Använda Efterlevnadshanteraren för att hantera förbättringsåtgärder

  • Artikel
  • 2 minuter för att läsa

Microsoft Compliance Manager kan hjälpa dig att hantera förbättringar relaterade till dataskyddsföreskrifter som EU:sallmänna dataskyddsförordning (GDPR), California Consumer Protection Act CCPA),HIPAA-HITECH (US Health Care Privacy Act) och Brazil Data Protection Act (LGPD).

Den här artikeln innehåller vägledning om hur du använder verktyget i datasekretesssyfte.

Anteckning

Rekommendationer från Compliance Manager ska inte tolkas som en garanti för överensstämmelse. Det är upp till dig att utvärdera och verifiera hur effektiv kundkontrollerna är i olika regelverk. Dessa tjänster omfattas av de allmänna villkoren i villkoren för onlinetjänster. Se även Microsoft 365 om licensiering för säkerhet och efterlevnad

Komma igång med Efterlevnadshanteraren

Vad är Efterlevnadshanteraren

Efterlevnadshanteraren är ett arbetsflödesbaserat riskutvärderingsverktyg i Microsoft 365 Efterlevnadscenter att hantera aktiviteter för regelefterlevnad som är relaterade till Microsofts molntjänster. Som en del av Microsoft 365- eller Azure Active Directory-prenumerationen (Azure AD) hjälper Efterlevnadshanteraren dig att hantera regelefterlevnad i den delade ansvarsfördelningsmodellen för Microsoft-molntjänster.

Redo att använda utvärderingar

Efterlevnadshanteraren tillhandahåller färdiga mallar för att skapa bedömningar som är anpassade till datasekretessrelaterade bestämmelser som GDPR och HIPAA/HITECH. Mallarna har inbyggd kontrollmappning som hjälper dig att vidta förbättringsåtgärder för att uppfylla kraven i reglerna. Varje bedömning innehåller information om de kontroller som krävs för varje regel som är specifika för måltjänsten, uppdelade upp av kontroller som du hanterar och kontroller som Microsoft hanterar.

Med hjälp av en färdig mall kan du snabbt komma igång med riskbedömning. Allt eftersom du snabbt kan använda Efterlevnadshanteraren kan du anpassa en färdig mall genom att lägga till egna kontroller och förbättringsåtgärder, eller så kan du skapa egna utvärderingar som passar organisationens behov.

Visa en fullständig lista över utvärderingsmallar som tillhandahålls av Efterlevnadshanteraren.

Efterlevnadspoäng i realtid

Efterlevnadshanteraren ger dig även ett efterlevnadsresultat som mäter hur långt du slutfört rekommenderade förbättringsåtgärder i kontroller. Du kan använda denna poäng för att övervaka dina framsteg och prioritera åtgärder baserat på deras möjlighet att minska risken.

Använda snabbstartsguiden för Efterlevnadshanteraren

Snabbstartsguiden för Efterlevnadshanteraren innehåller mer avancerad vägledning och länkar till viktiga resurser som hjälper dig att arbeta med Efterlevnadshanteraren:

Hur din efterlevnadspoäng beräknas

Efterlevnadsresultatet beräknas utifrån en kombination av microsoft- och kund hanterade kontrollimplementeringar. Se beräkningen av efterlevnadspoäng för en detaljerad förklaring.

Kontroller tilldelas ett poängvärde baserat på om de är obligatoriska eller godtyckliga, och om de är preventativa, godtyckliga eller korrigerande. Dessa utgör kollektivt risken att inte implementera den i förhållande till andra kontroller.

I den här artikeln om beräkning av efterlevnadsresultat får förebyggande kontroller ett högre poängresultat än de som är obligatoriska och obligatoriska kontroller ger högre poäng än godtyckliga.

I användargränssnittet för efterlevnadsresultat visas inte dessa parametrar, inte heller möjligheten att filtrera efter dem. Men om du hämtar den associerade mallen från Efterlevnadshanteraren visar den resulterande datauppsättningen de här parametrarna för de flesta bestämmelser.

För tekniska kontroller uppdaterar Efterlevnadshanteraren automatiskt förbättringsåtgärdsresultatet när åtgärden har implementerats och testats. Andra icke-tekniska kontrollåtgärder, till exempel åtgärder som fungerar eller relaterade till dokumentation, måste registreras manuellt så att de implementeras innan — — poäng räknas mot din poäng.

Du många implementerar även vissa förbättringsåtgärder för andra ändamål, till exempel om du använder bevarandeetiketter av andra orsaker än efterlevnad av datasekretesssregler, så du kan få kredit för att använda en sådan funktion även om den används för andra ändamål, och inte en del av en avsiktlig — — efterlevnadsåtgärd.

Efterlevnadsresultatet bör ses som ett relativt mått för att spåra förbättringar i bred skala. Du bör inte uppnå ett perfekt resultat.

Ytterligare vägledning

Här är några viktiga tips för hur du använder Efterlevnadshanteraren för att få bättre efterlevnad av datasekretess:

  • Varje datasekretessförordningen har en kombination av tekniska kontroller, dokumentationsspecifikationer och drift-, process- och rapporteringskrav. Alla dessa visas i förbättringsåtgärderna.

  • Om du vill fokusera vyn över förbättringsåtgärder i ditt intresse kan du filtrera efter åtgärdstyp på fliken Lösningar i efterlevnadshanterarens administratör. Läs mer om hur du filtrerar instrumentpanelen i Efterlevnadshanteraren.

  • Den relativa prioriteten för förbättringsåtgärder som identifieras i Efterlevnadshanteraren bör ses som en del av en bredare riskgranskning tillsammans med den datasekretessrisk du har fastställt att din organisation behöver hantera.

  • Även med aggregering för förbättringsåtgärder över flera efterlevnadskrav, om bedömningsmallarna för GDPR, LGPD, CCPA och HIPAA-HITECH väljs, visas till exempel nästan 400 förbättringsåtgärder i Efterlevnadshanteraren. Du kan förbättra den här långa listan med åtgärdsfiltret för förbättringar för att minska resultatet till en mer hanterbar lista.

  • Med filtret Kategorier kan du filtrera förbättringsåtgärder genom logisk gruppering, som artiklarna Spåra, Förhindra, Skydda, Behålla och Undersöka artiklar i den övergripande lösningen stämmer överens med.

  • Vissa kontroller som listas i förbättringsåtgärderna kan anses vara mer direkt knutna till en särskild regelartikel, medan andra kontroller kan vara mer indirekt kopplade till reglernas ande och många gånger är bara rekommenderade aktiviteter eller bästa metoder.