Grundläggande efterlevnad och säkerhetsaspekter för energiindustrinKey Compliance and Security Considerations for the Energy Industry

Illustrerad metafor för en global vy över olika branscher som använder molnet

IntroduktionIntroduction

Energiindustrin tillhandahåller samhället med bränsle och kritisk infrastruktur som människor förlitar sig på varje dag.The energy industry provides society with fuel and critical infrastructure that people rely on every day. För att säkerställa tillförlitligheten i infrastruktur för omfångsrika energisystem lägger regleringsGovernmentna in strikta normer i organisationer för energiindustrin.In order to ensure the reliability of infrastructure related to bulk power systems, regulatory authorities impose strict standards on energy industry organizations. Dessa föreskrifter gäller inte bara för skapande och överföring av energi, utan även för de data och meddelanden som är viktiga för den dagliga verksamheten i energiföretag.These regulatory standards relate not only to the generation and transmission of power, but also to the data and communications that are critical to the day to day operations of energy companies.

Organisationer i energiindustrin arbetar med och utbyter flera olika typer av information som en del av den vanliga verksamheten, t. ex. kunddata, informationsteknisk konstruktion, resursplatskartor, projekthanteringsartefakter, prestandastatistik, fälttjänstrapporter, miljödata och prestandastatistik.Organizations in the energy industry work with and exchange numerous types of information as part of their regular operations, including customer data, capital engineering design documentation, resource location maps, project management artifacts, performance metrics, field service reports, environmental data, and performance metrics. Allt eftersom de här organisationerna börjar titta på att omvandla sina drifts- och samarbetssystem till moderna digitala plattformar kommer de till Microsoft som en betrodd molntjänstleverantör (CSP) och Microsoft 365 som deras bästa samarbetsplattform.As these organizations look to transform their operations and collaboration systems into modern digital platforms, they are looking to Microsoft as a trusted Cloud Service Provider (CSP) and Microsoft 365 as their best-of-breed collaboration platform. Eftersom Microsoft 365 är egentligen är byggt på Microsoft Azure-plattformen bör organisationer undersöka båda plattformarna när de överväger om de uppfyller deras efterlevnads- och säkerhetskontroller när de flyttar till molnet.Since Microsoft 365 is intrinsically built on the Microsoft Azure platform, organizations should examine both platforms as they consider their compliance and security controls when moving to the Cloud.

I Nordamerika upprätthåller NERC (North America Electric Reliability Corporation) standarder om tillförlitlighet som kallas för NERC Critical Infrastructure Protection (CIP)-standarder.In North America, the North America Electric Reliability Corporation (NERC) enforces reliability standards that are referred to as NERC Critical Infrastructure Protection (CIP) standards. NERC är underkastad granskning av U.S. Federal Energy Regulatory Commission (FERC) och Government i Kanada.NERC is subject to oversight by the U.S. Federal Energy Regulatory Commission (FERC) and governmental authorities in Canada. Alla huvudägare, operatörer och användare av omfångsrika elsystem måste registrera sig hos NERC och måste uppfylla kraven för NERC CIP-standarder.All bulk power system owners, operators, and users must register with NERC and must comply with NERC CIP standards. Molntjänstleverantörer och leverantörer från tredje part, som Microsoft omfattas inte av NERC CIP-standard dock innehåller CIP-standarderna exempelvis mål som ska övervägas när registrerade enheter använder leverantörer vid driften av det omfångsrika elsystem (BES).Cloud Service Providers and third-party vendors such as Microsoft are not subject to NERC CIP standards; however, the CIP standards include objectives that should be considered when Registered Entities use vendors in the operation of the Bulk Electric System (BES). Microsoft-kunder som använder omfångsrika elsystem har fullt ansvar för att säkerställa att de uppfyller NERC CIP-standard.Microsoft customers operating Bulk Electric Systems are wholly responsible for ensuring their own compliance with NERC CIP standards.

Mer information om Microsofts molntjänster och NERC finns i följande resurser:For information about Microsoft cloud services and NERC, see the following resources:

Regelverk som rekommenderas för att övervägas av energiorganisationer är bland annat FedRAMP (US Federal Risk and Authorization Management program), som bygger på och förstärker NIST SP 800-53 rev 4 standard (National Institute of Standards and Technology).Regulatory standards that are recommended for consideration by energy organizations include FedRAMP (US Federal Risk and Authorization Management Program) which is based on and augments the NIST SP 800-53 Rev 4 standard (National Institute of Standards and Technology).

  • Microsoft Office 365 och Office 365 U.S. Government har beviljats en FedRAMP ATO (Driftgodkännande) på nivån måttlig effekt.Microsoft Office 365 and Office 365 U.S. Government have each been granted a FedRAMP ATO (Authorization to Operate) at the Moderate Impact Level.
  • Azure och Azure Government har beviljats en FedRAMP High P-ATO (provisoriskt driftgodkännande), som representerar den högsta nivån av FedRAMP-auktorisering.Azure and Azure Government have each been granted a FedRAMP High P-ATO (Provisional Authorization to Operate), which represents the highest level of FedRAMP authorization.

Mer information om Microsofts molntjänster och FedRAMP finns i följande resurser:For information about Microsoft cloud services and FedRAMP, see the following resources:

Dessa utmärkelser är betydande för energiindustrin eftersom en jämförelse mellan FedRAMP måttlig kontrollinställning och NERC CIP-kraven visar att FedRAMP måttliga kontroller omfattar alla NERC CIP-kraven.These achievements are significant for the energy industry because a comparison between the FedRAMP Moderate control set and NERC CIP requirements shows that FedRAMP Moderate controls encompass all the NERC CIP requirements. Om du vill ha mer information har Microsoft utvecklat en Guide för implementering av moln för NERC-granskningar som innehåller en kontrollmappning mellan aktuell uppsättning av NERC CIP-standarder och FedRAMP måttlig kontroll som har dokumenterats i NIST 800-53 rev 4.For additional information, Microsoft has developed a Cloud Implementation Guide for NERC Audits that includes a control mapping between the current set of NERC CIP standards and FedRAMP Moderate control set as documented in NIST 800-53 Rev 4.

I takt med att energiindustrin ser sig omkring för att modernisera sina samarbetsplattformar krävs noggrant övervägande för konfiguration och distribution av samarbetsverktyg och säkerhetskontroller, inklusive:As the energy industry looks to modernize their collaboration platforms, careful consideration is required for the configuration and deployment of collaboration tools and security controls, including:

  • Utvärdering av vanliga samarbetsscenarierAssessment of common collaboration scenarios
  • Tillgång till data som krävs för att anställda ska vara produktivaAccess to data required by employees to be productive
  • Vanliga frågor och svar om regelefterlevnadRegulatory compliance requirements
  • Kopplade risker till data, kunder och organisationenAssociated risks to data, customers and the organization

Microsoft 365 är en modern arbetsplats i molnmiljö som kan ge ett säkert och smidigt samarbete i hela företaget, liksom kontroller och upprätthållande av policy för att följa de mest långtgående ramarna för efterlevnad.Microsoft 365 is a modern workplace cloud environment that can provide secure and flexible collaboration across the enterprise, as well as controls and policy enforcement to adhere to the most stringent regulatory compliance frameworks. Genom det följande ämnet får du lära dig hur Microsoft 365-plattformen underlättar för energiindustrin att gå till en modern samarbetsplattform, medan vi håller data och systemen både säkra och kompatibla med föreskrifter:Through the following topics, this paper will explore how the Microsoft 365 platform helps the energy industry move to a modern collaboration platform, while helping keep data and systems both secure and compliant with regulations:

  • Tillhandahålla en omfattande samarbetsplattform med Microsoft TeamsProvide a Comprehensive Collaboration Platform with Microsoft Teams
  • Tillhandahålla säker och kompatibel samverkan i energiindustrinProvide Secure and Compliant Collaboration in the Energy Industry
  • Identifiera känsliga data och förhindra dataförlusterIdentify Sensitive Data and Prevent Data Loss
  • Styra data genom att effektivt hantera posterGovern Data by Effectively Managing Records
  • Följa föreskrifter för FERC och FTC för energimarknaderComply with FERC and FTC Regulations for Energy Markets
  • Skydd mot dataexfiltration och insiderriskProtect Against Data Exfiltration and Insider Risk

Som Microsoft-partner bidrog Protiviti till och gav viktig feedback till den här artikeln.As a Microsoft partner, Protiviti contributed to and provided material feedback to this article.

Tillhandahålla en omfattande samarbetsplattform med Microsoft TeamsProvide a Comprehensive Collaboration Platform with Microsoft Teams

Samarbete kräver vanligtvis olika former av kommunikation, möjligheten att lagra och komma åt dokument och data och möjlighet att integrera andra program efter behov.Collaboration typically requires multiple forms of communication, the ability to store and access documents, and the ability to integrate other applications as needed. Oavsett om det är globala företag eller lokala företag måste anställda i energisektorn vanligtvis samarbeta och kommunicera med medlemmar i andra avdelningar eller grupper.Whether they are global enterprises or local companies, employees in the energy sector typically need to collaborate and communicate with members of other departments or across teams. De måste också ofta kommunicera med externa partner, leverantörer eller klienter.They also often need to communicate with external partners, vendors, or clients. Därför rekommenderar vi vanligtvis inte att du använder system som skapar silor eller gör det svårt att dela information.As a result, utilizing systems that create silos or make it difficult to share information is typically not recommended. Med det sagt, vill vi fortfarande säkerställa att anställda delar information säkert och enligt principer.That said, we still want to ensure that employees are sharing information securely and according to policy.

Med en modern, molnbaserad samarbetsplattform som gör det möjligt för dem att välja och enkelt integrera verktyg som gör dem till den mest produktiva, så att de kan hitta de bästa sätten att arbeta och samarbeta.Providing employees with a modern, cloud-based collaboration platform, which allows them to choose and easily integrate the tools that make them most productive, empowers them to find the best ways to work and collaborate. Med Microsoft Teams, tillsammans med säkerhetskontroller och principer för styrning för att skydda organisationen, kan personalen hjälpa personalen att enkelt samarbeta i molnet.Using Microsoft Teams, in conjunction with security controls and governance policies to protect the organization, can help your workforce to easily collaborate in the cloud.

Microsoft Teams tillhandahåller ett samarbetsnav för din organisation, som snabbt får personer att samarbeta för att arbeta effektivt och samarbeta med andra gruppmedlemmar i vanliga initiativ eller projekt.Microsoft Teams provides a collaboration hub for your organization, which quickly brings people together to work effectively and collaborate with other team members on common initiatives or projects. Det gör att gruppmedlemmarna kan sköta konversationer, samarbeta och samredigera dokument.It allows team members to conduct conversations, collaborate, and co-author documents. Det gör det möjligt för användare att lagra och dela filer med gruppmedlemmar och personer utanför gruppen.It enables people to store and share files with team members or those outside the team. Med den kan du också hålla Live-möten med integrerad företagsröst och video.It also allows them to hold live meetings with integrated enterprise voice and video. Microsoft Teams kan anpassas med enkel åtkomst till Microsoft-program, t. ex. Planner, Dynamics 365, Power BI och andra företagsprogram från tredje part.Microsoft Teams can be customized with easy access to Microsoft apps such as Planner, Dynamics 365, Power BI, and other third-party line-of-business applications. Teams gör det enklare att få tillgång till Office 365-tjänster och program från tredje part för att centralisera organisationens samarbets- och kommunikationsbehov.Teams simplifies access to Office 365 services and third-party apps to centralize collaboration and communication needs for the organization.

Alla Microsoft-grupper stöds av en Office 365-grupp.Every Microsoft Team is backed by an Office 365 Group. En Office 365-grupp anses vara leverantören av medlemskap för flera Office 365-tjänster, till exempel Microsoft Teams.An Office 365 Group is considered the membership provider for numerous Office 365 services, including Microsoft Teams. Som sådana används Office 365 Grupper för att säkerställa vilka användare som anses vara medlemmar och som är ägare till gruppen och som begränsar teamets medlemmar och ägare.As such, Office 365 Groups are used to securely control which users are considered members and which are owners of the group, thereby restricting the members and owners of the Team. På så sätt kan vi enkelt styra vilka användare som har tillgång till olika funktioner i teamet.This allows us to easily control which users have access to varying capabilities within Teams. Därför kan gruppmedlemmar och ägare bara komma åt de funktioner de får använda.As a result, Team members and owners may only access the capabilities that they are permitted to utilize.

Ett vanligt scenario där Microsoft Teams kan ge energiorganisationer fördelar är i samarbete med entreprenörer och externa företag som en del av ett fälttjänstprogram, till exempel vegetationsskötsel.A common scenario where Microsoft Teams can benefit energy organizations is collaborating with contractors or external firms as part of a field service programs such as vegetation management. Entreprenörer används vanligtvis för att hantera vegetation och ta bort träd runt energisysteminstallationer, och de måste ofta ta emot arbetsinstruktioner, kommunicera med avsändare och annan fälttjänstpersonal, ta och dela bilder av extern miljö, logga ut när arbetet är slutfört och dela data med huvudkontoret.Contractors are typically engaged to manage vegetation or remove trees around power system installations, and they often need to receive work instructions, communicate with dispatchers and other field service personnel, take and share pictures of external surroundings, sign off when work is complete and share data back with head office. Tidigare har programmen körts med telefoner, text, arbetsorder på papper eller anpassade program.Traditionally, these programs have been run using phone, text, paper work orders, or custom applications. Det här kan presentera flera olika utmaningar, t. ex.:This can present numerous challenges including:

  • Processer är manuella eller analoga vilket innebär att det är svårt att spåra måttProcesses are manual or analogue, making metrics difficult to track
  • All kommunikation registreras inte på ett ställeCommunications are not all captured in one place
  • Data lagras i en silo som inte alltid delas med alla anställda som behöver detData is siloed and not necessarily shared with all employees that need it
  • Arbetet kanske inte genomförs konsekvent eller effektivtWork may not be performed consistently or efficiently
  • Anpassade program är inte integrerade med samarbetsverktyg, vilket innebär att det är svårt att extrahera och dela data och mäta prestandaCustom applications are not integrated with collaboration tools, making it difficult to extract and share data or measure performance

Microsoft Teams kan tillhandahålla ett lättanvänt samarbetsutrymme för att dela information på ett säkert sätt och sköta konversationer mellan gruppmedlemmar och externa fälttjänstleverantörer.Microsoft Teams can provide an easy-to-use collaboration space to securely share information and conduct conversations between team members and external field service contractors. Teams kan användas för att hålla möten, ringa röstsamtal, lagra och dela arbetsorder, samla in fältdata, ladda upp foton, integrera med affärsprocesslösningar (byggt med Power Apps och Power Automate) och integrera affärsprogram.Teams can be used to conduct meetings, place voice calls, centrally store and share work orders, collect field data, upload photos, integrate with business process solutions (built with Power Apps and Power Automate), and integrate line of business apps. Den här typen av fälttjänstdata kan anses som små konsekvenser. effektiviteten kan emellertid uppnås genom att centralisera kommunikation och få tillgång till data mellan anställda och fälttjänstpersonal i de här scenarierna.This type of field service data may be considered low impact; however, efficiencies can be gained by centralizing communications and access data between employees and field service personnel in these scenarios.

Ett annat exempel där Microsoft Teams kan skapa en fördel för energiindustrin är när fälttjänstpersonalen arbetar för att återställa tjänsten under ett avbrott.Another example where Microsoft Teams can benefit the energy industry is when field service personnel are working to restore service during an outage. Fältpersonalen kräver ofta snabb åtkomst till Schematisk information för understationer, generatorstationer eller ritningar för tillgångar i fältet.Field staff often require fast access to schematic data for substations, generating stations, or blue prints for assets in the field. Dessa data anses ha hög påverkan och måste skyddas enligt NERC CIP-föreskrifter.This data is considered high impact and must be protected according to NERC CIP regulations. För att kunna använda fälttjänsten under avbrott krävs kommunikation mellan fältpersonal och kontorsanställda och i sin tur till slutkunder.Field service work during outages requires communication between field staff and office employees, and in turn with end customers. Genom att centralisera kommunikation och datadelning i Microsoft Teams får du en enkel metod för att få åtkomst till kritiska data och förmedla information och status tillbaka till huvudkontoret.Centralizing communications and data sharing in Microsoft Teams provides field staff with an easy method to both access critical data and communicate information or status back to head office. Microsoft Teams kan till exempel användas för att få fältpersonalen att delta i konferenssamtal när de är på väg till ett avbrott.For example, Microsoft Teams enables field staff to join conference calls while on route to an outage. Fältpersonalen kan också ta foton eller video av miljön och dela dem med huvudkontoret, vilket är särskilt viktigt när fältutrustningen inte matchar schemat.Field staff can also take photos or video of their environment and share those with head office, which is particularly important when field equipment does not match schematics. Data och status som samlas in från fältet kan sedan bli omkopplade till kontorsanställda och ledarskap via datavisualiseringsverktyg som Power BI.Data and status collected from the field can then be surfaced to office employees and leadership through data visualization tools such as Power BI. Microsoft Teams kan göra fältpersonalen mer effektiv och mer produktiv i de här kritiska situationerna.Ultimately, Microsoft Teams can make field staff more efficient and productive in these critical situations.

Teams: förbättra samarbetet och minska riskerna för efterlevnadTeams: Improve collaboration and reduce compliance risk

Microsoft 365 tillhandahåller andra vanliga policyfunktioner för Microsoft Teams genom dess användning av Office 365 Grupper som en underliggande medlemskapstjänst.Microsoft 365 provides common policy capabilities for Microsoft Teams through its use of Office 365 Groups as an underlying membership provider. Dessa policyer kan hjälpa dig att förbättra samarbetet och uppfylla behovet av överensstämmelse.These policies can help improve collaboration and help meet compliance needs.

Med Principerna för att namnge grupper i Office 365 kan du se till att Office 365 Grupper, och följaktligen Microsoft Teams, namnges enligt företagets policy.Office 365 Group Naming Policies help to ensure that Office 365 Groups, and therefore Microsoft Teams, are named according to corporate policy. Namnet på ett team kan ge utmaningar om det inte namnges på rätt sätt, t. ex. kanske inte personer vet vilka grupper som ska arbeta eller dela information i om de namnges felaktigt.The name of a Team can present challenges if not named appropriately – for example, employees may not know which teams to work or share information within if they are incorrectly named. Namngivningsprinciper för grupper kan upprätthålla god hygien och kan även förhindra att vissa ord används, t. ex. reserverade ord eller olämpliga termer.Group naming policies can enforce good hygiene and may also prevent use of specific words, such as reserved words or inappropriate terminology.

Utgångsprinciper för Office 365 Grupper hjälper till med att se till att Office 365 Grupper och följaktligen Microsoft Teams inte finns kvar under längre tid än vad organisationen vill eller behöver.Office 365 Group Expiration Policies help to ensure that Office 365 Groups, and therefore Microsoft Teams, are not retained for longer periods of time than required by the organization. Denna förmåga hjälper till att förhindra två viktiga problem med informationshantering:This capability helps to prevent two key information management issues:

  • Spridningen av Microsoft Teams som inte behövs eller användsThe proliferation of Microsoft Teams that are not necessary or used
  • Bevarandet av data som inte längre krävs av organisationenThe over-retention of data that is no longer required by the organization

Administratörer kan ange en förfalloperiod för Office 365 Grupper, t. ex. 90, 180 eller 365 dagar.Administrators may specify an expiration period in days for Office 365 Groups, such as 90, 180 or 365 days. Om en tjänst som stöds av en Office 365-grupp är inaktiv under utgångsperioden, meddelas gruppägare och om inga åtgärder vidtas kommer Office 365-gruppen och alla de relaterade tjänsterna inklusive Microsoft Teams att tas bort.If a service which is backed by an Office 365 group is inactive for the expiration period, group owners are notified and if no action is taken then the Office 365 Group and all its related services including Microsoft Teams will be deleted.

Övergång från data i ett Microsoft-team kan innebära tvistrisker för organisationer och användningen av förfalloprinciper är en rekommenderad metod för att skydda organisationen.The over-retention of data in a Microsoft Team can pose litigation risks to organizations, and the use of expiration policies is a recommended method for protecting the organization. I kombination med fördefinierade inbyggda lagringsetiketter och policyer ser Microsoft 365 till att organisationer bara bevarar de data som krävs för att uppfylla företagets principer och regelefterlevnad.Combined with built-in retention labels and policies, Microsoft 365 helps ensure that organizations are only retaining the data required to meet regulatory compliance obligations.

Teams: integrera enkelt anpassade kravTeams: Integrate custom requirements with ease

Microsoft Teams gör det enkelt att själv skapa grupper som standard.Microsoft Teams enables self-service creation of Teams by default. Många reglerade organisationer vill ha kontroll och förståelse för vilka samarbetsutrymmen som används för närvarande av anställda, vilka som kommer att innehålla känsliga data och vem som äger utrymme i hela organisationen.However, many regulated organizations wish to control and understand which collaboration spaces are currently in use by employees, which spaces contain sensitive data, and who the owners are of spaces throughout their organization. För att underlätta de här kontrollerna tillåter Microsoft 365 organisationer att inaktivera skapande av självbetjäningsgrupper och genom att använda de inbyggda automatiseringsverktygen för Microsoft 365 Business process, t. ex. Power Apps och Power Automation, kan organisationer bygga enkla processer för att begära en ny grupp.To facilitate these controls, Microsoft 365 allows organizations to disable self-service Teams creation and, using built-in Microsoft 365 business process automation tools such as Power Apps and Power Automate, allows organizations to build simple processes to request a new Team. Om du fyller i ett formulär som är enkelt att använda kan ett godkännande automatiskt begäras av en chef.Completing an easy to use form, an approval can be automatically requested by a manager. När du har godkänt teamet kan det upprättas automatiskt och den som skickar begäran får en länk till deras nya team.Once approved, the Team can be automatically provisioned and the requestor is sent a link to their new Team. Genom att bygga sådana processer kan organisationer också integrera anpassade krav för att underlätta andra affärsprocesser.By building such processes, organizations may also integrate custom requirements to facilitate other business processes.

Tillhandahålla säker och kompatibel samverkan i energiindustrinProvide Secure and Compliant Collaboration in the Energy Industry

I enlighet med detta har Microsoft Office 365 och Office 365 U.S. Government var och en för sig uppnått FedRAMP ATO på måttlig effektnivå och Azure och Azure Government har uppnått en FedRAMP med höga P-ATO som representerar den högsta nivån av FedRAMP-behörighet.As mentioned, Microsoft Office 365 and Office 365 U.S. Government have each achieved FedRAMP ATO at the Moderate Impact Level, and Azure and Azure Government have achieved a FedRAMP High P-ATO which represents the highest level of FedRAMP authorization. Dessutom omfattar FedRAMP för måttlig kontroll alla kraven för NERC CIP, vilket gör det möjligt att tillåta organisationer för energiindustri (registrerade enheter) att utnyttja befintliga FedRAMP-auktoriseringar som ett skalbart och effektivt sätt att lösa NERC granskningskrav.Additionally, the FedRAMP moderate control set encompasses all of the NERC CIP requirements, thereby allowing energy industry organizations ("registered entities") to leverage existing FedRAMP authorizations as a scalable and efficient approach to addressing NERC audit requirements. Men det är viktigt att tänka på att FedRAMP inte är en punkt-i-tid-certifiering men ett bedömnings- och autentiseringsprogram som innehåller bestämmelser för löpande övervakning.However, its important to note that FedRAMP is not a point-in-time certification but an assessment and authorization program that includes provisions for continuous monitoring. Även om den här etableringen främst gäller för CSP är Microsoft-kunder som använder omfångsrika elsystem ansvariga för att säkerställa sin egen efterlevnad av NERC CIP-standard. Det är vanligtvis en rekommenderad metod för att kontinuerligt övervaka organisationens regelefterlevnad för att säkerställa löpande efterlevnad av bestämmelserna.Although this provision applies primarily to the CSP, Microsoft customers operating Bulk Electric Systems are responsible for ensuring their own compliance with NERC CIP standards and it is generally a recommended practice to continuously monitor the organization's compliance posture to help ensure ongoing compliance with regulations.

Microsoft tillhandahåller ett viktigt verktyg för att övervaka efterlevnad av regler över tid:Microsoft provides a key tool to assist with monitoring compliance with regulations over time:

  • Microsoft Compliance Manager hjälper organisationen att förstå sin nuvarande efterlevnadshållning och de åtgärder som den kan vidta för att förbättra den hållningen.Microsoft Compliance Manager helps the organization understand its current compliance posture and the actions which it can take to help improve that posture. Compliance Manager beräknar en riskbaserad poäng som mäter framsteg i genomförandet av åtgärder som hjälper till att minska riskerna kring dataskydd och regleringsstandarder.Compliance Manager calculates a risk-based score measuring progress in completing actions that help reduce risks around data protection and regulatory standards. Compliance Manager ger en första poäng baserat på databaslinjen för Microsoft 365-dataskydd.Compliance Manager provides an initial score based on the Microsoft 365 data protection baseline. Denna baslinje är en uppsättning kontroller som inkluderar vanliga branschföreskrifter och standarder.This baseline is a set of controls that includes common industry regulations and standards. Även om denna poäng är en bra utgångspunkt blir Compliance Manager kraftfullare när en organisation lägger till bedömningar som är mer relevanta för sin bransch.While this score is a good starting point, Compliance Manager becomes more powerful once an organization adds assessments that are more relevant to their industry. Compliance Manager stöder ett antal regleringsstandarder som är relevanta för NERC CIP-krav, inklusive FedRAMP Moderate Control Set, NIST 800-53 Rev. 4 och AICPA SOC 2.Compliance Manager supports a number of regulatory standards that are relevant for NERC CIP compliance obligations, including the FedRAMP Moderate Control Set, NIST 800-53 Rev. 4, and AICPA SOC 2. Organisationer för energiindustri kan också skapa eller importera anpassade kontrolluppsättningar om det behövs.Energy industry organizations may also create or import custom control sets if needed.

De arbetsflödesbaserade funktionerna inbyggda i Compliance Manager gör det möjligt för energiorganisationer att transformera och digitalisera sina processer för efterlevnad av regler.The workflow-based capabilities built into Compliance Manager allow energy organizations to transform and digitize their regulatory compliance processes. Traditionellt sett innefattar utmaningar som följer med team som följer av teamet i energi industrin:Traditionally, challenges faced by compliance teams in the energy industry include:

  • Inkonsekvent rapportering eller spårning av framsteg vid åtgärder för reparationerInconsistent reporting or tracking of progress on remediation actions
  • Ineffektiva eller inaktiva processerInefficient or ineffective processes
  • Otillräckliga resurser eller avsaknad av ägarskapInsufficient resources or lack of ownership
  • Brist på information i realtid och mänskliga felLack of real-time information and human error

Genom att automatisera aspekter av regelefterlevnadsprocesser genom användning av Compliance Manager kan organisationer minska den administrativa bördan för juridiska funktioner och efterlevnadsfunktioner.By automating aspects of regulatory compliance processes through the use of Compliance Manager, organizations can reduce the administrative burden on legal and compliance functions. Med den här funktionen kan du åtgärda dessa utmaningar genom att erbjuda mer information om åtgärder, mer konsekventa rapporter och mer konsekventa uppgifter som är kopplade till åtgärder som genomförs.This tooling can help address these challenges by providing more up to date information on remediation actions, more consistent reporting, and documented ownership of actions which is linked to the implementation of actions. Organisationer kan automatiskt spåra reparationsåtgärder med tiden och se de totala effektivitetsvinsterna.Organizations can automatically track remediation actions over time and see overall efficiency gains. Det kan i sin tur göra det möjligt för personalen att inrikta sig mer på att få insikter och utveckla strategier som bidrar till att hjälpa till att navigera risker mer effektivt.This can in turn enable staff to focus more effort on gaining insights and developing strategies to help navigate risk more effectively.

Compliance Manager uttrycker inte ett absolut mått på organisatorisk efterlevnad av någon särskild standard eller reglering.Compliance Manager does not express an absolute measure of organizational compliance with any particular standard or regulation. Det uttrycker i vilken omfattning du har antagit kontroller som kan minska riskerna för personlig data och individens integritet.It expresses the extent to which you have adopted controls which can reduce the risks to personal data and individual privacy. Rekommendationer från Compliance Manager ska inte tolkas som en garanti för överensstämmelse.Recommendations from Compliance Manager should not be interpreted as a guarantee of compliance. Kundåtgärderna som tillhandahålls i Compliance Manager är rekommendationer. Det är upp till var och en organisation att bedöma effektiviteten av dessa rekommendationer i respektive regelverk före implementeringen.The customer actions provided in Compliance Manager are recommendations; it is up to each organization to evaluate the effectiveness of these recommendations in their respective regulatory environment prior to implementation. Rekommendationer som finns i Compliance Manager ska inte tolkas som en garanti för efterlevnad.Recommendations found in Compliance Manager should not be interpreted as a guarantee of compliance.

Många kontroller relaterade till cybersäkerhet ingår i FedRAMP för måttlig kontroll och NERC CIP-standard.Many cyber security related controls are included in the FedRAMP Moderate Control Set and NERC CIP standards. Viktiga kontroller som är relaterade till Microsoft 365-plattformen innefattar säkerhetshanteringskontroller (CIP-003-6), konto- och åtkomsthantering/återkallelse av åtkomst (CIP-004-6), elektronisk säkerhetsgräns (CIP-005-5), övervakning av säkerhetshändelser och svar på tillbud (CIP-008-5).However, key controls related to the Microsoft 365 platform include security management controls (CIP-003-6), account and access management/access revocation (CIP-004-6), electronic security perimeter (CIP-005-5), security event monitoring, and incident response (CIP-008-5). Följande grundläggande Microsoft 365-funktioner hjälper dig att lösa de risker och krav som anges i följande avsnitt.The following foundational Microsoft 365 capabilities help to address the risks and requirements included in these topics.

Säkra användaridentiteter och kontrollera åtkomstSecure User Identities and Control Access

Skyddet av åtkomst till dokument och program börjar med att skydda användaridentiteter.Protecting access to documents and applications begins with strongly securing user identities. Som grund kräver detta att du skapar en säker plattform för företaget för att lagra och hantera identiteter och tillhandahålla tillförlitliga medel för autentisering.As a foundation, this requires providing a secure platform for the enterprise to store and manage identities and providing a trusted means of authentication. Det kräver också dynamisk kontroll av åtkomst till de här programmen.It also requires dynamically controlling access to these applications. När de anställda arbetar kan de flytta från program till program eller mellan flera platser och enheter.As employees work, they may move from application to application or across multiple locations and devices. Tillgång till data måste verifieras vid varje steg på vägen.As a result, access to data must be authenticated at each step of the way. Dessutom måste verifieringsprocessen ha stöd för ett starkt protokoll och flera faktorer av autentisering (en SMS-svarskod, en autentiseringsapp, certifikat osv.) så att du kan se till att identiteter inte har äventyrats.In addition, the authentication process must support a strong protocol and multiple factors of authentication (one-time SMS pass code, authenticator app, certificate, etc.) so that we can ensure that identities have not been compromised. Slutligt är det viktigt att framtvinga riskbaserade åtkomstprinciper för att skydda data och program från insiderhot, oavsiktliga dataläckage och dataexfiltration.Finally, enforcing risk-based access policies are a key recommendation to protecting data and applications from insider threats, inadvertent data leaks and data exfiltration.

Microsoft 365 tillhandahåller en säker identitetsplattform i Azure Active Directory (Azure AD), där identiteter lagras centralt och hanteras på ett säkert sätt.Microsoft 365 provides a secure identify platform with Azure Active Directory (Azure AD) where identities are centrally stored and securely managed. Med Azure AD, tillsammans flera relaterade Microsoft 365-säkerhetstjänster, utgör grunden för att ge anställda den åtkomst de behöver för att samarbeta och skydda organisationen mot hot.Azure Active Directory, along with a host of related Microsoft 365 security services, forms the basis for providing employees with the access they need to work securely while also protecting the organization from threats.

Azure Multi-Factor Authentication (MFA) är inbyggd i plattformen och ger ett ytterligare skyddslager för att säkerställa att användarna är de som de antar när de använder känsliga data och program.Azure Multi-Factor Authentication (MFA) is built into the platform and provides an additional layer of protection to help ensure users are who they say they are when accessing sensitive data and applications. Azure MFA kräver minst två former av autentisering, t. ex. ett lösenord och en känd mobil enhet.Azure MFA requires at least two forms of authentication, such as a password and a known mobile device. Den har stöd för flera andra faktorer för autentisering, t. ex. Microsoft Authenticator-appen, ett engångslösenord som levereras via SMS, ta emot telefonsamtal där användaren måste ange en PIN-kod och smartkort eller certifikatbaserad autentisering.It supports several second factor authentication options, including: the Microsoft Authenticator app, a one-time passcode delivered via SMS, receiving a phone call where a user must enter a PIN, and smart cards or certificate-based authentication. Om lösenordet på något sätt komprometteras skulle en potentiell hackare fortfarande behöva användarens telefon för att få tillgång till organisationsdata.In the event a password is compromised, a potential hacker still needs the user's phone to gain access to organizational data. Dessutom använder Microsoft 365 modern autentisering som nyckelprotokoll och får samma kraftfulla autentisering från webbläsare för samarbetsverktyg, till exempel Microsoft Outlook och Microsoft Office-program.In addition, Microsoft 365 uses Modern Authentication as a key protocol, bringing the same strong authentication experience from web browsers to collaboration tools, including Microsoft Outlook and Microsoft Office apps.

Med Azure Active Directory villkorad åtkomst får du en robust lösning för automatisering av beslut om åtkomstkontroll och för att upprätthålla organisatoriska principer för att skydda företagets tillgångar.Azure AD Conditional Access provides a robust solution for automating access control decisions and enforcing policies to protect company assets. Ett vanligt exempel är när en anställd vill få åtkomst till ett program som innehåller känslig information om kunden och de måste automatiskt utföra multifaktorautentisering för att få åtkomst till det programmet.A common example is when an employee wishes to access an application containing sensitive customer data, and they are automatically required to perform a multi-factor authentication to specifically access that application. Azure villkorad åtkomst för samman signalerna om en användares åtkomstbegäran, t. ex. egenskaper för användaren, enheten, plats, nätverk och programmet eller lagret som användaren försöker komma åt.Azure Conditional Access brings together signals from a user's access request, such as properties about the user, their device, location, network, and the app or repository they are trying to access. Det utvärderar varje försök att komma åt programmet dynamiskt mot konfigurerade principer.It can dynamically evaluate every attempt to access the application against configured policies. Om en användares eller enhets risk är förhöjd eller om andra villkor inte uppfylls, kan Azure Active Directory automatiskt upprätthålla principer som att dynamiskt kräva MFA, begränsa eller till och med blockera åtkomst.If user or device's risk is elevated, or if other conditions are not met, Azure AD can automatically enforce policy such as dynamically requiring MFA, restricting or even blocking access. På så sätt kan du se till att känsliga tillgångar skyddas i dynamiskt föränderliga miljöer.This helps ensure that sensitive assets are protected in dynamically changing environments.

Office 365 ATP tillhandahåller en integrerad tjänst för att skydda organisationer från illasinnade länkar och skadlig kod som levererats via e-post.Office 365 Advanced Threat Protection (ATP) provides an integrated service to protect organizations from malicious links and malware delivered through email. En av de vanligaste attackvektorerna som påverkar användare idag är nätfiskeattacker via e-post.One of the most common attack vectors impacting users today is email phishing attacks. De här angreppen kan vara noggrant målinriktade mot specifika högpresterande anställda och kan vara mycket övertygande.These attacks can be carefully targeted at specific high-profile employees and can be crafted to be very convincing. De innehåller i regel en någon form av åtgärd som kräver att användaren klickar på en skadlig länk eller öppnar en bifogad fil med skadlig kod.They typically contain some call to action requiring a user to click a malicious link or open an attachment with malware. När angriparen har angripit kan han eller hon stjäla en användares inloggningsuppgifter och röra sig tvärs över hela organisationen.Once infected, an attacker can steal a user's credentials and move laterally across the organization. De kan också exfiltrera e-postmeddelanden och data för att hitta känslig information.They can also exfiltrate emails and data looking for sensitive information. Med Office 365 ATP utvärderas länkar vid tiden du klickar på den för potentiella skadliga webbplatser och blockerar dem.Office 365 ATP evaluates links at click-time for potentially malicious sites and blocks them. Bifogade filer i e-postmeddelanden öppnas i ett skyddat läge innan de skickas till en användares postlåda.Email attachments are opened in a protected sandbox prior to delivering them to a user's mailbox.

Med Microsoft Cloud App Security (MCAS) kan organisationer med möjligheten att ytterligare upprätthålla principer på detaljerad nivå och för att upptäcka avvikande beteende baserat på enskilda användarprofiler som automatiskt definieras med hjälp av maskininlärning.Microsoft Cloud App Security (MCAS) provides organizations with the ability further enforce policies at a granular level and detect behavioral anomalies based on individual user profiles that are automatically defined using Machine Learning. MCAS kan bygga på principer för villkorlig åtkomst i Azure för att ytterligare skydda känsliga tillgångar genom att utvärdera fler signaler relaterade till användarens beteende och egenskaper för de dokument som du har åtkomst till.MCAS can build on Azure Conditional Access policies, to further protect sensitive assets by evaluating additional signals related to user behavior and properties of the documents being accessed. Med tiden lär sig MCAS vad som är typiskt för varje anställd när det gäller de data de får tillgång till samt vilka program de använder.Over time, MCAS will learn what is considered typical behavior for each employee, with regards to the data they access and the applications they use. Principer som bygger på inlärda beteendemönster kan sedan automatiskt upprätthålla säkerhetskontroller om en anställd agerar utanför den beteendeprofilen.Based on learned behavioral patterns, policies can automatically enforce security controls if an employee goes outside of that behavioral profile. Om t. ex. en anställd normalt ansluter till ett redovisningsprogram från 09:00 till 17:00 måndag till fredag, men plötsligt börjar ansluta mycket till programmet på en söndag kväll, kan MCAS dynamiskt upprätthålla principer som kräver att användaren omautentiserar.For example, if an employee typically accesses an accounting app from 9am to 5pm, Monday to Friday, but that same user begins to access that application heavily on a Sunday evening, MCAS can dynamically enforce policies to require the user to re-authenticate. På så sätt ser du till att autentiseringsuppgifterna inte har äventyrats.This helps ensure that credentials have not been compromised. Dessutom kan MCAS hjälpa till att upptäcka och identifiera Skugg-IT i organisationen, vilket hjälper InfoSec-grupperna att se till att anställda använder sanktionerade verktyg när de arbetar med känsliga data.In addition, MCAS can help discover and identify Shadow IT in the organization, helping InfoSec teams ensure that employees are using sanctioned tools when working with sensitive data. Slutligen kan MCAS skydda känslig information var som helst i molnet, även utanför Microsoft 365-plattformen.Finally, MCAS can protect sensitive data anywhere in the Cloud, even outside of the Microsoft 365 platform. Det gör det möjligt för organisationer att sanktionera (eller icke sanktionera) vissa externa molnprogram, styra åtkomst och övervakning när användare arbetar i dessa program.It allows organizations to sanction (or un-sanction) specific external Cloud apps, controlling access and monitoring when users work in those applications.

Azure Active Directory och tillhörande Microsoft 365-säkerhetstjänster tillhandahåller grunden för en modern molnbaserad samarbetsplattform som kan distribueras till organisationer i energiindustrin så att åtkomsten till data och program kan skyddas och skyldigheterna för efterlevnad av regler kan uppfyllas.Azure Active Directory, and the related Microsoft 365 security services, provide the foundation upon which a modern cloud collaboration platform can be rolled out to energy industry organizations so that access to data and applications can be strongly secured and regulatory compliance obligations can be met. Verktygen har följande nyckelfunktioner:To summarize, these tools provide the following key capabilities:

  • Lagrar och hanterar användaridentiteter centralt.Centrally store and securely manage user identities
  • Använd ett starkt autentiseringsprotokoll, t. ex. multifaktorautentisering, för att autentisera användare med åtkomstförfrågningar och tillhandahåll en enhetlig och robust autentisering för alla program.Use a strong authentication protocol including multi-factor authentication to authenticate users on access requests and provide a consistent and robust authentication experience across any application
  • Verifiera principer dynamiskt för alla åtkomstförfrågningar och införliva flera signaler i beslutsfattandet av principen, t. ex. identitets-, användar- och gruppmedlemskap, program, enhet, nätverk, plats och risknivå i realtidDynamically validate policies on all access requests, incorporating multiple signals into the policy decision making process, including identity, user/group membership, application, device, network, location, and real-time risk score
  • Verifiera detaljerade principer baserat på användarens beteende och filegenskaper och dynamiskt upprätthålla ytterligare säkerhetsåtgärder vid behov.Validate granular policies based on user behavior and file properties and dynamically enforce additional security measures when required
  • Identifiera "skugg-IT" i organisationen och tillåt InfoSec-grupper att sanktionera eller blockera molnprogram.Identify shadow IT in the organization and allow InfoSec teams to sanction or block cloud applications
  • Övervaka och kontrollera åtkomsten till Microsoft-program och molnprogram från andra leverantörer än Microsoft.Monitor and control access to Microsoft and non-Microsoft cloud applications
  • Skydda proaktivt mot attacker från nätfiske och utpressningstrojaner.Proactively protect against email phishing and ransomware attacks

Identifiera känsliga data och förhindra dataförlusterIdentify Sensitive Data and Prevent Data Loss

FedRAMP för måttlig kontroll och NERC CIP-standard inkluderar även informationsskydd som krav på nyckelkontroll (CIP-011-2).The FedRAMP Moderate Control Set and NERC CIP standards also include information protection as a key control requirement (CIP-011-2). Kraven behandlar särskilt behovet av att identifiera information som är relaterad till BES (Omfångsrika elsystem) Cybersysteminformation, skydd och säker hantering av informationen, inklusive lagring, överföring och användning.These requirements specifically address the need to identify information related to BES (Bulk Electric System) Cyber System Information, the protection and secure handling of that information, including storage, transit, and use. I vissa exempel på BES Cybersysteminformation kan det ingå säkerhetsrutiner eller säkerhetsinformation om system som är grundläggande för att fungera med det omfångsrika elsystemet (BES Cybersystem, kontrollsystem för fysisk och elektronisk åtkomst eller övervakningssystem) som inte är offentligt tillgängligt och som kan användas för att tillåta otillåten åtkomst eller otillåten distribution.Specific examples of BES Cyber System Information may include security procedures or security information about systems that are fundamental to operating the bulk electric system (BES Cyber Systems, Physical Access Control Systems, and Electronic Access Control or monitoring systems) that is not publicly available and could be used to allow unauthorized access or unauthorized distribution. Samma behov finns dock för att identifiera och skydda kundinformation som är viktig för den dagliga verksamheten i energiorganisationer.However, the same need exists to identify and protect customer information that is critical to the day to day operations of energy organizations.

I Microsoft 365 kan identifiera och skydda känsliga data i organisationen genom en kombination av kraftfulla funktioner, t. ex.:Microsoft 365 allows sensitive data to be identified and protected within the organization through a combination of powerful capabilities, including:

  • Microsoft Information Protection (MIP) för både användardefinierad klassificering och automatisk klassificering av känsliga data.Microsoft Information Protection (MIP) for both user-based classification and automated classification of sensitive data

  • Office 365-dataförlustskydd (DLP) för automatisk identifiering av känsliga data med känsliga datatyper (med andra ord, vanliga uttryck) samt nyckelord och upprätthållande av policy.Office 365 Data Loss Prevention (DLP) for automated identification of sensitive data using sensitive data types (i.e. regular expressions) and keywords, and policy enforcement

Med MIP (Microsoft Information Protection) tillåter de anställda att klassificera dokument och e-postmeddelanden med känsliga etiketter.Microsoft Information Protection (MIP) allows employees to classify documents and emails with sensitivity labels. Känslighetsetiketter kan läggas till manuellt av användare för dokument i Microsoft Office-program och e-postmeddelanden i Microsoft Outlook.Sensitivity labels can be applied manually by users to documents within the Microsoft Office apps and to emails within Microsoft Outlook. Känslighetsetiketter kan i sin tur automatiskt använda dokumentmarkeringar, skydd via kryptering och upprätthållande av rättigheter.Sensitivity labels can in turn automatically apply document markings, protection through encryption, and enforce rights management. Du kan också använda dem automatiskt genom att konfigurera principer som använder nyckelord och känsliga datatyper (kreditkortsnummer, socialförsäkringsnummer och identitetsnummer, etc.) för att automatiskt hitta och klassificera känsliga data.They may also be applied automatically, by configuring policies which use keywords and sensitive data types (credit card numbers, social security numbers, identity numbers, etc.) to automatically find and classify sensitive data.

Dessutom tillhandahåller Microsoft "utbildningsbara klassificerare" som använder maskininlärningsmodeller för att identifiera känsliga data baserat på innehållet, i motsats till att bara genom mönstermatchning eller genom elementen i innehållet.In addition, Microsoft provides trainable classifiers which use machine learning models to identify sensitive data based on what the content is, as opposed to simply through pattern matching or by the elements within the content. En klassificerare får reda på hur du identifierar en typ av innehåll genom att titta på flera exempel på innehållet som ska klassificeras.A classifier learns how to identify a type of content by looking at numerous examples of the content to be classified. Utbildning av en klassificerare börjar med att tillhandahålla exempelinnehåll inom en viss kategori.Training a classifier begins by providing it with examples of content within a particular category. När du har bearbetat de här exemplen testas modellen genom att tillhandahålla en blandning av båda exemplen för matchning och icke matchning.Once it processes those examples, the model is tested by providing it with a mix of both matching and non-matching examples. Klassificeraren förutsäger om ett visst exempel är i kategorin eller inte.The classifier then predicts whether a given example falls into the category or not. En person bekräftar sedan resultaten, sorterar positiva, negativa, falska positiva och falska negativa för att öka noggrannheten i klassificerarens förutsägelser.A person then confirms the results, sorting the positives, negatives, false positives, and false negatives to help increase the accuracy of the classifier's predictions. När den utbildade klassificeraren publiceras bearbetar den innehåll i Microsoft SharePoint Online, Exchange Online och OneDrive för företag och klassificerar automatiskt innehållet.When the trained classifier is published, it processes content in SharePoint Online, Exchange Online, and OneDrive for Business, and automatically classifies the content.

Om du använder känslighetsetiketter i dokument och e-postmeddelanden kommer inbäddad metadata i objektet som identifierar den valda känsligheten, vilket ger dig känsligheten att resa med data.Applying sensitivity labels to documents and emails will embed metadata within the object which identifies the chosen sensitivity, thereby allowing the sensitivity to travel with the data. Även om du har ett dokument med etikett har sparats på en användares skrivbord eller i ett lokalt system är det fortfarande skyddat.As a result, even if a labeled document is stored on a user's desktop or within an on-premise system, it is still protected. Denna funktionalitet gör det möjligt för andra Microsoft 365-lösningar, till exempel Microsoft Cloud App Security eller nätverksenheter, att identifiera känslig data och automatiskt upprätthålla säkerhetskontroller.This in turn enables other Microsoft 365 solutions such as Microsoft Cloud App Security or network edge devices to identify sensitive data and automatically enforce security controls. Med känslighetsetiketter får du en bättre möjlighet att utbilda anställda om vilka data i en organisation som betraktas som känsliga och hur de hanterar datan när de får den.Sensitivity labels have the added benefit of educating employees as to which data within an organization is considered sensitive, and how to handle that data should they receive it.

Med Office 365-dataförlustskydd (DLP) identifierar automatiskt dokument, e-postmeddelanden och konversationer som innehåller känsliga data genom att söka efter känsliga datatyper och sedan verkställa principer för dessa objekt.Office 365 Data Loss Prevention (DLP) will automatically identify documents, emails and conversations which contain sensitive data by scanning them for sensitive data types and then enforcing policy on those objects. Principer upprätthålls på dokument i SharePoint och OneDrive för företag.Policies are enforced on documents within SharePoint and OneDrive for Business. De upprätthålls också när användare skickar e-post och i chatt- och kanalkonversationer i Microsoft Teams.They are also enforced when users send email, and in Microsoft Teams within chat and channel conversations. Principer kan konfigureras för att söka efter nyckelord, känsliga datatyper, lagringsetiketter och om data delas i organisationen eller externt.Policies may be configured to look for keywords, sensitive data types, retention labels and whether data is shared within the organization or externally. Kontroller tillhandahålls för att hjälpa organisationer att finjustera DLP-policyer för att minska falska positiva.Controls are provided to help organizations fine-tune DLP policies to better avoid false positives. När känslig data hittas kan anpassningsbara policytips visas för användare i Microsoft 365-applikationer för att informera dem om att deras innehåll innehåller känslig information och/eller föreslå korrigerande åtgärder.When sensitive data is found, customizable policy tips may be displayed to users within Microsoft 365 applications, informing them that their content contains sensitive data and/or proposing corrective actions. Principer kan också hindra användare från att komma åt dokument, dela dokument eller skicka e-postmeddelanden som innehåller vissa typer av känslig information.Policies can also prevent users from accessing documents, sharing documents, or sending emails which contain certain types of sensitive data. Microsoft 365 har stöd för över 100 fördefinierade känsliga datatyper och organisationer kan konfigurera anpassade, känsliga datatyper så att de uppfyller sina principer.Microsoft 365 supports over 100 built-in sensitive data types, and organizations can configure custom sensitive data types to meet their policies.

Utarbetande av MIP- och DLP-principer för organisationer kräver omsorgsfull planering och ett utbildningsprogram för användare så att anställda förstår organisationens dataklassificeringsschema och vilka typer av data som betraktas som känsliga.Rolling out MIP and DLP policies to organizations requires careful planning and typically a user education program so that employees understand the organization's data classification schema and which types of data are considered sensitive. Att tillhandahålla anställda med verktyg och utbildningsprogram som hjälper dem att identifiera känsliga data och förstå hur de hanteras gör dem till en del av lösningen för att minska risker med informationssäkerhet.Providing employees with tools and education programs that help them identify sensitive data and help them understand how to handle it makes them part of the solution for mitigating information security risks.

Styra data genom att effektivt hantera posterGovern Data by Effectively Managing Records

Föreskrifter kräver många organisationer för att hantera bevarande av viktiga organisationsdokument enligt ett hanterat bevarandeschema för företaget.Regulations require many organizations to manage the retention of key organizational documents according to a managed corporate retention schedule. Organisationer möter reglerande och efterlevnadsrisker om data tas bort för tidigt eller juridiska risker om data behålls för länge.Organizations face regulatory compliance risks if data is under-retained (deleted too early), or legal risks if data is over-retained (kept too long). Med hjälp av strategier för effektiv hantering kan du se till att organisations dokument bevaras enligt förutbestämda bevarandeperioder som är utformade för att minimera riskerna för organisationen.Effective records management strategies help to ensure that organizational documents are retained according to predetermined retention periods which are designed to minimize risk to the organization. Bevarande perioder föreskrivs i ett centralt hanterat bevarandeschema och de baseras på naturen av varje typ av dokument, enligt myndighets krav för att bibehålla vissa typer av data och i organisationens definierade principer.Retention periods are prescribed in a centrally managed organizational record retention schedule, and they are based on the nature of each type of document, on regulatory compliance requirements for retaining specific types of data, and on the defined policies of the organization.

Det kan krävas en detaljerad process som tilldelar bevarandeperioder som är unika för enskilda dokument om du vill att posterna ska vara tillräckligt långa i organisations dokument.Assigning record retention periods accurately across organizational documents may require a granular process which assigns retention periods uniquely to individual documents. Det stora antalet dokument inom energiindustrins organisationer, tillsammans med faktumet att antalet lagringsperioder i många fall kan utlösas genom organisationshändelser (till exempel när avtal löper ut eller om en anställd lämnar organisationen) gör att tillämpa bevarandeprinciper på skala utmanande för många organisationer.The vast number of documents within energy industry organizations, coupled with the fact that in many cases retention periods can be triggered by organizational events (such as contracts expiring or an employee leaving the organization), make applying record retention policies at scale challenging for many organizations.

Microsoft 365 tillhandahåller funktioner för att definiera bevarandeetiketter och principer för att enkelt implementera hanteringskrav för handlingar.Microsoft 365 provides capabilities for defining retention labels and policies to easily implement records management requirements. En arkivhanterare definierar en lagringsetikett som representerar en "typ av information" i ett traditionellt bevaringsschema.A record manager defines a retention label, which represents a "record type" in a traditional retention schedule. Bevarandet har inställningar som definierar:The retention label contains settings which define:

  • Hur länge en post behållsHow long a record is retained for
  • Vad inträffar när den lagringsperioden går ut (ta bort dokumentet, starta en granskning eller vidta ingen åtgärd)The concurrency requirements or what occurs when retention period expires (delete the document, start a disposition review, or take no action)
  • Vad utlöser den bevarandeperiod som ska startas (skapat den, senast ändrad, datumetikett eller en händelse) ochWhat triggers the retention period to start (created date, last modified date, labeled date, or an event), and
  • Om dokumentet eller e-postmeddelandet är en post (vilket innebär att den inte kan redigeras eller tas bort)If the document or email is a record (meaning it cannot be edited or deleted)

Lagringsetiketterna publiceras sedan på SharePoint- och OneDrive-webbplatser, Exchange-postlådor och Office 365 Grupper.Retention labels are then published to SharePoint or OneDrive sites, Exchange mailboxes, and Office 365 Groups. Användare kan sedan tillämpa bevarandet av bevarandet av bevarandet av dokument och e-post eller så kan posthanterare använda regler för att automatiskt använda bevarandeetiketter.Users may then apply retention labels manually to documents and emails, or record managers can use rules to automatically apply retention labels. Automatiskt tillämpa regler kan baseras på nyckelord eller känslig information som finns i dokument och e-postmeddelanden, t. ex kreditkortsnummer, personnummer eller annan personlig identifierbar information (PII) eller de kan baseras på metadata från SharePoint.Auto-apply rules can be based on keywords or sensitive data found within documents or emails, such as credit card numbers, social security numbers or other personally identifiable information (PII) or they can be based on SharePoint metadata.

FedRAMP för måttlig kontroll och NERC CIP-standarder omfattar även återanvändande och avyttring av tillgångar som krav på nyckelkontroll (CIP-011-2).The FedRAMP Moderate Control Set and NERC CIP standards also include Asset Reuse and Disposal as a key control requirement (CIP-011-2). Kraven gäller återigen specifikt adresserade BES (omfångsrika elsystem) Cybersysteminformation.These requirements once again specifically address BES (Bulk Electric System) Cyber System Information. Andra myndighetsbestämmelser kräver dock att energiindustrins organisationer administrerar och avyttrar poster effektivt för flera olika typer av information.However, other jurisdictional regulations will require energy industry organizations to manage and dispose of records effectively for numerous types of information. Det innefattar redovisningar, information om kapitalprojekt, budgeten, kunddata osv. I alla fall krävs energiorganisationer för att upprätthålla robusta program för hantering av arkivhandlingar och bevis som rör försvarbar disposition av företagsposter.This will include financial statements, capital project information, budgets, customer data, etc. In all cases, energy organizations will be required to maintain robust records management programs and evidence related to the defensible disposition of corporate records.

Med varje bevarandeetikett tillåter Office 365 att posthanterare bestämmer om en disposition måste utföras.With each retention label, Office 365 allows record managers to determine if a disposition review is required. När de posttyper som används för förvaring, när de har löpt ut, måste en översyn utföras av de avsedda dispositions förhandsgranskningarna innan innehållet tas bort.Then when those record types come up for disposition, after their retention period has expired, a review must be conducted by the designated disposition reviewers before content is deleted. När dispositionsgranskningen är godkänd, kommer borttagning av innehållet att fortsätta, men bevis för borttagningen, användare som utförde borttagningen och datum/tid då det skedde kommer att bevaras i flera år (som ett certifikat på borttagningen).Once the disposition review is approved, content deletion will proceed, however evidence of the deletion, the user that performed the deletion and date/time in which it occurred is still retained for multiple years (as a certificate of destruction). Om organisationer kräver längre eller permanent bevarande av borttagningscertifikat kan Azure Sentinel användas för långsiktig molnbaserade lagring av logg- och granskningsdata.If organizations require longer or permanent retention of certificates of destruction, Azure Sentinel may be used for long term cloud-based storage of log and audit data. Med Azure Sentinel får organisationer fullständig kontroll över långsiktig lagring och bevarande av aktivitetsdata, loggdata och bevarande/dispositionsdata.Azure Sentinel gives organizations full control over the long term storage and retention of activity data, log data and retention/disposition data.

Följa föreskrifter för FERC och FTC för energimarknaderComply with FERC and FTC Regulations for Energy Markets

Den amerikanska federala energi regleringskommissionen (FERC) överser föreskrifter avseende energimarknader och handeln för elenergi och naturgasmarknader.The U.S. Federal Energy Regulatory Commission (FERC) oversees regulations related to energy markets and trading for the electric energy and natural gas markets. Den amerikanska federala handelskommissionen överser liknande föreskrifter på petroleummarknaden.The U.S. Federal Trade Commission (FTC) oversees similar regulations in the petroleum market. I båda fallen anger de här regleringsGovernmentna bestämmelser och riktlinjer för att förhindra manipulering av energimarknaden.In both cases these regulatory bodies set out rules and guidance to prohibit energy market manipulation. Med FERC rekommenderar vi till exempel att energiorganisationer investerar i tekniska resurser för att övervaka handel, näringsidkare, kommunikation med intern kontroll.FERC, for example, recommends that energy organizations invest in technology resources to monitor trading, trader communications, and compliance with internal controls. Vi rekommenderar att energiorganisationer regelbundet beräknar att organisationens efterlevnad är effektiv.They further recommend that energy organizations evaluate, on a regular basis, the ongoing effectiveness of the organization's compliance program.

Traditionellt sett är kommunikationsövervakningslösningar dyra och de kan vara komplicerade att konfigurera och hantera.Traditionally, communication monitoring solutions are costly, and they can be complex to configure and manage. Organisationer kan också få utmaningar med att övervaka de olika, varierande kommunikationskanaler som finns tillgängliga för anställda.Also, organizations can experience challenges with monitoring the numerous, varying communication channels available to employees. I Microsoft 365 finns flera inbyggda robusta funktioner för övervakning av medarbetarnas kommunikation, övervakning av medarbetarnas aktiviteter och uppfyllande av FERC bestämmelser för energimarknader.Microsoft 365 provides several built-in robust capabilities for monitoring employee communications, supervising employee activities, and helping to comply with FERC regulations for energy markets.

Implementera övervakningskontrollImplement Supervisory Control

I Microsoft 365 kan organisationer konfigurera övervakningsprinciper som fångar medarbetarnas kommunikation (utifrån konfigurerade villkor) och tillåta att dessa granskas av utsedda övervakare.Microsoft 365 enables organizations to configure supervision policies which capture employee communications (based on configured conditions) and allow these to be reviewed by designated supervisors. Med övervakningsprinciper kan du hämta interna/externa e-postmeddelanden och bilagor, chatt- och kanalkommunikation i Microsoft Teams, chattkommunikation och bilagor med Skype för företag online tillsammans med kommunikation via tjänster från tredje part (till exempel Facebook eller Dropbox).Supervision policies can capture internal/external email and attachments, Microsoft Teams chat and channel communications, Skype for Business Online chat communications and attachments, along with communications through third-party services (such as Facebook or Dropbox).

Den övergripande karaktären av kommunikationer som kan fångas och granskas inom en organisation och de omfattande förhållanden med vilka policyer kan konfigureras, möjliggör Microsoft 365 övervakning organisationer att följa efterlevnad av FERC reglering av energimarknaden. The comprehensive nature of communications that may be captured and reviewed within an organization, and the extensive conditions with which policies may be configured, allow Microsoft 365 Supervision Policies to help organizations comply with FERC energy market regulations. Övervakningsprinciper kan konfigureras för att granska kommunikationer för individer eller grupper.Supervision policies may be configured to review communications for individuals or groups. Dessutom kan en övervakare konfigurerad för att vara personer eller grupper.In addition, supervisors may be configured to be individuals or groups. Omfattande förhållanden kan konfigureras för att fånga kommunikationer baserade på inkommande eller utgående meddelanden, domäner, lagringsetiketter, nyckelord eller fraser, nyckelordsordlistor, känsliga datatyper, bilagor, meddelandestorlek eller storlek på bilaga.Comprehensive conditions may be configured to capture communications based on inbound or outbound messages, domains, retention labels, keywords or phrases, keyword dictionaries, sensitive data types, attachments, message size, or attachment size. Granskarna får en instrumentpanel där de kan granska flaggade kommunikationer, agera på kommunikationer som potentiellt bryter mot policyer och markera flaggade objekt som lösta.Reviewers are provided with a dashboard where they can review flagged communications, act on communications that potentially violate policies, or mark flagged items as resolved. De kan också granska resultatet av tidigare granskningar och objekt som har lösts.They may also review the results of previous reviews and items that were have been resolved.

Microsoft 365 tillhandahåller rapporter som gör att granskningsaktiviteter för övervakningsprinciper granskas utifrån principen och granskaren.Microsoft 365 provides reports which allow supervision policy review activities to be audited based on the policy and the reviewer. Tillgängliga rapporter kan användas för att verifiera att övervakningsprinciper fungerar som definieras av organisationens principer för skriftligt övervakning.The available reports may be used to validate that supervision policies are working as defined by the organizations written supervision policies. De kan också användas för att identifiera kommunikation som kräver granskning och vilken kommunikation som inte överensstämmer med företagets policy.They may also be used to identify communications requiring review and which communications are not compliant with corporate policy. Slutligen granskas alla aktiviteter relaterade till konfigurering av övervakningsprinciper och granskning av kommunikationer i den enhetliga Office 365-granskningsloggen.Finally, all activities related to configuring supervision policies and reviewing communications are audited in the Office 365 unified audit log.

Microsoft 365-övervakningsprinciper gör att organisationer kan övervaka meddelanden för efterlevnad av företagsprinciper, till exempel mänskliga resurser trakasserier överträdelser och anstötligt språk i företagskommunikation.Microsoft 365 Supervision Policies allow organizations to monitor communications for compliance with corporate policies, such as human resources harassment violations and offensive language in company communications. Det gör också att organisationer kan minska riskerna genom att övervaka kommunikationen när de genomgår känsliga förändringar, t. ex. sammanslagningar och förvärv eller förändringar i ledarskap.It also allows organizations to reduce risk, by monitoring communications when organizations are undergoing sensitive organizational changes, such as mergers and acquisitions, or leadership changes.

Efterlevnad av kommunikationCommunication Compliance

Med många kommunikationskanaler tillgängliga för anställda behöver organisationer alltmer effektivare lösningar för övervakning av kommunikation i reglerade branscher, t. ex. marknader för energihandeln.With many communication channels available to employees, organizations increasingly require effective solutions for monitoring or supervising communications in regulated industries such as energy trading markets. Den nyligen lanserade lösningen för efterlevnad av kommunikation som är inbyggd i Microsoft 365 hjälper organisationer att lösa vanliga utmaningar, t. ex. ökande antalet kommunikationskanaler och meddelandevolym samt risken för problem för policyöverträdelser.The recently launched Communication Compliance solution built into Microsoft 365 helps organizations overcome common challenges such as increasing numbers of communication channels and message volume, as well as the risk of potential fines for policy violations.

Med efterlevnad av kommunikation kan du övervaka flera kommunikationskanaler och använda maskinutbildningsmodeller för att identifiera potentiella policyöverträdelser, t. ex. e-post i Office 365, Microsoft Teams, Skype för företag Online, Facebook, Twitter och Bloomberg snabbmeddelanden.Communication Compliance can monitor multiple communication channels and use machine learning models to identify potential policy violations, including Office 365 email, Microsoft Teams, Skype for Business Online, Facebook, Twitter and Bloomberg instant messages. Med efterlevnad av kommunikation kan grupper effektivt granska meddelanden för potentiella överträdelser av:Communication Compliance helps compliance teams effectively and efficiently review messages for potential violations of:

  • Företagsprinciper, t. ex. acceptabel användning, etisk standard och företagsspecifika principerCorporate Policies, such as acceptable use, ethical standards, and corporate specific policies
  • känslig information om företaget, till exempel samtal om känsliga projekt såsom kommande förvärv, sammanslagningar, vinstresultat, omstruktureringar eller förändringar i ledningsgruppensensitiveity or sensitive business disclosures, such as unauthorized communications about sensitive projects like upcoming acquisitions, mergers, earnings disclosures, reorganizations, or leadership team changes
  • Bestämmelser om efterlevnad, t. ex. medarbetarnas kommunikation angående olika typer av verksamheter och transaktioner där en organisation uppkommer med beaktande av FERC bestämmelser för energimarknaderRegulatory compliance requirements, such as employee communications regarding the types of businesses or transactions in which an organization engages in compliance with FERC regulations for energy markets

Med efterlevnad av kommunikation tillhandahåller inbyggda klassificerare för hot, trakasserier och svordomar vilket minskar falska positiva vid granskning av kommunikation.Communication Compliance provides built-in threat, harassment, and profanity classifiers to help reduce false positives when reviewing communications. Detta sparar granskare tid under undersökningen och reparationsprocessen.This saves reviewers time during the investigation and remediation process. Det hjälper granskare att fokusera på vissa meddelanden i långa trådar som har markerats med principvarningar.It helps reviewers focus on specific messages within long threads that have been highlighted by policy alerts. På så sätt kan grupper som följer arbetsgrupper snabbare identifiera och åtgärda risker.This helps compliance teams more quickly identify and remediate risks. Den ger efterlevnadsgrupper med möjligheten att enkelt konfigurera och finjustera principer och justera lösningen till organisationens specifika behov och minska falska positiva.It provides compliance teams with the ability to easily configure and fine-tune policies, adjusting the solution to the organization's specific needs and reducing false positives. Med efterlevnad för kommunikation kan du även spåra användarens beteende med tiden och på så sätt Markera potentiella mönster för riskfyllda beteenden och policyöverträdelser.Communication Compliance can also track user behavior over time, highlighting potential patterns in risky behavior or policy violations. I den här artikeln får du till gång till flexibla, inbyggda arbetsflöden så att granskare snabbt kan vidta åtgärder och eskalera till juridiska och mänskliga resurser enligt definierade företagsprocesser.Finally, it provides flexible built-in remediation workflows so that reviewers can quickly take action and escalate to legal or human resources teams according to defined corporate processes.

Skydd mot dataexfiltration och insiderriskProtect Against Data Exfiltration and Insider Risk

Dataexfiltration eller att extrahera data från en organisation är ett vanligt hot mot företag.A common threat to enterprises is data exfiltration, or the act of extracting data from an organization. Detta kan vara ett betydande bekymmer för energiorganisationer på grund av känsligheten hos de uppgifter som anställda eller fälttjänstpersonalen dagligen får tillgång till.This can be a significant concern for energy organizations due to the sensitive nature of the information that may be accessed by employees or field service staff day to day. Detta omfattar både BES (omfångsrika elsystem) Cybersysteminformation samt verksamhetsrelaterad information och kunddata.This includes both BES (Bulk Electric System) Cyber System information as well as business related information and customer data. Med ökande metoder för kommunikation tillgängliga och flera verktyg för att flytta data krävs det vanligtvis avancerade verktyg för att minska riskerna med dataläckor, policyöverträdelser och Insider-risker.With the increasing methods of communications available and numerous tools for moving data, advanced tools are typically required to mitigate risks of data leaks, policy violations and insider risk.

Hantering av insiderriskInsider Risk Management

Att ge anställda samarbetsverktyg online som kan nås var som helst innebär en risk för organisationen.Enabling employees with online collaboration tools that may be accessed anywhere inherently brings risk to an organization. Anställda kan oavsiktligt eller skadligt läcka data till angripare eller konkurrenter.Employees may inadvertently or maliciously leak data to attackers or to competitors. De kan också ut data för personlig användning eller ta med sig data till en framtida arbetsgivare.Alternatively, they may exfiltrate data for personal use or take data with them to a future employer. I dessa scenarier förekommer allvarliga risker för organisationer från ett säkerhets och efterlevnadsperspektiv.These scenarios' present serious risks to organizations from a security and a compliance standpoint. Att identifiera dessa risker när de inträffar och snabbt mildra dem kräver både intelligenta verktyg för datainsamling och samarbete mellan avdelningar som juridik, HR och informationssäkerhet.Identifying these risks when they occur and quickly mitigating them requires both intelligent tools for data collection and collaboration across departments such as legal, human resources, and information security.

Microsoft 365 har nyligen lanserat hanteringskonsolen för Insider-riskhantering som använder signaler över Microsoft 365-tjänster och maskinutbildningsmodeller för att övervaka användarbeteende för tecken på Insider-risker.Microsoft 365 has recently launched the Insider Risk Management console which uses signals across Microsoft 365 services and machine learning models to monitor user behavior for signs of insider risk. Det här verktyget presenterar data till granskare så att de enkelt kan identifiera beteendemönster och eskalera ärenden utifrån förutbestämda arbetsflöden.This tool presents data to investigators so that they can easily identify risky behavioral patterns and escalate cases based on pre-determined workflows.

Exempelvis kan hantering av insiderrisk korrelera signaler från en användares skrivbord i Windows 10, till exempel att kopiera filer till en USB-enhet eller skicka e-post till ett personligt e-postkonto, med aktiviteter från onlinetjänster som Office 365 e-post, SharePoint Online, Microsoft Teams eller OneDrive för företag för att identifiera mönster för dataexfiltrering.For example, Insider Risk Management can correlate signals from a user's Windows 10 desktop, such as copying files to a USB drive or emailing a personal email account, with activities from online services such as Office 365 email, SharePoint Online, Microsoft Teams, OneDrive for Business, etc. to identify data exfiltration patterns. Det kan också korrelera dessa aktiviteter med anställda som lämnar en organisation, vilket är ett vanligt mönster associerade med dataexfiltrering.It can also correlate these activities with employees leaving an organization which is a common behavioral pattern associated with data exfiltration. Den kan övervaka flera aktiviteter och beteenden över tid och när vanliga mönster uppstår kan det ge aviseringar och hjälpa granskare att fokusera på nyckelaktiviteter för att verifiera en policyöverträdelse med en hög grad av säkerhet.It can monitor multiple activities and behavior over time, and when common patterns emerge, it can raise alerts and help investigators focus on key activities to verify a policy violation with a high degree of confidence. Hantering av insiderrisk kan förvilla data från utredare för att uppfylla föreskrifterna för uppgifter om integritet medan det fortfarande dyker upp nyckelaktiviteter som hjälper dem att utföra utredningar effektivt.Insider Risk Management can also obfuscate data from investigators to help meet data privacy regulations, while still surfacing key activities that help them efficiently perform investigations. Det tillåter utredare att paketera och säkert skicka viktig aktivitetsdata till HR och juridiska avdelningar, efter vanliga upptrappning av arbetsflöden för lyfta upp ärenden för saneringsåtgärder.When ready, it allows investigators to package and securely send key activity data to human resources and legal departments, following common escalation workflows for raising cases for remediation action.

Hantering av insiderrisk i Microsoft 365 ökar organisationers kapacitet att övervaka och undersöka insiderrisker avsevärt samtidigt som organisationer fortfarande kan uppfylla bestämmelserna om dataskydd och följa etablerade eskaleringsvägar när ärenden kräver åtgärder på högre nivå.Insider Risk Management is a significant increase in capabilities in Microsoft 365 for monitoring and investigating insider risks, while allowing organizations to still meet data privacy regulations and follow established escalations paths when cases require higher-level action.

SammanfattningConclusion

Microsoft 365 tillhandahåller en integrerad och fullständig lösning som gör att du enkelt kan använda molnbaserade samarbete i hela företaget med Microsoft Teams.Microsoft 365 provides an integrated and comprehensive solution which enables easy-to-use cloud-based collaboration across the enterprise with Microsoft Teams. Microsoft Teams gör det också enklare att kommunicera och samarbeta med fälttjänstpersonal och energiorganisationer kan vara effektivare och effektivare.Microsoft Teams also enables better communication and collaboration with field service staff, helping energy organizations to be more efficient and effective. Bättre samarbete i hela företaget och med fältpersonalen kan slutligen hjälpa energiorganisationer att bättre tjäna kunderna.Better collaboration across the enterprise and with field staff can ultimately help energy organizations to better serve customers.

Organisationer för energiindustrin måste följa strikta förordningar som rör hur de lagrar, skyddar, hanterar och bevarar information som rör deras åtgärder och kunder.Energy industry organizations must comply with strict regulations related to how they store, secure, manage, and retain information related to their operations and customers. De måste också följa föreskrifter relaterade till hur de övervakar och förhindra manipulation av energimarknader.They must also comply with regulations related to how they monitor and prevent the manipulation of energy markets. Microsoft 365 ger robusta säkerhetskontroller för att skydda data, identiteter, enheter och program från risker och följa strikta föreskrifter för energiindustrin.Microsoft 365 provides robust security controls for protecting data, identities, devices, and applications from risks and complying with strict energy industry regulations. De inbyggda verktygen tillhandahålls för att hjälpa energiorganisationer att utvärdera att de efterlevs, liksom utföra åtgärder och spåra åtgärder med tiden.Built-in tools are provided to help energy organizations assess their compliance, as well as take action and track remediation activities over time. Verktygen tillhandahåller lättanvända metoder för övervakning av kommunikation.These tools also provide easy to use methods for monitoring and supervising communications. Microsoft 365-plattformen är inbyggd i baskomponenter som Microsoft Azure och Azure Active Directory, som hjälper till att skydda den generella plattformen och hjälpa organisationen att uppfylla efterföljandekrav för FedRAMP måttliga och höga kontrolluppsättningar.The Microsoft 365 platform is built on foundational components like Microsoft Azure and Azure Active Directory, helping to secure the overall platform and helping the organization meet compliance requirements for FedRAMP Moderate and High control sets. Det bidrar i sin tur till en energiorganisations möjlighet att uppfylla NERC CIP-standard.This in turn contributes to an energy organization's ability to meet NERC CIP standards.

Generellt sett hjälper Microsoft 365 energiorganisationer att bättre skydda organisationen för att få mer robusta program för efterlevnad och för att göra det möjligt för personalen att fokusera på att få bättre insikter och implementera strategier för att bättre minska riskerna.Overall, Microsoft 365 helps energy organizations to better protect the organization, to have more robust compliance programs, and to enable staff to focus on gaining better insights and implementing strategies to better reduce risk.