Beräkning av efterlevnadsresultatCompliance score calculation

I den här artikeln: Lär dig hur Efterlevnadshanteraren beräknar en efterlevnadspoäng för din organisation.In this article: Learn how Compliance Manager calculates a compliance score for your organization. I den här artikeln förklaras hur du tolkar poängen , vad som ingår i utvärderingen av dataskyddsbaslinjen, kontinuerlig övervakning och hur olika typer av åtgärder hanteras och poäng görs. This article explains how to interpret your score, what the Data Protection Baseline assessment includes, continuous monitoring, and how different types of actions are managed and scored.

Viktigt

Rekommendationer från Compliance Manager ska inte tolkas som en garanti för överensstämmelse.Recommendations from Compliance Manager should not be interpreted as a guarantee of compliance. Det är upp till dig att utvärdera och verifiera hur effektiv kundkontrollerna är i olika regelverk.It is up to you to evaluate and validate the effectiveness of customer controls per your regulatory environment. Dessa tjänster omfattas av de allmänna villkoren i villkoren för onlinetjänster.These services are subject to the terms and conditions in the Online Services Terms. Se även Microsoft 365 om säkerhet och efterlevnad.See also Microsoft 365 licensing guidance for security and compliance.

Så här läser du efterlevnadsresultatetHow to read your compliance score

Instrumentpanelen för Efterlevnadshanteraren visar ditt övergripande efterlevnadsresultat.The Compliance Manager dashboard displays your overall compliance score. Det här poängresultatet mäter förloppet för att utföra rekommenderade förbättringsåtgärder i kontroller.This score measures your progress in completing recommended improvement actions within controls. Ditt poängresultat kan hjälpa dig att förstå din aktuella efterlevnad.Your score can help you understand your current compliance posture. Det kan också hjälpa dig att prioritera åtgärder utifrån deras möjlighet att minska risken.It can also help you prioritize actions based on their potential to reduce risk.

Ett poängvärde tilldelas på tre nivåer:A score value is assigned at three levels:

  1. Resultat för förbättringsåtgärd: Varje åtgärd har olika påverkan på ditt resultat beroende på den potentiella risk som ingårImprovement action score: each action has a different impact on your score depending on the potential risk involved

  2. Kontrollpoäng: det här resultatet är summan av poäng som du fått genom att utföra förbättringsåtgärder i kontrollen.Control score: this score is the sum of points earned by completing improvement actions within the control. Denna summa tillämpas i sin helhet på din övergripande efterlevnadspoäng när kontrollen uppfyller båda följande villkor:This sum is applied in its entirety to your overall compliance score when the control meets both of the following conditions:

    • Implementeringsstatus är lika med Implementerad eller Alternativ implementering ochImplementation Status equals Implemented or Alternative Implementation, and
    • Testresultat är lika med Godkänd.Test Result equals Passed.
  3. Utvärderingsresultat: det här är summan av dina kontrollresultat.Assessment score: this score is the sum of your control scores. Det beräknas med hjälp av resultat från olika åtgärder.It is calculated using action scores. Varje Microsoft-åtgärd och varje förbättringsåtgärd som hanteras av din organisation räknas en gång, oavsett hur ofta den refereras till i en kontroll.Each Microsoft action and each improvement action managed by your organization is counted once, regardless of how often it is referenced in a control.

Övergripande efterlevnadsresultat beräknas med hjälp av åtgärdsresultat, där varje Microsoft-åtgärd räknas en gång, varje teknisk åtgärd du hanterar räknas en gång och varje icke-teknisk åtgärd du hanterar räknas en gång per grupp.The overall compliance score is calculated using action scores, where each Microsoft action is counted once, each technical action you manage is counted once, and each non-technical action you manage is counted once per group. Den här logiken är utformad för att ge en så exakt redovisning som möjligt av hur åtgärder implementeras och testas i organisationen.This logic is designed to provide the most accurate accounting of how actions are implemented and tested in your organization. Du kanske märker att det kan leda till att ditt övergripande efterlevnadsresultat skiljer sig från genomsnittet av dina utvärderingsresultat.You may notice that this can cause your overall compliance score to differ from the average of your assessment scores. Läs mer nedan om hur åtgärder poängas.Read more below about how actions are scored.

Första poäng baserad Microsoft 365 dataskyddsbaslinjeInitial score based on Microsoft 365 data protection baseline

Efterlevnadshanteraren ger dig en inledande poäng baserat Microsoft 365 dataskyddsbaslinje.Compliance Manager gives you an initial score based on the Microsoft 365 data protection baseline. Den här baslinjen är en uppsättning kontroller som innehåller viktiga bestämmelser och standarder för dataskydd och allmän datastyrning.This baseline is a set of controls that includes key regulations and standards for data protection and general data governance. Den här baslinjen ritar främst element från NIST CSF (National Institute of Standards and Technology Cybersecurity Framework) och ISO (International Organization for Standardization), samt från FedRAMP (Federal Risk and Authorization Management Program) och GDPR (General Data Protection Regulation of the Eu).This baseline draws elements primarily from NIST CSF (National Institute of Standards and Technology Cybersecurity Framework) and ISO (International Organization for Standardization), as well as from FedRAMP (Federal Risk and Authorization Management Program) and GDPR (General Data Protection Regulation of the European Union).

Ditt första resultat beräknas enligt standardutvärderingen av dataskydd som tillhandahålls till alla organisationer.Your initial score is calculated according to the default Data Protection Baseline assessment provided to all organizations. Vid ditt första besök samlar Compliance Manager redan in signaler från dina Microsoft 365 lösningar.Upon your first visit, Compliance Manager is already collecting signals from your Microsoft 365 solutions. Du kan direkt se hur organisationen fungerar i förhållande till viktiga standarder och bestämmelser för dataskydd, och se förslag på förbättringsåtgärder att vidta.You’ll see at a glance how your organization is performing relative to key data protection standards and regulations, and see suggested improvement actions to take.

Eftersom alla organisationer har särskilda behov använder Efterlevnadshanteraren dig för att konfigurera och hantera utvärderingar för att minimera och minimera risker så omfattande som möjligt.Because every organization has specific needs, Compliance Manager relies on you to set up and manage assessments to help minimize and mitigate risk as comprehensively as possible.

Hur efterlevnadshanteraren kontinuerligt utvärderar kontrollerHow Compliance Manager continuously assesses controls

Efterlevnadshanteraren söker automatiskt igenom din Microsoft 365 och upptäcker systeminställningarna, kontinuerligt och automatiskt uppdaterar din tekniska åtgärdsstatus.Compliance Manager automatically scans through your Microsoft 365 environment and detects your system settings, continuously and automatically updating your technical action status. Microsoft Secure Score är den underliggande motor som utför övervakning.Microsoft Secure Score is the underlying engine that performs the monitoring.

Din åtgärdsstatus uppdateras på instrumentpanelen en gång per dygn.Your action status is updated on your dashboard every 24 hours. När du följer en rekommendation om att implementera en kontroll ser du vanligtvis kontrollstatusen uppdaterad nästa dag.Once you follow a recommendation to implement a control, you’ll typically see the control status updated the next day.

Om du till exempel aktiverar multifaktorautentisering (MFA) i Azure AD-portalen identifierar Efterlevnadshanteraren inställningen och återspeglar den i informationen om kontrollåtkomstlösningen.For example, if you turn on multi-factor authentication (MFA) in the Azure AD portal, Compliance Manager detects the setting and reflects it in the control access solution details. Om du däremot inte aktiverar MFA flaggas det som en rekommenderad åtgärd för dig att vidta.Conversely, if you didn’t turn on MFA, Compliance Manager flags that as a recommended action for you to take.

Läs mer om Secure Score och hur det fungerar.Learn more about Secure Score and how it works.

Åtgärdstyper och punkterAction types and points

Efterlevnadshanteraren spårar två typer av åtgärder:Compliance Manager tracks two types of actions:

  1. Dina förbättringsåtgärder: åtgärder som din organisation hanterar.Your improvement actions: actions that your organization manages.
  2. Microsoft-åtgärder: åtgärder som Microsoft hanterar.Microsoft actions: actions that Microsoft manages.

Båda typerna av åtgärder har poäng som räknas mot din totala poäng när den är slutförd.Both types of actions have points that count toward your overall score when completed.

Tekniska och icke-tekniska åtgärderTechnical and non-technical actions

Åtgärder grupperas efter vare sig de är tekniska eller icke-tekniska.Actions are grouped by whether they are technical or non-technical in nature. Vilken poäng som varje åtgärd får varierar beroende på typ.The scoring impact of each action differs by type.

  • Tekniska åtgärder implementeras genom att interagera med tekniken i en lösning (t.ex. genom att ändra en konfiguration).Technical actions are implemented by interacting with the technology of a solution (for example, changing a configuration). Poängen för tekniska åtgärder beviljas en gång per åtgärd, oavsett hur många grupper den tillhör.The points for technical actions are granted once per action, regardless of how many groups it belongs to.

  • Icke-tekniska åtgärder hanteras av din organisation och implementeras på andra sätt än att arbeta med tekniken i en lösning.Non-technical actions are managed by your organization and implemented in ways other than working with the technology of a solution. Det finns två typer av icke-tekniska åtgärder: dokumentation och drift.There are two types of non-technical actions: documentation and operational. Punkterna för de här åtgärderna tillämpas på efterlevnadsresultatet på en gruppnivå.The points for these actions are applied to your compliance score at a group level. Det innebär att om en åtgärd finns i flera grupper får du punktvärdet för åtgärden varje gång du implementerar den inom en grupp.This means that if an action exists in multiple groups, you will receive the action's point value each time you implement it within a group.

Exempel på poäng för tekniska och icke-tekniska åtgärder:Example of how technical and non-technical actions are scored:

Anta att du har en teknisk åtgärd värd 3 poäng som finns i 5 grupper och att du har en icke-teknisk åtgärd värd 3 poäng som finns i samma 5 grupper.Let's say you have a technical action worth 3 points that exists in 5 groups, and you have a non-technical action worth 3 points that exists in the same 5 groups.

Om du lyckas implementera den tekniska åtgärden är det totala antalet poäng som du får 3.If you successfully implement the technical action, the total number of points you receive is 3. Det beror på att du bara behöver implementera åtgärden en gång för klientorganisationen.This is because you only need to implement the action once for your tenant. Implementerings- och teststatus för den tekniska åtgärden visas på samma sätt i alla instanser av den åtgärden, i varje grupp den tillhör.The implementation and test status for the technical action will show the same in all instances of that action, in every group it belongs to.

Om du lyckas implementera den icke-tekniska åtgärden i var och en av de fem grupperna är det totala antalet poäng som du får 15.If you successfully implement the non-technical action in each of the 5 groups, the total number of points you receive is 15. Det beror på att du måste implementera åtgärden i varje grupp.This is because you need to implement the action in each group. Implementerings- och teststatus för den icke-tekniska åtgärden skiljer sig åt mellan grupper eftersom åtgärden implementeras separat inom varje grupp.The implementation and test status for the non-technical action will differ across groups because the action is implemented separately within each of its groups.

Den här poänglogiken är utformad för att ge en så exakt redovisning som möjligt av hur åtgärder implementeras och testas i organisationen.This scoring logic is designed to provide the most accurate accounting of how actions are implemented and tested in your organization.

Hur poängvärden bestämsHow score values are determined

Åtgärder tilldelas ett poängvärde baserat på om de är obligatoriska eller godtyckliga, och om de är preventativa, godtyckliga eller korrigerande.Actions are assigned a score value based on whether they’re mandatory or discretionary, and whether they’re preventative, detective, or corrective.

Obligatoriska och godtyckliga åtgärderMandatory and discretionary actions

  • Obligatoriska åtgärder kan inte åsidosättas, antingen avsiktligt eller av misstag.Mandatory actions can't be bypassed, either intentionally or accidentally. Ett exempel på en obligatorisk åtgärd är en centralt hanterad lösenordsprincip som ställer in krav på lösenordslängd, komplexitet och förfallodatum.An example of a mandatory action is a centrally managed password policy that sets requirements for password length, complexity, and expiration. Användarna måste följa de här kraven för att få åtkomst till systemet.Users must follow these requirements to access the system.

  • Godtyckliga åtgärder förlitar sig på att användarna förstår och följer en princip.Discretionary actions rely upon users to understand and adhere to a policy. En princip som till exempel kräver att användarna låser sin dator när de lämnar den är en godtycklig åtgärd eftersom den förlitar sig på användaren.For example, a policy requiring users to lock their computer when they leave it is a discretionary action because it relies on the user.

Preventativa, vidtas och korrigerande åtgärderPreventative, detective, and corrective actions

  • Preventativa åtgärder åtgärdar specifika risker.Preventative actions address specific risks. Till exempel är skydd av information i vila med hjälp av kryptering en preventativ åtgärd mot attacker och överträdelser.For example, protecting information at rest using encryption is a preventative action against attacks and breaches. Att separera uppgifter är en förebyggande åtgärd för att hantera intressekonflikter och bevaka bedrägerier.Separation of duties is a preventative action to manage conflict of interest and guard against fraud.

  • Åtgärder av intrång övervakar aktivt system för att identifiera felaktiga villkor eller beteenden som representerar risker eller som kan användas för att upptäcka intrång eller intrång.Detective actions actively monitor systems to identify irregular conditions or behaviors that represent risk, or that can be used to detect intrusions or breaches. Det finns till exempel systemåtkomstgranskning och administrativa åtgärder som är behöriga.Examples include system access auditing and privileged administrative actions. Granskningar av regelefterlevnad är en typ av åtgärd som används för att hitta processproblem.Regulatory compliance audits are a type of detective action used to find process issues.

  • Korrigerande åtgärder försöker minimera de negativa effekterna av en säkerhetshändelse, vidta korrigerande åtgärder för att minska den omedelbart effekt och återställa skadan om möjligt.Corrective actions try to keep the adverse effects of a security incident to a minimum, take corrective action to reduce the immediate effect, and reverse the damage if possible. Svar på sekretesstillbud är en korrigerande åtgärd för att begränsa skador och återställa system till drifttillstånd efter ett brott.Privacy incident response is a corrective action to limit damage and restore systems to an operational state after a breach.

Varje åtgärd har ett tilldelat värde i Efterlevnadshanteraren baserat på den risk den representerar:Each action has an assigned value in Compliance Manager based on the risk it represents:

TypType Tilldelat poängAssigned score
Preventativ obligatorisktPreventative mandatory 2727
Preventative discretionaryPreventative discretionary 99
Obligatorisk obligatorisktDetective mandatory 33
Godtyckligt omdömeDetective discretionary 11
Korrigerande obligatorisktCorrective mandatory 33
Godtyckliga korrigerandeCorrective discretionary 11

Värden i åtgärdspunkten i EfterlevnadshanterarenCompliance Manager action point values