaismäärä on 3. Tämä johtuu siitä, että sinun tarvitsee ottaa toiminto käyttöön vain kerran vuokraajallesi. Teknisen toimen toteutus ja testitila näyttävät saman kaikissa kyseisen toiminnon esiintymissä jokaisessa ryhmässä, johon se kuuluu.

Jos toteutat ei-teknisen toiminnon kussakin viidestä ryhmästä, saamien pisteiden kokonaismäärä on 15. Tämä johtuu siitä, että sinun on toteutettava toiminto kussakin ryhmässä. Muiden kuin teknisten toimien toteutus- ja testaustila ovat erilaiset eri ryhmissä, koska toimenpide toteutetaan erikseen kunkin ryhmän sisällä.

Tämä pisteytyslogiikka on suunniteltu antamaan tarkin selvitys siitä, miten toiminnot toteutetaan ja testataan organisaatiossasi.

Miten tulosarvot määritetään

Teille määritetään pistearvo sen mukaan, ovatko ne pakollisia vai harkinnanvaraisia ja ovatko ne ennaltaehkäiseviä, etsivä vai korjaavia.

Pakolliset ja harkinnanvaraiset toimet

  • Pakollisia toimintoja ei voi ohittaa joko tarkoituksella tai vahingossa. Esimerkki pakollisesta toiminnosta on keskitetysti hallittu salasanakäytäntö, joka määrittää salasanan pituuden, monimutkaisuuden ja vanhentumisen vaatimukset. Käyttäjien on noudatettava näitä vaatimuksia, jotta he voivat käyttää järjestelmää.

  • Harkinnanvaraiset toiminnot perustuvat siihen, että käyttäjät ymmärtävät käytännön ja noudattavat sitä. Esimerkiksi käytäntö, jossa käyttäjiä vaaditaan lukitsemaan tietokoneensa poistuessaan, on harkinnanvarainen toiminto, koska se on riippuvainen käyttäjästä.

Ennalta ehkäisevät, etsivä- ja korjaavat toimet

  • Ennaltaehkäisevät toimet korjaavat tiettyjä riskejä. Esimerkiksi lepäävien tietojen suojaaminen salauksen avulla on ennaltaehkäisevä toimenpide hyökkäyksiä ja rikkomuksia vastaan. Tehtävien erottaminen on ennaltaehkäisevä toimenpide eturistiriitojen hallitsemiseksi ja petoksilta suojautumiseksi.

  • Etsivän toimet valvovat aktiivisesti järjestelmiä tunnistaakseen epäsäännölliset olosuhteet tai käyttäytymiset, jotka muodostavat riskin tai joita voidaan käyttää tunkeutumisten tai rikkomusten havaitsemiseen. Esimerkkejä tästä ovat järjestelmän käyttöoikeuksien valvonta ja etuoikeutetut hallintatoiminnot. Säädösten noudattamisen tarkastukset ovat eräänlaisia etsivätoimia, joita käytetään prosessiongelmien löytämiseen.

  • Korjaustoimilla pyritään pitämään tietoturvatapauksen haitalliset vaikutukset mahdollisimman pieninä, ryhtymään korjaaviin toimiin välittömän vaikutuksen vähentämiseksi ja kumoamaan vahingot mahdollisuuksien mukaan. Tietosuojatapausten käsittely on korjaava toimenpide, jolla vahingot rajoitetaan ja järjestelmät palautetaan toimintatilaan murron jälkeen.

Kullakin toiminnolla on määritetty arvo Compliance Managerissa sen riskin perusteella, jota se edustaa:

Tyyppi Määritetty tulos
Estävä pakollinen 27
Ehkäisevä harkinnanvarainen 9
Etsivä pakollinen 3
Harkinnanvarainen etsivä 1
Korjaava pakollinen 3
Korjaava harkinnanvarainen 1

Compliance Managerin toimintopisteen arvot.