Utilizar o Gestor de Conformidade para gerir ações de melhoramento

O Gestor de Conformidade da Microsoft Purview pode ajudá-lo a gerir melhoramentos relacionados com os regulamentos de privacidade de dados, tais como o Regulamento Geral Sobre a Proteção de Dados (RGPD) da União Europeia, o California Consumer Protection Act CCPA), o HIPAA-HITECH (lei sobre privacidade dos cuidados de saúde dos EUA) e a Brazil Data Protection Act (LGPD).

Este artigo fornece orientações sobre a utilização desta ferramenta para fins de privacidade de dados.

Nota

Recomendações do Gestor de Conformidade não devem ser interpretados como uma garantia de conformidade. É da sua gestão avaliar e validar a eficácia dos controlos dos clientes no seu ambiente de regulamentação. Estes serviços estão sujeitos aos termos e condições nos Termos dos Serviços Online. Consulte também o Microsoft 365 de licenciamento para segurança e conformidade

Começar a trabalhar com o Gestor de Conformidade

O que é o Gestor de Conformidade

O Gestor de Conformidade é uma ferramenta de avaliação de riscos baseada no fluxo de trabalho no portal de conformidade da Microsoft Purview para gerir atividades de conformidade de regulamentação relacionadas com serviços em nuvem da Microsoft. Como parte da sua subscrição do Microsoft 365 ou do Azure Active Directory (Azure AD), o Gestor de Conformidade ajuda-o a gerir a conformidade de regulamentação no modelo de responsabilidade partilhado para serviços em nuvem da Microsoft.

Pronto para utilizar os avaliações

O Gestor de Conformidade fornece modelos pré-criados para criar avaliações que estão alinhadas com regulamentações relacionadas com a privacidade de dados, como o RGPD e HIPAA/HITECH. Os modelos têm um mapeamento de controlos incorporado para ajudá-lo a tomar medidas de melhoramento para ir ao encontro dos requisitos do regulamento. Cada avaliação fornece informações sobre os controlos de cada chamada de regulamento relativa a chamadas de regulamento específicas para o serviço de destino, interrompido pelos controlos gerenciados e gere a Microsoft.

Utilizar um modelo pré-criado ajuda-o a começar rapidamente com as avaliações de risco. À medida que se torna mais proficiente na utilização do Gestor de Conformidade, pode personalizar um modelo pré-criado ao adicionar os seus próprios controlos e ações de melhoramento ou pode criar as suas próprias avaliações personalizadas de acordo com as necessidades da sua organização.

Veja a lista completa de modelos de avaliação fornecidos pelo Gestor de Conformidade.

Pontuação de conformidade em tempo real

O Gestor de Conformidade também lhe fornece uma pontuação de conformidade que mede o seu progresso na execução de ações de melhoramento recomendadas nos controlos. Pode utilizar esta pontuação para ajudar a monitorizar o seu progresso e a atribuir prioridades a ações com base no seu potencial para reduzir os riscos.

Utilizar o guia de guia de guia de orientação do Gestor de Conformidade

O guia de guia de orientação do Gestor de Conformidade fornece passos e ligações formados para recursos principais que o ajudam a trabalhar com o Gestor de Conformidade:

Como a sua classificação de conformidade é calculada

O seu resultado de conformidade é calculado com base numa combinação de implementações de controlo gerido pelo cliente e da Microsoft. Veja o cálculo das pontuações de conformidade para obter uma explicação detalhada.

Os controlos são atribuídos a um valor de pontuação, quer sejam obrigatórios ou discricionários e se são preventivos, negativos ou corretivos. Estas representam coletivamente o risco de não a implementar relativamente a outros controlos.

Tal como apresentado no artigo de cálculo das pontuações de conformidade, os controlos preventivos obtem uma classificação mais elevada do que os mais rigorosos e corretivos e os controlos obrigatórios obtem uma classificação superior à dos mais discricionários.

A IU do administrador de Pontuação de Conformidade não lista estes parâmetros nem fornece a capacidade de filtrar por eles. No entanto, se transferir o modelo associado a partir do Gestor de Conformidade, o conjunto de dados resultante lista estes parâmetros para a maioria dos regulamentos.

Para controlos técnicos, o Gestor de Conformidade atualiza automaticamente o resultado da ação de melhoria assim que a ação tiver sido implementada e testada com êxito. Outras ações— de controlo não técnicas, tal como as— que estão operacionais ou relacionadas com documentação, têm de ser registadas manualmente como implementadas antes de apontarem para a sua pontuação.

Existem vários utilizadores que também estão a implementar determinadas ações de melhoramento para outros fins, através da utilização de etiquetas—— de retenção para além da conformidade do regulamento de privacidade de dados, pelo que obteria crédito para utilizar essa funcionalidade mesmo que esta esteja a ser utilizada para outros fins e que não faça parte de uma ação de conformidade deliberada.

A sua pontuação de conformidade deve ser considerada uma medida relativa para acompanhar o melhoramento em termos de larga escala. Não deve seguir um resultado perfeito.

Orientação adicional

Eis algumas sugestões importantes para utilizar o Gestor de Conformidade para o ajudar a cumprir a conformidade de regulamentação sobre privacidade de dados:

  • Cada regulamento de privacidade de dados tem uma combinação de controlos técnicos, especificações de documentação e requisitos operacionais, de processos e de relatórios. Tudo isto é mostrado nas ações de melhoramento.

  • Para focar a vista das ações de melhoramento na sua área de interesse, pode filtrar por tipo de ação no separador Soluções no administrador do Gestor de Conformidade. Saiba mais sobre como filtrar a sua vista de dashboard do Gestor de Conformidade.

  • A importância relativa e prioridade das ações de melhoramento identificadas no Gestor de Conformidade deve ser considerada como parte de uma revisão de riscos mais abrangente, juntamente com os riscos de privacidade de dados que determinou que a sua organização precisa de gerir.

  • Mesmo com a agregação de ações de melhoramento em múltiplos requisitos regulamentares, se os modelos de avaliação de regulamentos para o RGPD, LGPD, CCPA e HIPAA-HITECH estiverem selecionados, por exemplo, serão selecionadas quase 400 ações de melhoramento no Gestor de Conformidade. Para resolver melhor esta longa lista, utilize o filtro de ação de melhoria para reduzir o conjunto de resultados para uma lista mais fácil de gerir.

  • O filtro Categorias fornece uma forma de filtrar ações de melhoramento através do agrupamento lógico, que os artigos Controlar, Impedir, Proteger, Manter e Investigar nesta solução geral se alinham.

  • Alguns dos controlos indicados nas ações de melhoramento podem ser considerados mais diretamente associados a um artigo de regulamentação específico, enquanto outros controlos podem estar associados de forma mais indireta ao espírito de um regulamento e muitas vezes são simplesmente atividades recomendadas ou práticas recomendadas.