Criar e gerir avaliações no Gestor de Conformidade

Nota

Microsoft 365 a conformidade é agora denominada conformidade Microsoft Purview as soluções dentro da área de conformidade foram reestabreadas. Para obter mais informações sobre Microsoft Purview, consulte o anúncio do blogue.

Neste artigo: Saiba como personalizar o Gestor de Conformidade para a sua organização ao criar e gerir avaliações. Este artigo ajuda-o a criar avaliações, a organizá-los em grupos, a trabalhar com controlos, a aceitar atualizações e a exportar relatórios de avaliação.

Introdução aos avaliações

O Gestor de Conformidade ajuda-o a criar avaliações que avaliam a sua conformidade com os regulamentos regionais e do setor que se aplicam à sua organização. As avaliações baseam-se no quadro dos modelos de avaliação, que contêm os controlos necessários, as ações de melhoramento e, se aplicável, as ações da Microsoft para concluir o avaliação. Configurar as avaliações mais relevantes para a sua organização pode ajudá-lo a implementar políticas e procedimentos operacionais para limitar o seu risco de conformidade.

Todos os seus resultados de avaliação estão indicados no separador avaliações do Gestor de Conformidade. Saiba mais sobre como filtrar a vista dos seus avaliações e estados de interpretação.

Importante

Os modelos disponíveis para a sua organização para a construção de avaliações dependem do seu contrato de licenciamento. Reveja os detalhes do licenciamento.

Avaliação predefinida da Linha de Base de Dados da Proteção de Dados

Para começar, a Microsoft fornece uma avaliação predefinida no Gestor de Conformidade para a linha de base Microsoft 365 de proteção de dados. Esta avaliação da linha de base tem um conjunto de controlos para regulamentações e padrões chave para proteção de dados e governação geral de dados. Esta linha de base desenha elementos principalmente de NIST CSF (National Institute of Standards and Technology Cybersecurity Framework) e ISO (International Organization for Standardization), bem como da FedRAMP (Federal Risk and Authorization Management Program) e do RGPD (Regulamento Geral Sobre a Proteção de Dados da União Europeia).

Esta avaliação é utilizada para calcular o seu resultado de conformidade inicial quando chegar ao Gestor de Conformidade pela primeira vez, antes de configurar outros avaliações. O Gestor de Conformidade recolhe sinais iniciais das suas Microsoft 365 soluções. Verá de relance o desempenho da sua organização relativamente às principais normas e regulamentos de proteção de dados e verá sugestões de ações de melhoramento a executar.

O Gestor de Conformidade torna-se mais útil à medida que cria e gere os seus próprios avaliações para satisfazer as necessidades específicas da sua organização.

Compreender os grupos antes de criar avaliações

Quando cria uma avaliação, terá de a atribuir a um grupo. Os grupos são contentores que lhe permitem organizar avaliações de uma forma lógica para si, por exemplo por ano ou regulamento, ou com base nas divisões ou geografias da sua organização. É por este motivo que recomendamos planear uma estratégia de agrupamento antes de criar avaliações.

Seguem-se exemplos de dois grupos e respetivos resultados de avaliação:

  • Avaliação do IS FFIEC 2020
    • FFIEC IS
  • Avaliações de segurança e privacidade de dados
    • ISO 27001:2013
    • ISO 27018:2014

Diferentes avaliações dentro de um grupo ou grupos podem partilhar ações de melhoramento. As ações de melhoramento podem ser alteradas dentro de soluções técnicas mapeadas para o seu inquilino, como ativar a autenticação de dois fatores ou a ações não técnicas efetuadas fora do sistema, como instituir uma nova política de local de trabalho. Todas as atualizações nos detalhes ou estado de uma ação de melhoramento técnico serão recolhidas pelas avaliações de todos os grupos. As atualizações de ações de melhoramento não técnica serão reconhecidas pelas avaliações no grupo onde as aplica. Isto permite-lhe implementar uma ação de melhoramento e cumprir vários requisitos em simultâneo.

Criar um grupo

Pode criar um grupo enquanto cria uma nova avaliação. Os grupos não podem ser criados como entidades a independentes.

O que saber ao trabalhar com grupos

  • Um grupo tem de conter pelo menos um avaliação.
  • Os nomes dos grupos têm de ser exclusivos dentro da sua organização.
  • Os grupos não têm propriedades de segurança. Todas as permissões estão associadas aos avaliações.
  • Depois de adicionar uma avaliação a um grupo, o agrupamento não pode ser alterado.
  • Se adicionar uma nova avaliação a um grupo existente, as informações comuns dos avaliações nesse grupo são copiadas para o novo avaliação.
  • Os controlos de avaliação relacionados em diferentes avaliações do mesmo grupo são atualizados automaticamente quando concluídos.
  • Os grupos podem conter avaliações para a mesma certificação ou regulamento, mas cada grupo só pode conter uma avaliação para um par específico de certificação de produtos. Por exemplo, um grupo não pode conter dois avaliações para o Office 365 e NIST CSF. Um grupo pode conter múltiplas avaliações para o mesmo produto apenas se a certificação ou regulamento correspondente para cada um for diferente.
  • Eliminar uma avaliação interrompe a relação entre esse avaliação e o grupo.
  • Os grupos não podem ser eliminados.

Compreender os modelos antes de criar avaliações

Os modelos de avaliação contêm controlos e recomendações de ações para testes de avaliação, baseados em certificações para diferentes normas e regulamentos de privacidade. Os modelos disponíveis da sua organização podem incluir um ou mais modelos incluídos como parte do seu contrato de licenciamento, juntamente com quaisquer modelos premium adicionais que tenha adquirido.

Cada modelo, quer esteja incluído ou premium, existe em duas versões: uma para utilizar com o Microsoft 365 (ou outros produtos Microsoft conforme disponibilizado) e uma versão universal que pode ser adaptada para avaliar outros produtos que utiliza. Pode escolher o tipo de modelo adequado para o produto que pretende avaliar.

Para saber mais sobre modelos, consulte Trabalhar com modelos de avaliação.

Criar avaliações

Nota

Apenas os utilizadores que têm a função administrador Global, a Administração do Gestor de Conformidade ou o Avaliador de Gestor de Conformidade podem criar e modificar avaliações. Saiba mais sobre funções e permissões.

Antes de começar, certifique-se de que sabe a que grupo o irá atribuir ou esteja preparado para criar um novo grupo para este avaliação. Leia detalhes sobre grupos e avaliações.

Para criar uma avaliação, irá utilizar um processo guiado para selecionar um modelo e designar o produto associado. Na sua página Deteção , sugerimos que começará por Adicionar Avaliações Recomendadas , que o ajuda a identificar e a configurar rapidamente os avaliações mais relevantes para a sua organização de uma só vez. Também pode configurar uma avaliação de cada vez ao selecionar Adicionar avaliação. Siga os passos abaixo para começar a criar avaliações.

Criar avaliações com base em recomendações para o seu tipo de orgão

O Gestor de Conformidade pode indicar as avaliações mais relevantes para a sua organização. Quando fornecer informações básicas sobre a indústria e localizações da sua organização, recomendamos que modelos utilizar a partir da nossa biblioteca de mais de 300 modelos. Basta selecionar um dos modelos recomendados para configurar rapidamente múltiplos avaliações de uma só vez.

Para criar um ou mais avaliações com base nas nossas recomendações, selecione Adicionar Avaliações Recomendadas na sua página De avaliação e siga estes passos:

  • Selecione um ou mais setores que identificam a sua organização e, em seguida, selecione Seguinte
  • Selecione uma ou mais regiões para a localização da sua organização e, em seguida, selecione Seguinte
  • No ecrã Escolher avaliação, selecione a seta para baixo junto a Modelos recomendados para ver a lista de avaliações que pensa aplicar-se à sua organização. Selecione as caixas junto aos modelos que pretende utilizar para criar avaliações e, em seguida, selecione Seguinte.
  • Reveja as suas seleções finais e selecione Adicionar Avaliações Recomendadas para criar os seus novos teste de avaliação.

Criar uma avaliação através de um processo guiado

  1. Na sua página de Avaliação , selecione Adicionar avaliação. Isto irá colocá-lo no assistente de criação de avaliações.

  2. No ecrã Modelo base , selecione Selecionar modelo para escolher o modelo para o seu avaliação.

  3. No painel de seleção, escolha o modelo para o regulamento ou certificação para basear o avaliação. A lista de modelos dividida em categorias incluídas e premium (obter detalhes). O contador de modelos Ativado / Licenciado na parte superior do painel de lista de opções mostra-lhe como é que os modelos que está a utilizar a partir do número total disponível ou para a sua organização utilizar (saiba mais). Selecione o botão de opção junto ao modelo selecionado e, em seguida, selecione Guardar. Irá regressar ao ecrã Modelo base , onde pode rever os detalhes do modelo e, em seguida, continuar ao selecionar Seguinte.

  4. Produto, nome e grupo: Defina estas propriedades para identificar a sua avaliação, escolha o produto que vai avaliar e atribui-lo a um grupo.

    • Produto: Selecione o produto a que pretende aplicar a sua avaliação. Se estiver a utilizar um modelo da Microsoft, como um concebido para o Microsoft 365, este campo será preenchido para indicar o produto adequado e não pode ser alterado. Se estiver a utilizar um modelo universal, selecione se está a criar esta avaliação para um novo produto ou um produto personalizado que já tenha definido no Gestor de Conformidade. Se escolher um novo produto, introduza o nome do mesmo. Tenha em atenção que não pode selecionar um produto Microsoft predefinido ao utilizar um modelo universal.
    • Nome do avaliação: introduza um nome para a sua avaliação no campo Nome da avaliação. Os nomes dos avaliados têm de ser exclusivos dentro dos grupos. Se o nome da sua avaliação corresponder ao nome de outra avaliação de um grupo, receberá uma mensagem de erro a pedir-lhe para criar um nome diferente.
    • Grupo: atribuir o seu avaliação a um grupo. Pode:
      • Selecione Utilizar grupo existente para o atribuir a um grupo que já criou; ou
      • Selecione Criar novo grupo para criar um novo grupo e atribuir-lhe este avaliação:
        • Determine um nome para o seu grupo e introduza-o no campo abaixo do botão de rádio.
        • Pode copiar dados de um grupo existente, tal como implementar e testar detalhes e documentos, ao selecionar as caixas adequadas.

    Quando terminar, selecione Seguinte.

  5. Rever e concluir: Reveja as suas seleções e faça as edições necessárias. Quando estiver satisfeito, selecione Criar avaliação.

O ecrã seguinte confirma a criação do avaliação. Quando selecionar Terminado, será remocionado para a página de detalhes do seu novo avaliação.

Se vir um ecrã de Avaliação falhado após selecionar Criar avaliação, selecione Tentar novamente para re-criar o seu avaliação.

Pode alterar o nome da sua avaliação depois de o criar ao selecionar o botão Editar nome no canto superior direito da página de detalhes do avaliação.

Monitorizar o progresso e os controlos da avaliação

Cada avaliação tem uma página de detalhes que fornece uma vista relance do seu progresso na concluir a avaliação. A página mostra o seu progresso na composição de controlos e o estado de teste das ações de melhoramento principais dentro desses controlos.

Separador Desíntese Geral

O separador da visão geral contém um gráfico que mostra a sua percentagem até à conclusão da avaliação. Este gráfico contém uma discriminação dos pontos das suas ações e pontos das ações da Microsoft, para que possa ver quantos mais pontos precisa para concluir a avaliação.

As principais ações de melhoramento dos controlos na avaliação são listadas por ordem de maior impacto potencial para ganhar pontos. O gráfico associado detalhes sobre o estado do teste agregado das suas ações de melhoramento, para que possa avaliar rapidamente o que foi testado e o que ainda precisa de fazer.

Para aceder a ações de melhoramento individuais, visite o separador Controlos ou o separador As suas ações de melhoria .

Separador Controlos

O separador Controlos apresenta informações detalhadas para cada controlo mapeado para a avaliação. Um gráfico de discriminação do estado do controlo mostra o estado dos controlos por família, para que possa ver de relance que agrupamentos de controlos precisam de atenção.

Por baixo do gráfico, uma tabela lista informações detalhadas sobre cada controlo da avaliação. Os controlos são agrupados por família de controlos. Expanda cada nome de família para revelar os controlos individuais que contém. As informações listadas para cada controlo incluem:

  • Título do controlo
  • Estado: reflete o estado do teste das ações de melhoramento no controlo
    • Aprovado - todas as ações de melhoramento têm um estado de teste de "aprovado" ou pelo menos uma já passou e as restantes estão "fora do âmbito"
    • Falha – pelo menos uma ação de melhoramento tem o estado de teste de "falhou"
    • Nenhum - todas as ações de melhoramento não foram testadas
    • Fora do âmbito - todas as ações de melhoramento estão fora do âmbito desta avaliação
    • Em curso - as ações de melhoramento têm um estado diferente do indicado acima, que pode incluir "em curso", "crédito parcial" ou "não detetado"
  • ID de Controlo: o número de identificação do controlo, atribuído pelo regulamento, norma ou política correspondente
  • Pontos atingidos: o número de pontos ganhos ao concluir as ações, do número total de pontos exequíveis
  • As suas ações: o número de ações concluídas do número total de ações a er fazer
  • Ações da Microsoft: o número de ações concluídas pela Microsoft

Para ver os detalhes de um controlo, selecione-o a partir da linha na tabela. A página de detalhes do controlo mostra um gráfico a indicar o estado do teste das ações dentro do controlo. Uma tabela abaixo do gráfico mostra as principais ações de melhoramento para esse controlo.

Selecione uma ação de melhoramento da lista para ver os detalhes da ação de melhoramento. A página detalhes mostra o estado do teste e as notas de implementação e é iniciada na solução recomendada.

Separador As suas ações de melhoramento

O separador das suas ações de melhoramento lista todos os controlos na avaliação que são geridos pela sua organização. A barra de estado detalhes o estado do teste agregado das suas ações de melhoramento na avaliação, para que possa avaliar rapidamente o que foi testado e o que ainda tem de ser feito. Abaixo da barra, encontrará uma lista completa de ações de melhoramento e detalhes chave, incluindo: estado do teste, o número de pontos potenciais e ganhos, regulamentos e padrões associados, solução aplicável, tipo de ação e família de controlo. Saiba mais sobre como as ações contribuem para a sua pontuação de conformidade.

Selecione uma ação de melhoramento para ver a sua página de detalhes e selecione a ligação Iniciar agora para abrir a solução para tomar medidas.

Separador Ações da Microsoft

O separador Ações da Microsoft é exibido para avaliações com base em modelos que suportam produtos Microsoft. Lista todas as ações na avaliação que são geridas pela Microsoft. A lista mostra detalhes chave de ação, incluindo: estado do teste, pontos que contribuem para a sua pontuação de conformidade global, regulamentos e padrões associados, solução aplicável, tipo de ação e família de controlo. Selecione uma ação de melhoramento para ver a sua página de detalhes.

Saiba mais sobre como os controlos e as ações de melhoramento são controlados e pontuados.

Aceitar atualizações aos relatórios de avaliação

Quando uma atualização estiver disponível para uma avaliação, verá uma notificação e terá a opção de aceitar a atualização ou deferi-la para mais tarde.

As atualizações estão disponíveis para avaliações baseadas em modelos da Microsoft, como os que foram concebidos para utilização com Microsoft 365. Se a sua organização estiver a utilizar modelos universais para avaliar outros produtos, a herança poderá não ser suportada. Para obter mais informações, consulte Expandir modelos de avaliação.

O que causa uma atualização

Uma atualização de avaliação ocorre quando existem alterações de modelos sub acordo com o impacto na pontuação. As alterações podem envolver ajustar o mapeamento do controlo ou outras orientações com base em alterações de regulamentação ou alterações ao produto. As atualizações de avaliação podem ter origem na sua organização (como quando um modelo personalizado é modificado) e da Microsoft.

Se a Microsoft atualizar um modelo do Gestor de Conformidade que alargou, a sua avaliação irá herdar essas atualizações assim que as aceitar. A sua avaliação irá manter os atributos adicionais que aplicou à avaliação quando o prolongou.

As avaliações personalizadas que criar não recebem atualizações de modelos da Microsoft. As avaliações personalizadas podem receber atualizações de ações de melhoramento, mas as atualizações da Microsoft para controlar o mapeamento entre avaliações e ações de melhoramento não se aplicam a modelos personalizados.

Nota

As atualizações aos avaliações aplicam-se apenas ao nível do grupo. Se tiver duas avaliações criadas a partir do mesmo modelo que existem em dois grupos diferentes, cada avaliação terá uma notificação de atualização pendente e terá de aceitar a atualização para cada avaliação no respetivo grupo individualmente.

Onde verá as notificações de atualização do avaliação

A página de detalhes do avaliação também apresenta uma etiqueta de atualização pendente junto ao avaliação com uma atualização. Selecione essa avaliação para ir para a página de detalhes.

Uma mensagem junto à parte superior da página de detalhes do avaliação mostra que está disponível uma atualização para esse avaliação. Selecione o botão Rever atualização na faixa para rever as alterações específicas e aceitar ou diferir a atualização.

A página de detalhes do avaliação também pode listar ações de melhoramento que têm uma etiqueta de atualização pendente junto às mesmas. Essas atualizações aplicam-se a alterações específicas às ações de melhoramento em si e têm de ser aceites em separado. Visite Aceitar atualizações para ações de melhoramento para saber mais.

Rever atualização para aceitar ou diferir

Após selecionar Rever atualização na página de detalhes do avaliação, é exibido um painel de lista de listas no lado direito do ecrã. O painel de lista de listas de listas fornece os detalhes importantes abaixo sobre a atualização pendente:

  • O título do modelo
  • Origem da atualização (Microsoft, a sua organização ou um utilizador específico)
  • A data em que a atualização foi criada
  • Uma visão geral a explicar a atualização
  • Detalhes específicos sobre as alterações, incluindo o impacto no seu resultado de conformidade, a quantidade de progresso até à conclusão da avaliação e o número específico de alterações a ações e controlos de melhoramento.

Selecionar a ligação Modelo atualizado irá transferir um ficheiro Excel com dados de controlo para a versão do modelo com as atualizações pendentes. Selecionar a ligação modelo Atual transfere um ficheiro do modelo existente sem as alterações.

Para aceitar a atualização e fazer as alterações ao seu avaliação, selecione Aceitar atualização. As alterações aceites são permanentes.

Se selecionar Cancelar, a atualização não será aplicada ao avaliação. No entanto, continuará a ver a notificação de atualização pendente até aceitar a atualização.

Por que razão recomendamos a aceitação de atualizações

Aceitar atualizações ajuda a garantir que tem as orientações mais atualizadas sobre a utilização de soluções e a tomar as medidas de melhoramento adequadas para o ajudar a cumprir os requisitos da certificação em questão.

Por que razão poderá querer diferir uma atualização

Se estiver a concluir um relatório de avaliação, deve certificar-se de que terminou de trabalhar no mesmo antes de aceitar uma atualização à avaliação que poderia interromper o mapeamento do controlo. Pode diferir a atualização para uma hora posterior ao selecionar Cancelar no painel de lista de listas de listas de listagem de atualizações de revisão.

Exportar um relatório de avaliação

Pode exportar uma avaliação para um ficheiro Excel para intervenientes de conformidade na sua organização ou para auditores e regulamentadores externos. Na página de detalhes do seu avaliação, selecione o botão Gerar relatório junto à parte superior da página, que cria um Excel ficheiro que pode guardar e partilhar.

O relatório é um instantâneo da avaliação a partir da data e hora da exportação. Contém os detalhes dos controlos geridos por si e pela Microsoft, incluindo o estado de implementação, data do teste e resultados do teste.

Eliminar uma avaliação

Eliminar uma avaliação remove-o da lista na sua página de avaliações. Tenha em atenção estes pontos importantes sobre a eliminação de avaliações:

  • A eliminação de uma avaliação é permanente; não pode o obter de volta. Se quiser voltar a utilizar a mesma avaliação, terá de voltar a criá-la.
  • Se as ações de melhoramento na avaliação não aparecerem noutra avaliação, serão eliminadas quando a avaliação for eliminada.
  • Recomendamos que exporte um relatório da avaliação antes de o eliminar permanentemente.

Para eliminar uma avaliação, siga os passos abaixo:

  1. A partir da sua página de avaliação, selecione o avaliação que pretende eliminar para abrir a página de detalhes do mesmo.

  2. Selecione Eliminar avaliação no canto superior direito do seu ecrã.

  3. Será apresentada uma janela a pedir-lhe para confirmar que pretende eliminar permanentemente o avaliação. Selecione Eliminar avaliação para fechar a janela. Será aberta uma janela de confirmação a confirmar que a avaliação foi eliminada do Gestor de Conformidade.

Nota

Não pode eliminar todos os seus avaliações. As organizações precisam de, pelo menos, uma avaliação para que o Gestor de Conformidade funcione corretamente. Se a avaliação que pretende eliminar for a única, adicione outra avaliação antes de eliminar a outra avaliação.