위험 대응, 모니터링 및 보고 이해
위험 평가 프로세스에 따라 Microsoft 365 Trust 팀은 위험 소유자를 식별하고 서비스 팀과 협력하여 각 위험에 적절하게 대응합니다. 위험 완화 프로세스는 기존 Microsoft 365 엔지니어링, 서비스 운영 및 규정 준수 워크플로를 활용하여 시기 적절한 조치와 정확한 보고를 가능하게 합니다. 위험 대응, 모니터링 및 보고 활동은 반복적이며 Microsoft 365에 발생한 높은 수준의 위험을 해결하기 위한 진행 상황을 지속적으로 평가하는 데 중점을 둡니다.
위험 대응
Microsoft 365 신뢰 팀은 서비스 팀과 협력하여 위험 심각도에 따라 위험에 적절하게 대응합니다. 위험 대응 전략은 네 가지 범주로 나뉩니다.
- 허용: 통제 수준이 낮고 위험도가 낮은 노출 영역입니다.
- 운영: 통제가 적절하다고 판단되는 위험도가 낮은 노출 영역입니다.
- 모니터: 통제가 적절하다고 판단되고 효과를 모니터링해야 하는 위험도가 높은 노출 영역입니다.
- 개선: 통제 수준이 낮고 위험도가 높은 노출 영역으로 가장 우선적으로 처리해야 하는 부분입니다.
영향을 받는 서비스 팀은 Microsoft 365 신뢰 팀과 협력하여 서비스에 대해 식별된 위험에 대응하기 위한 세부 조치 계획을 개발합니다. 위험 평가의 일부로 할당된 위험 심각도는 이러한 계획에 대한 적절한 검토 및 승인 수준을 결정합니다. Microsoft 365 신뢰 팀은 높은 수준의 위험을 추적하고 서비스 팀과 협력하여 조치 계획이 효과적으로 구현되도록 합니다. 위험 소유자는 Microsoft 365 신뢰 팀과 정기적으로 만나 위험 점수를 업데이트하고 식별된 위험을 해결하기 위한 진행 상황을 평가합니다.
위험 모니터링 및 보고
위험 평가의 일부로 식별된 위험은 모니터링되고 관련 이해 관계자에게 보고됩니다. 위험 소유자와 Microsoft 365 신뢰 팀 간의 정기 회의에는 식별된 위험을 해결하기 위한 조치 계획의 진행 상황을 평가하기 위한 모니터링 결과 검토가 포함됩니다. 모니터링 결과, 계획이 식별된 위험을 효과적으로 해결하지 못하는 것으로 나타나면 조치 계획은 지속적인 위험 관리의 일부로 업데이트됩니다.
Microsoft 365 위험 관리의 모니터링 및 보고 데이터는 Microsoft 365 위험 평가 보고서에 통합됩니다. Microsoft 365 관리는 이러한 보고서를 검토하고 Microsoft 365 내의 위험에 대한 책임을 부담합니다. Microsoft 365 위험 평가 보고서는 다른 Microsoft 사업부의 유사한 보고서와 함께 ERM 프로그램 위험 평가에 대한 정보도 제공합니다.