준수 관리자에서 평가 빌드 및 관리

이 문서의 예는 평가를 만들고 관리하여 조직의 준수 관리자를 사용자 지정하는 방법을 학습합니다. 이 문서에서는 평가를 만드는 방법, 평가를 그룹으로 구성하는 방법, 컨트롤 작업, 업데이트 수락 및 평가 보고서 내보내기 방법을 제공합니다.

평가 소개

준수 관리자는 조직에 적용되는 산업 및 지역별 규정 준수를 평가하는 평가를 만들 수 있도록 합니다. 평가는 필요한 컨트롤, 개선 작업 및 해당되는 경우 평가 완료를 위한 Microsoft 작업이 포함된 평가 템플릿의 프레임워크를 사용하여 작성됩니다. 조직에 대해 가장 관련성이 높은 평가를 설정하면 정책 및 운영 절차를 구현하여 규정 준수 위험을 제한하는 데 도움이 될 수 있습니다.

모든 평가는 준수 관리자의 평가 탭에 나열됩니다. 평가 보기를 필터링하고 상태 를 해석하는 방법에 대해 자세히 알아보시고 을(를) 해석합니다.

중요

평가를 작성하기 위해 조직에서 사용할 수 있는 템플릿은 사용권 계약에 따라 달라 습니다. 라이선스 세부 정보를 검토합니다.

데이터 보호 기준 기본 평가

시작을 위해 Microsoft는 데이터 보호 기준에 대한 준수 관리자의 Microsoft 365 제공합니다. 이 기준 평가에는 데이터 보호 및 일반 데이터 거버넌스에 대한 주요 규정 및 표준에 대한 제어 집합이 있습니다. 이 기준은 주로 NIST CSF(National Institute of Standards and Technology Cybersecurity Framework) 및 ISO(국제 표준화 기구)뿐만 아니라 FedRAMP(Federal Risk and Authorization Management Program) 및 GDPR(유럽 연합의 일반 데이터 보호 규정)에서 요소를 그릴 수 있습니다.

이 평가는 다른 평가를 구성하기 전에 준수 관리자를 처음 사용할 때 초기 준수 점수를 계산하는 데 사용됩니다. 준수 관리자는 사용자 솔루션에서 초기 Microsoft 365 수집합니다. 주요 데이터 보호 표준 및 규정에 따라 조직이 어떻게 수행되는지 한눈에 보고 수행할 개선 조치를 참조할 수 있습니다.

규정 준수 관리자는 조직의 특정 요구를 충족하기 위해 자체 평가를 빌드하고 관리할 때 더 도움이 됩니다.

평가를 만들기 전에 그룹 이해

평가를 만들 때 그룹에 할당해야 합니다. 그룹은 연도 또는 규정에 따라 또는 조직의 부서나 지사에 따라 논리적인 방식으로 평가를 구성할 수 있는 컨테이너입니다. 따라서 평가를 만들기 전에 그룹화 전략을 계획하는 것이 좋습니다.

다음은 두 그룹과 그에 대한 원점 평가의 예입니다.

  • FFIEC IS assessment 2020
    • FFIEC IS
  • 데이터 보안 및 개인 정보 보호 평가
    • ISO 27001:2013
    • ISO 27018:2014

그룹 또는 그룹 내의 다양한 평가는 개선 작업을 공유할 수 있습니다. 개선 작업은 2단계 인증 설정과 같이 테넌트에 매핑된 기술 솔루션 내에서 수행한 변경 작업이나 새 작업 공간 정책을 도입하는 등 시스템 외부에서 수행하는 비기술적 작업으로 변경될 수 있습니다. 기술 개선 작업으로 수행한 세부 정보 또는 상태에 대한 모든 업데이트는 모든 그룹에서 평가에 의해 선택됩니다. 비기술적인 개선 작업 업데이트는 해당 업데이트를 적용하는 그룹 내의 평가에서 인식됩니다. 이를 통해 하나의 개선 작업을 구현하고 여러 요구 사항을 동시에 충족할 수 있습니다.

그룹 만들기

새 평가를 만드는 동안 그룹을 만들 수 있습니다. 그룹을 독립 실행형 엔터티로 만들 수 없습니다.

그룹 작업을 할 때 알아야 할 것

  • 그룹에는 평가가 하나 이상 포함되어야 합니다.
  • 그룹 이름은 조직 내에서 고유해야 합니다.
  • 그룹에 보안 속성이 없습니다. 모든 사용 권한은 평가와 연결됩니다.
  • 그룹에 평가를 추가하면 그룹을 변경할 수 없습니다.
  • 기존 그룹에 새 평가를 추가하면 해당 그룹의 평가에서 일반적으로 사용되는 정보가 새 평가에 복사됩니다.
  • 동일한 그룹 내에서 다양한 평가의 관련 평가 컨트롤이 완료되면 자동으로 업데이트됩니다.
  • 그룹은 동일한 인증 또는 규정에 대한 평가를 포함할 수 있지만 각 그룹은 특정 제품 인증 쌍에 대한 하나의 평가만 포함할 수 있습니다. 예를 들어 그룹에는 사용자 및 NIST CSF에 대한 Office 365 수 없습니다. 그룹은 각 제품에 대한 해당 인증 또는 규정이 다른 경우 동일한 제품에 대한 여러 평가를 포함할 수 있습니다.
  • 평가를 삭제하는 경우 평가와 그룹 간의 관계가 중단됩니다.
  • 그룹을 수동으로 삭제할 수 없습니다.

평가를 만들기 전에 템플릿 이해

평가 템플릿에는 다양한 개인 정보 규정 및 표준에 대한 인증을 기반으로 하는 평가에 대한 제어 및 작업 권장 사항이 포함되어 있습니다. 조직의 사용 가능한 템플릿에는 라이선스 계약의 일부로 포함된 하나 이상의 템플릿과 구입한 추가 프리미엄 템플릿이 포함될 수 있습니다.

포함 또는 프리미엄에 따라 각 템플릿은 두 가지 버전으로 존재합니다. 하나는 Microsoft 365(또는 사용 가능한 다른 Microsoft 제품) 및 사용하는 다른 제품을 평가하기 위해 조정할 수 있는 유니버설 버전입니다. 평가할 제품에 적합한 템플릿 유형을 선택할 수 있습니다.

템플릿에 대한 자세한 내용은 평가 템플릿 작업을 참조합니다.

평가 만들기

평가를 만들기 위해 마법사를 사용하여 사용할 서식 파일을 선택하고 평가의 속성을 설정할 수 있습니다.

참고

전역 관리자, 준수 관리자 관리 또는 준수 관리자 평가자 역할을 보유한 사용자만 평가를 만들고 수정할 수 있습니다. 역할 및 사용 권한에 대해 자세히 알아보시고 을(를) 자세히 알아보아야 합니다.

평가를 구축하기 시작하기 위해 다음 단계를 따르세요.

  1. 평가를 할당할 그룹을 알거나 이 평가를 위해 새 평가 그룹을 만들 준비를 합니다.

  2. 평가 마법사를 열 수 있습니다. 다음 두 위치 중 하나에서 이 플라이아웃 창에 액세스할 수 있습니다.

    • 준수 관리자의 평가 페이지로 이동하고 평가 추가를 선택합니다. 또는
    • 평가 템플릿 탭에서 사용할 템플릿을 찾고 해당 세부 정보를 확인한 다음 평가 만들기 를 선택합니다. 그러면 마법사의 서식 파일 선택 필드가 채워지게 됩니다.
  3. 서식 파일 선택: 2단계에서 아직 템플릿을 선택하지 않은 경우 평가의 기준으로 사용할 서식 파일을 선택합니다. 템플릿 목록은 포함 및 프리미엄 범주로 구분됩니다(자세한 내용은 템플릿 가용성 및 라이선스 참조). 선택한 템플릿 옆에 있는 라디오 단추를 선택하고 다음 을 선택합니다.

  4. 제품, 이름 및 그룹: 이러한 속성을 설정하여 평가를 식별하고 평가할 제품을 선택하고 그룹에 할당합니다.

    • 제품: 평가를 적용할 제품을 선택합니다. Microsoft 템플릿을 사용하는 경우(예: Microsoft 365 위해 디자인된 템플릿) 이 필드가 채워지며 변경할 수 없습니다. 유니버설 템플릿을 사용하는 경우 준수 관리자에서 이미 정의한 사용자 지정 제품에 대해 이 평가를 만들지 여부를 선택합니다. 새 제품을 선택하는 경우 이름을 입력합니다. 유니버설 템플릿을 사용하는 경우 미리 정의된 Microsoft 제품을 선택할 수 없습니다.
    • 이름: 평가 이름 필드에 평가의 이름을 입력합니다. 평가 이름은 그룹 내에서 고유해야 합니다. 평가 이름이 특정 그룹의 다른 평가 이름과 일치하는 경우 다른 이름을 만들지 묻는 오류가 표시됩니다.
    • 그룹: 평가를 그룹에 할당합니다. 구체적으로 다음과 같은 옵션을 선택할 수 있습니다.
      • 기존 그룹을 사용하여 이미 만든 그룹에 할당을 선택합니다. 또는
      • 그룹을 만들고 이 평가를 할당하려면 새 그룹 만들기를 선택합니다.
        • 그룹의 이름을 결정하고 라디오 단추 아래의 필드에 입력합니다.
        • 구현 테스트 세부 정보 및 문서와 같은 기존 그룹에서 적절한 상자를 선택하여 데이터를 복사할 수 있습니다.

    완료되면 다음 을 선택합니다.

  5. 검토 및 완료: 마법사의 마지막 화면에 평가를 위해 선택한 서식 파일, 이름 및 그룹이 표시됩니다. 화면의 링크에서 이러한 설정을 편집할 수 있습니다. 이 링크를 통해 마법사의 관련 단계로 돌아가게 됩니다. 준비가 되면 평가 만들기 를 선택합니다.

  6. 다음 화면은 새 평가가 성공적으로 만들어졌다는 것을 확인할 수 있습니다. 완료를 선택하여 마법사를 닫고 새 평가의 세부 정보 페이지가 화면에 표시됩니다.

평가 만들기를 선택한 후 평가 실패 화면이 표시된 경우 다시 시도를 선택하여 평가를 다시 만드시다.

평가 세부 정보 페이지의 오른쪽 위 모서리에서 이름 편집 단추를 선택하여 평가를 만든 후 이름을 변경할 수 있습니다.

평가 진행률 및 컨트롤 모니터링

각 평가에는 평가 완료 진행 상황을 한눈에 볼 수 있는 세부 정보 페이지가 있습니다. 페이지에는 컨트롤 완료 진행률과 해당 컨트롤 내의 주요 개선 작업 테스트 상태가 표시됩니다.

개요 탭

개요 탭에는 평가 완료에 대한 백분율을 보여 준 그래프가 포함되어 있습니다. 이 그래프에는 소유한 작업의 포인트와 Microsoft가 소유한 작업의 포인트가 분석된 것으로, 평가를 완료하는 데 필요한 포인트 수를 볼 수 있습니다.

평가의 컨트롤에 대한 주요 개선 작업은 점수 획득에 가장 큰 영향을 미치는 순서로 나열됩니다. 관련 그래프에는 테스트된 작업과 여전히 수행해야 하는 작업을 빠르게 측정할 수 있도록 개선 작업의 집계된 테스트 상태가 자세히 설명됩니다.

개별 개선 작업에 액세스하기 위해 컨트롤 탭 또는 개선 작업 탭을 방문합니다.

컨트롤 탭

컨트롤 탭에는 평가에 매핑된 각 컨트롤에 대한 자세한 정보가 표시됩니다. 컨트롤 상태 분석 차트는 패밀리별 컨트롤 상태를 표시하여 주의가 필요한 컨트롤 그룹을 한눈에 볼 수 있습니다.

차트 아래에는 평가 내의 각 컨트롤에 대한 자세한 정보가 나열됩니다. 컨트롤은 컨트롤 패밀리에 의해 그룹화됩니다. 각 패밀리 이름을 확장하여 포함된 개별 컨트롤을 공개합니다. 각 컨트롤에 대해 나열된 정보는 다음과 같습니다.

  • 컨트롤 제목
  • 상태: 컨트롤 내의 개선 작업의 테스트 상태를 반영합니다.
    • 통과 - 모든 개선 작업의 테스트 상태가 "통과"되거나 하나 이상의 작업이 통과된 후 나머지는 "범위를 벗어났습니다."입니다.
    • 실패 - 하나 이상의 개선 작업의 테스트 상태가 "실패"입니다.
    • 없음 - 모든 개선 작업이 테스트되지 않은 경우
    • 범위를 벗어날 수 있습니다. 모든 개선 작업이 이 평가의 범위를 벗어날 수 있습니다.
    • 진행 중 - 개선 작업의 상태가 위에 나열된 상태가 아니면 "진행 중", "부분 크레딧" 또는 "확인되지 않은" 상태일 수 있습니다.
  • 컨트롤 ID: 컨트롤의 ID 번호, 해당 규정, 표준 또는 정책에 의해 할당됩니다.
  • 달성한 점수: 작업을 완료하여 획득한 점수의 총 점수 수(달성 가능한 총 점수 수)입니다.
  • 작업: 수행할 총 작업 수에서 완료된 작업 수입니다.
  • Microsoft 작업: Microsoft에서 완료한 작업 수

컨트롤의 세부 정보를 확인하려면 표의 행에서 컨트롤을 선택합니다. 컨트롤 세부 정보 페이지에는 해당 컨트롤 내의 작업 테스트 상태를 나타내는 그래프가 표시됩니다. 그래프 아래의 표에는 해당 컨트롤에 대한 주요 개선 작업이 표시됩니다.

목록에서 개선 작업을 선택하여 개선 작업의 세부 정보 페이지를 드릴다운합니다. 세부 정보 페이지에 테스트 상태 및 구현 참고 사항을 표시하고 권장 솔루션을 실행합니다.

개선 작업 탭

개선 작업 탭에는 조직에서 관리하는 평가의 모든 컨트롤이 나열됩니다. 상태 표시줄에는 평가에서 개선 작업의 집계된 테스트 상태가 자세히 표시될 수 있으므로 테스트된 작업과 여전히 수행해야 하는 작업을 빠르게 측정할 수 있습니다. 아래 표시줄에는 테스트 상태, 잠재적 및 획득한 점수 수, 관련 규정 및 표준, 적용 가능한 솔루션, 작업 유형 및 제어 패밀리를 비롯한 개선 작업 및 주요 세부 정보가 전체 목록으로 표시됩니다. 준수 점수에 작업이 기여하는 방식에 대해 자세히 알아보습니다.

개선 작업을 선택하여 세부 정보 페이지를 보고 지금 실행 링크를 선택하여 조치를 취할 솔루션을 여십시오.

Microsoft 작업 탭

Microsoft 제품을 지원하는 템플릿을 기반으로 하는 평가를 위해 Microsoft 작업 탭이 나타납니다. Microsoft에서 관리하는 평가의 모든 작업이 나열됩니다. 이 목록에는 테스트 상태, 전반적인 준수 점수에 기여하는 점수, 관련 규정 및 표준, 적용 가능한 솔루션, 작업 유형 및 제어 패밀리를 비롯한 주요 작업 세부 정보가 표시됩니다. 개선 작업을 선택하여 세부 정보 페이지를 니다.

컨트롤 및 개선 작업을 추적하고 점수가 기록하는 방법에 대해 자세히 알아보면 됩니다.

평가 업데이트 수락

평가에 업데이트를 사용할 수 있는 경우 알림이 표시되어 업데이트를 수락하거나 나중에 지연할 수 있는 옵션이 제공됩니다.

업데이트의 원인

평가 업데이트는 점수에 영향을 미치는 기본 템플릿 변경 사항이 있는 경우 발생합니다. 변경에는 규제 변경 또는 제품 변경에 따라 제어 매핑 또는 기타 지침을 조정할 수 있습니다. 평가 업데이트는 조직에서 시작될 수 있습니다(예: 사용자 지정 템플릿을 수정하는 경우 및 Microsoft에서).

Microsoft에서 확장한 준수 관리자 템플릿을 업데이트하는 경우 평가에서 해당 업데이트를 수락하면 해당 업데이트를 상속합니다. 평가는 평가를 확장할 때 평가에 적용한 추가 특성을 보존합니다.

만든 사용자 지정 평가는 Microsoft에서 템플릿 업데이트를 받지 않습니다. 사용자 지정 평가는 개선 작업 업데이트를 받을 수 있지만 평가와 개선 작업 간의 매핑을 제어하는 Microsoft 업데이트는 사용자 지정 템플릿에 적용되지 않습니다.

참고

평가에 대한 업데이트는 그룹 수준에서만 적용됩니다. 두 개의 다른 그룹에 있는 동일한 템플릿으로 작성된 두 개의 평가가 있는 경우 각 평가에는 보류 중인 업데이트 알림이 표시되어 있으며 각 그룹의 각 평가에 대한 업데이트를 개별적으로 수락해야 합니다.

평가 업데이트 알림을 볼 수 있는 위치

평가 세부 정보 페이지에는 업데이트가 있는 평가 옆에 보류 중인 업데이트 레이블도 표시됩니다. 해당 평가를 선택하여 세부 정보 페이지로 이동합니다.

평가 세부 정보 페이지의 맨 위에 있는 메시지는 해당 평가에 대한 업데이트를 사용할 수 있는 것으로 표시됩니다. 배너에서 업데이트 검토 단추를 선택하여 특정 변경 내용을 검토하고 업데이트를 수락하거나 지연합니다.

평가 세부 정보 페이지에 보류 중인 업데이트 레이블이 있는 개선 작업도 나열할 수 있습니다. 이러한 업데이트는 개선 작업 자체에 대한 특정 변경 내용에 대한 것이고 별도로 수락해야 합니다. 자세한 내용은 개선 작업에 대한 업데이트 수락을 방문하세요.

업데이트를 검토하여 수락 또는 지연

평가 세부 정보 페이지에서 업데이트 검토를 선택하면 화면 오른쪽에 플라이아웃 창이 나타납니다. 플라이아웃 창은 보류 중인 업데이트에 대한 아래의 주요 세부 정보를 제공합니다.

  • 서식 파일 제목
  • 업데이트 원본(Microsoft, 조직 또는 특정 사용자)
  • 업데이트가 만들어진 날짜
  • 업데이트를 설명하는 개요
  • 준수 점수에 대한 영향, 평가 완료를 위한 진행률, 개선 작업 및 컨트롤에 대한 특정 변경 수를 포함하여 변경 내용에 대한 구체적인 세부 정보

업데이트된 서식 파일 링크를 선택하면 보류 중인 Excel 서식 파일 버전에 대한 컨트롤 데이터가 포함된 파일 다운로드가 표시됩니다. 현재 서식 파일 링크를 선택하면 변경하지 않고 기존 서식 파일의 파일이 다운로드됩니다.

업데이트를 수락하고 평가를 변경하려면 업데이트 수락 을 선택합니다. 수락된 변경 내용은 영구적입니다.

취소를 선택하면 업데이트가 평가에 적용되지 않습니다. 그러나 업데이트를 수락할 때까지 보류 중인 업데이트 알림이 계속 표시됩니다.

업데이트를 수락하는 것이 권장된 이유

업데이트를 수락하면 솔루션을 사용하고 적절한 개선 조치를 취하여 인증 요구 사항을 충족하는 데 도움이 되는 가장 업데이트된 지침을 확보할 수 있습니다.

업데이트를 지연할 수 있는 이유

평가를 완료하는 중이면 제어 매핑을 방해할 수 있는 평가에 대한 업데이트를 수락하기 전에 작업을 완료해야 할 수 있습니다. 검토 업데이트 플라이아웃 창에서 취소를 선택하여 나중에 업데이트를 지연할 수 있습니다.

평가 보고서 내보내기

조직의 규정 준수 이해 관계자를 위한 Excel 또는 외부 감사자 및 규제 기관에 대한 평가를 내보낼 수 있습니다. 평가 세부 정보 페이지에서 페이지 위쪽에 있는 보고서 생성 단추를 선택하여 저장하고 공유할 수 있는 Excel 파일을 만듭니다.

보고서는 내보내기 날짜 및 시간의 평가 스냅숏입니다. 구현 상태, 테스트 날짜 및 테스트 결과를 포함하여 사용자와 Microsoft에서 관리하는 컨트롤에 대한 세부 정보가 포함되어 있습니다.

평가 삭제

평가를 삭제하면 평가 페이지의 목록에서 평가가 제거됩니다. 평가 삭제에 대한 중요한 점에 유의합니다.

  • 평가 삭제는 영구적입니다. 다시 얻을 수 없습니다. 동일한 평가를 다시 사용하려면 다시 만들어야 합니다.
  • 평가의 개선 작업이 다른 평가에 나타나지 않는 경우 평가가 삭제될 때 삭제됩니다.
  • 영구적으로 삭제하기 전에 평가 보고서를 내보내는 것이 좋습니다.

평가를 삭제하려면 다음 단계를 따르세요.

  1. 평가 페이지에서 삭제하고자 하는 평가를 선택하여 해당 평가의 세부 정보 페이지를 열 수 있습니다.

  2. 화면의 오른쪽 위 모서리에서 평가 삭제를 선택합니다.

  3. 평가를 영구적으로 삭제할지 묻는 창이 나타납니다. 평가 삭제를 선택하여 창을 닫습니다. 준수 관리자에서 평가가 삭제되었습니다는 확인 창이 표시됩니다.

그룹에서 유일한 평가를 삭제하면 해당 그룹도 준수 관리자에서 삭제됩니다.

참고

모든 평가는 삭제할 수 없습니다. 조직이 제대로 작동하려면 준수 관리자에 대한 평가가 하나 이상 필요합니다. 삭제하려는 평가가 유일한 평가인 경우 다른 평가를 삭제하기 전에 다른 평가를 추가합니다.