了解風險回應、監視和報告
在風險評估程序之後,Microsoft 365 信任團隊會確定風險擁有者並與服務團隊合作,以對每個風險做出適當的回應。 風險降低流程利用現有的 Microsoft 365 工程、服務作業和合規性工作流程,來達成及時的行動和準確的回報。 風險回應、監視和回報活動是反復性的,著重於持續評估解決 Microsoft 365 面臨高層級風險的進度。
風險回應
Microsoft 365 信任團隊會與服務團隊協調合作,根據風險嚴重性適當地回應風險。 風險回應策略分為四個類別:
- 容許:低風險暴露的區域與低層級的控制措施。
- 運作:低風險暴露的區域,其中控制措施被視為適當。
- 監視:高風險暴露的區域,其中控制措施被視為適當,但應進行監視其有效性。
- 改善:高風險暴露的區域,具有低層級的控制措施,這是最需要解決的問題。
受影響的服務團隊會與 Microsoft 365 信任團隊合作,開發詳細的行動計畫,以回應針對其服務識別的風險。 在風險評估中指派的風險嚴重性決定了這些計畫的適當審查和核准層級。 Microsoft 365 信任團隊會追蹤高層級風險,並協調服務團隊,以確保有效執行行動計畫。 風險擁有者會定期與 Microsoft 365 信任團隊開會,以更新風險分數,並評估解決已識別風險的進度。
風險監視與報告
會監視在風險評估過程中識別的風險,並回報給相關專案關係人。 風險擁有者和 Microsoft 365 信任團隊之間的定期會議會包括對監控結果的審查,以評估解決已識別風險的行動計畫進度。 如果監視指出計畫無法有效地解決已識別的風險,則會隨著持續風險管理來更新行動計畫。
Microsoft 365 風險管理的監視和報告資料會併入 Microsoft 365 風險評估報告中。 Microsoft 365 管理會審查這些報告,並提供 Microsoft 365 內的風險責任。 Microsoft 365 風險評估報告還為 ERM 計畫風險評估以及來自其他 Microsoft 業務部門的類似報告提供資訊。