준수 점수 계산

이 문서의 예는 준수 관리자가 조직에 대한 준수 점수를 계산하는 방법에 대해 자세히 알아보습니다. 이 문서에서는 점수, 데이터 보호 기준 평가에 포함된 내용, 지속적인 모니터링 및 다양한 작업 유형이 관리 및 점수가 되는 방식에 대해 설명합니다.

중요

준수 관리자의 권장 사항을 준수 보장으로 해석하면 안 됩니다. 규제 환경당 고객 제어의 효율성을 평가하고 유효성을 검사하는 것은 귀하의 의 의의입니다. 이러한 서비스는 온라인 서비스 약관의 사용 약관을 따라야 합니다. 보안 및 Microsoft 365 라이선싱 지침도 참조하세요.

준수 점수를 읽는 방법

준수 관리자 대시보드에는 전체 준수 점수가 표시됩니다. 이 점수는 컨트롤 내에서 권장 개선 작업을 완료하는 진행률을 측정합니다. 점수는 현재 규정 준수의 현재 자세를 이해하는 데 도움이 될 수 있습니다. 또한 위험을 줄이기 위해 잠재력을 기반으로 작업의 우선 순위를 지정하는 데 도움이 될 수 있습니다.

점수 값은 세 가지 수준에서 할당됩니다.

  1. 개선 작업 점수: 각 작업이 관련된 잠재적 위험에 따라 점수에 다른 영향을 미치게 됩니다.

  2. 제어 점수: 이 점수는 컨트롤 내에서 개선 작업을 완료하여 획득한 점수의 합계입니다. 이 합은 컨트롤이 다음 두 조건을 모두 충족하는 경우 전체 준수 점수에 적용됩니다.

    • 구현 상태는 구현 또는 대체 구현과 동일합니다.
    • 테스트 결과는 Passed와 동일합니다.
  3. 평가 점수: 이 점수는 컨트롤 점수의 합계입니다. 이 계산은 작업 점수를 사용하여 계산됩니다. 조직에서 관리하는 각 Microsoft 작업 및 각 개선 작업은 컨트롤에서 참조되는 횟수에 관계없이 한 번 계산됩니다.

전체 준수 점수는 작업 점수를 사용하여 계산됩니다. 여기서 각 Microsoft 작업은 한 번 계산하고, 관리하는 각 기술 작업이 한 번 계산됩니다. 관리되는 각 비기술 작업은 그룹당 한 번 계산됩니다. 이 논리는 조직에서 작업이 구현 및 테스트된 방식에 대한 가장 정확한 계정을 제공하도록 디자인됩니다. 이로 인해 전반적인 준수 점수가 평가 점수의 평균과 다를 수 있습니다. 자세한 내용은 아래에서 작업 점수가 정해진 방식에 대해 자세히 알아보세요.

데이터 보호 기준에 Microsoft 365 초기 점수

준수 관리자는 데이터 보호 기준에 따라 초기 Microsoft 365 제공합니다. 이 기준은 데이터 보호 및 일반 데이터 거버넌스에 대한 주요 규정 및 표준을 포함하는 제어 집합입니다. 이 기준은 주로 NIST CSF(National Institute of Standards and Technology Cybersecurity Framework) 및 ISO(국제 표준화 기구)뿐만 아니라 FedRAMP(Federal Risk and Authorization Management Program) 및 GDPR(유럽 연합의 일반 데이터 보호 규정)에서 요소를 그릴 수 있습니다.

초기 점수는 모든 조직에 제공되는 기본 데이터 보호 기준 평가에 따라 계산됩니다. 처음 방문하면 준수 관리자가 사용자 솔루션에서 이미 신호를 Microsoft 365 있습니다. 주요 데이터 보호 표준 및 규정에 따라 조직이 어떻게 수행되는지 한눈에 보고 수행할 개선 조치를 참조할 수 있습니다.

모든 조직에는 특정 요구가 있기 때문에 준수 관리자는 최대한 포괄적으로 위험을 최소화하고 완화하는 데 도움이 하도록 평가를 설정하고 관리해야 합니다.

준수 관리자가 지속적으로 컨트롤을 평가하는 방법

준수 관리자는 사용자 환경의 Microsoft 365 검색하고 시스템 설정을 감지하여 기술 작업 상태를 지속적으로 자동으로 업데이트합니다. Microsoft 보안 점수는 모니터링을 수행하는 엔진입니다.

작업 상태는 24시간마다 대시보드에서 업데이트됩니다. 권장에 따라 컨트롤을 구현하면 일반적으로 컨트롤 상태가 다음 날에 업데이트된 것으로 표시됩니다.

예를 들어 Azure AD 포털에서 MFA(다단계 인증)를 설정하면 준수 관리자가 설정을 검색하여 컨트롤 액세스 솔루션 세부 정보에 반영합니다. 반대로, MFA를 설정하지 않은 경우 준수 관리자는 권장 작업으로 플래그를 지정합니다.

보안 점수 및 작동 방식에 대해 자세히 알아보시다.

작업 유형 및 포인트

준수 관리자는 두 가지 유형의 작업을 추적합니다.

  1. 개선 작업: 조직에서 관리하는 작업입니다.
  2. Microsoft 작업: Microsoft가 관리하는 작업입니다.

두 작업 유형 모두 완료 시 전체 점수에 계산되는 점수가 있습니다.

기술 및 비기술적 작업

작업은 기술 또는 비기술적 특성에 따라 그룹화됩니다. 각 작업의 점수 매기기 영향은 유형별로 다릅니다.

  • 기술 작업은 솔루션의 기술과 상호 작용하여 구현됩니다(예: 구성 변경). 기술 작업의 포인트는 소속된 그룹 수에 관계없이 작업당 한 번 부여됩니다.

  • 비기술적 작업은 조직에서 관리하고 솔루션의 기술 사용이 아닌 다른 방식으로 구현됩니다. 기술적이지 않은 작업은 설명서와 운영의 두 가지 유형이 있습니다. 이러한 작업의 점수는 그룹 수준에서 준수 점수에 적용됩니다. 즉, 작업이 여러 그룹에 있는 경우 그룹 내에서 구현할 때마다 작업의 포인트 값을 받게 됩니다.

기술 및 비기술 작업의 점수가 있는 방법의 예:

5개 그룹에 있는 3포인트 가치가 있는 기술 작업이 있으며, 동일한 5개 그룹에 3포인트 가치가 있는 비기술 작업이 있는 경우를 들어보아야 합니다.

기술 작업을 성공적으로 구현한 경우 받은 총 점수 수는 3입니다. 이는 테넌트에 대해 작업을 한 번만 구현하면 됐기 때문에입니다. 기술 작업의 구현 및 테스트 상태는 해당 작업이 속한 모든 그룹에서 해당 작업의 모든 인스턴스에서 동일하게 표시됩니다.

5개 그룹 각각에서 비기술 작업을 성공적으로 구현한 경우 받은 총 점수 수는 15개입니다. 이는 각 그룹에서 작업을 구현해야 하기 때문에입니다. 비기술적 작업의 구현 및 테스트 상태는 각 그룹 내에서 별도로 구현하기 때문에 그룹마다 다릅니다.

이 점수 매기기 논리는 조직에서 작업이 구현 및 테스트된 방식에 대한 가장 정확한 계정을 제공하도록 디자인됩니다.

점수 값이 결정된 방법

작업에는 필수인지 또는 사용자 지정인지 여부와 예방용, 감지용 또는 시정용인지에 따라 점수 값이 할당됩니다.

필수 및 재량 작업

  • 필수 작업은 의도적으로 또는 실수로 무시할 수 없습니다. 필수 작업의 예로는 암호 길이, 복잡성 및 만료 요구 사항을 설정하는 중앙에서 관리되는 암호 정책이 있습니다. 사용자가 시스템에 액세스하려면 다음 요구 사항을 따라야 합니다.

  • 사용자 재량 작업은 사용자가 정책을 이해하고 준수하는 데 필요합니다. 예를 들어 사용자가 컴퓨터를 떠날 때 컴퓨터를 잠그도록 요구하는 정책은 사용자에 의존하므로 사용자 지정 작업입니다.

예방 조치, 감지 및 수정 작업

  • 예방 작업 은 특정 위험을 처리합니다. 예를 들어 암호화를 사용하여 보관 중인 정보를 보호하는 것은 공격, 위반 등에 대한 예방 작업입니다. 임무의 분리는 이해의 충돌을 관리하고 사기로부터 보호하기 위한 예방 작업입니다.

  • 감지 작업은 시스템을 적극적으로 모니터링하여 위험을 나타내는 불규칙한 조건 또는 동작을 식별하거나 침입 또는 위반을 감지하는 데 사용할 수 있습니다. 예로는 시스템 액세스 감사 및 권한 있는 관리 작업이 포함됩니다. 규정 준수 감사는 프로세스 문제를 찾는 데 사용되는 감지 작업 유형입니다.

  • 시정 조치는 보안 인시던트의 부정적인 효과를 최소한으로 유지하고, 즉각적인 효과를 줄이기 위해 시정 조치를 취하고, 가능한 경우 손상을 되돌리려고 시도합니다. 개인 정보 보호 사고 대응은 손상을 제한하고 위반 후 시스템을 작동 상태로 복원하는 시정 작업입니다.

각 작업의 위험에 따라 준수 관리자에 할당된 값이 있습니다.

유형 할당된 점수
예방적 필수 27
예방적 사용자 지정 9
감지용 필수 3
감지적 재량 1
수정 필수 사항 3
수정 재량 1

준수 관리자 작업 지점 값입니다.