Microsoft 365 위험 관리 프로그램

Microsoft 365 위험 관리 프로그램의 목적은 Microsoft 365에 대한 위험을 식별, 평가 및 관리하는 것입니다. Microsoft의 최우선 과제는 서비스 인프라뿐만 아니라 고객, 데이터 및 신뢰에 영향을 미칠 수 있는 위험을 사전에 식별하고 해결하는 것입니다. 또한 계약 의무를 충족하고 고객이 자체 규정 준수 요구 사항을 충족하기 위해 의존하는 공개 인증을 유지하기 위해 강력한 위험 관리 프로그램이 필요합니다. Microsoft 365 위험 관리 프로그램은 독립적으로 작동하지만 가장 중요한 ERM(Enterprise Risk Management) 프로그램의 정책, 우선 순위 및 방법론에 부합합니다. ERM 프로그램을 사용하면 사업부 및 엔지니어링 그룹 간에 일관된 비교를 통해 기업 전체의 위험 관리에 대한 보다 응집력 있는 접근 방식에 기여할 수 있습니다.

Microsoft 365 신뢰 팀은 Microsoft 365 위험 관리 프로그램을 관리하고 ERM 프로그램에서 정의한 활동을 수행할 책임이 있습니다. 신뢰 팀은 위험 관리 프로그램을 보다 효과적이고 효율적으로 만들기 위해 위험 관리 프레임워크를 기존 Microsoft 365 엔지니어링, 서비스 운영 및 규정 준수 프로세스와 통합하는 데 중점을 둡니다.

또한 트러스트 팀은 규정 준수 활동을 지원하여 제대로 구현될 때 엔지니어링 팀이 주요 규정 및 인증을 준수할 수 있도록 하는 합리화된 컨트롤 집합인 Microsoft 365 Controls Framework를 유지 관리합니다. 이 프레임워크는 위험 관리 프로세스의 일부로 피드백 및 결과에 따라 지속적으로 업데이트됩니다.

위험 관리 활동은 식별, 평가, 응답, 모니터링 및 보고의 네 단계로 구성됩니다.

식별

위험 관리 프로세스는 Microsoft 365 환경의 모든 주요 제어 영역, 내부 및 외부 위협 및 취약성에 대해 가능한 모든 위험을 식별하는 것으로 시작합니다. 이 프로세스를 안내하는 정보는 인터뷰, 취약성 검사, 공격 시뮬레이션 연습, 감사 결과 및 인시던트 관리 활동을 비롯한 여러 원본에서 제공됩니다.

트러스트 팀은 서비스가 증가함에 따라 도입될 수 있는 이전에 확인된 위험 및 잠재적인 미래 위험에 대해 여러 서비스 팀의 중소기업(실무 전문가)을 인터뷰합니다. 또한 중소기업은 다른 연속 모니터링 원본에서 식별된 위험의 정확성과 완전성을 확인하는 데 도움이 됩니다.

식별 단계는 의사 결정 로그, 활성 보안 및 규정 준수 예외 및 이전 위험 평가의 완화 작업을 검토할 때도 수행됩니다.

평가

확인된 각 위험은 영향, 가능성 및 제어 결핍이라는 세 가지 메트릭을 사용하여 평가됩니다.

• 영향은 해당 위험이 실현될 경우 서비스, 비즈니스 또는 Microsoft에 발생할 수 있는 피해를 나타냅니다. Microsoft에 미치는 영향에는 평판 손상, 고객 손실 또는 법적/규정 준수에 미치는 영향이 포함될 수 있습니다.
• 가능성은 실현될 잠재적 위험의 확률을 정의하고 발생할 확률과 빈도를 분석하여 계산됩니다.
• 컨트롤 결함은 구현된 완화 컨트롤의 효과를 측정합니다.

이러한 메트릭은 기존 완화 전략을 고려하여 각 위험의 심각도를 나타내는 위험 점수를 계산하는 데 사용됩니다. 위험은 Microsoft 365의 위험 상태의 정확성과 완전성을 확인하기 위해 각 서비스의 주요 이해 관계자에게 집계되고 표시됩니다.

응답

Microsoft 365에 대해 확인된 위험 목록을 사용하여 보안 팀은 위험 대응을 위해 영향을 받는 서비스에 위험을 할당합니다. 정의된 지침은 위험 점수 및 제어 효율성을 기반으로 적절한 위험 대응 전략을 결정하는 데 도움이 될 수 있습니다. 위험 대응 전략은 네 가지 범주로 나뉩니다.

• 허용: 통제 수준이 낮고 위험도가 낮은 노출 영역입니다.
• 운영: 통제가 적절하다고 판단되는 위험도가 낮은 노출 영역입니다.
• 모니터: 통제가 적절하다고 판단되고 효과를 모니터링해야 하는 위험도가 높은 노출 영역입니다.
• 개선: 주소 지정의 최우선 과제인 낮은 수준의 제어를 통해 위험이 높은 노출 영역입니다.

트러스트 팀은 서비스 팀과 협력하여 각 위험을 해결하기 위한 계획을 개발합니다. 심각도 수준은 각 계획에 대한 적절한 검토 및 승인 수준을 결정합니다. 조치가 필요한 위험의 경우 기존 엔지니어링 버그 프로세스는 예외를 추적, 관리 및 결정하는 데 사용됩니다. 엔지니어링 및 운영 팀에 익숙한 프로세스를 사용하면 위험 대응이 더 효율적이고 효과적입니다.

모니터링 및 보고

위험 평가의 일부로 식별된 위험은 모니터링되고 관련 이해 관계자에게 보고됩니다. 모니터링 전략에는 보안 모니터링, 정기 위험 검토, 침투 테스트 및 취약성 검사가 포함됩니다. 이러한 모니터링 작업은 주요 성과 지표에 대한 보고, 대시보드 만들기 및 공식 보고서 개발을 위한 데이터 원본 역할을 하며, 이 모든 작업은 향후 위험 결정을 알려줍니다.

트러스트 팀은 일년에 여러 번 각 서비스의 위험 소유자와 만나 위험 점수를 검토하고, 작업 계획의 효과를 평가하고, 필요한 경우 업데이트를 수행합니다. 또한 Microsoft 365의 위험 평가 활동은 Microsoft 고위 관리 및 ERM 프로그램에 대한 Microsoft의 위험 상태에 대한 개략적인 개요를 제공하는 ERM 프로그램의 엔터프라이즈 위험 평가에 기여합니다.