合規性分數計算

本文內容: 瞭解合規性管理員如何計算組織的合規性分數。 本文說明如何 轉譯您的分數資料保護基準評估 包含的內容、 連續監控,以及 如何管理和計分不同類型的動作

重要

您不應將 [合規性管理員] 提供的建議視為合規性的保證。 您可以根據法規環境評估和驗證客戶控制措施的效能。 這些服務須遵守 線上服務條款中的條款及條件。 另請參閱Microsoft 365 授權指南以取得安全性和合規性

如何閱讀您的合規性分數

合規性管理員儀表板會顯示您的整體合規性分數。 這個分數會度量您在完成控制項中建議的改進動作時的進度。 您的分數可協助您瞭解目前的相容性狀況。 它也可協助您根據其可能降低風險的可能性來排定動作優先順序。

分數值會指派給三個層級:

  1. 改進動作分數:每項動作對您的分數有不同的影響,取決於可能的風險

  2. 控制分數:此分數是在控制項內完成改進動作所取得的點數總和。 當控制項同時滿足下列兩個條件時,此總和會整體套用到整體合規性分數:

    • 實施狀態 等於 [已 實現 ] 或 [ 替代] 實施,以及
    • 通過****測試結果 equals。
  3. 評估分數:此分數是控制項分數的總和。 它是以動作分數計算。 每個 Microsoft 動作和您組織所管理的每個改進動作都會計算一次,不論它在控制項中的參照頻率為何。

整體符合性分數是以動作分數計算,其中每個 Microsoft 動作都會計算一次,每個您管理的技術動作都會計算一次,而您管理的每個非技術動作都會針對每個群組計算一次。 此邏輯的設計目的是要提供在您的組織中執行和測試動作的最準確會計。 您可能會注意到,這可能會導致您的整體合規性分數與評估分數的平均不同。 請閱讀下列有關 如何對動作進行計分的詳細資訊。

根據 Microsoft 365 資料保護基準的初始分數

合規性管理員會根據 Microsoft 365 資料保護基準,為您提供初始分數。 此基準是一組控制項,包含資料保護和一般資料控管的重要規章和標準。 此基線主要從 NIST CSF,主要從 NIST (中繪製元素。) 和 ISO (國際性組織的標準化) ,以及 FedRAMP (聯邦風險和授權管理計畫) 和 GDPR (歐盟) 的一般資料保護法規。

根據提供給所有組織的預設資料保護基準評估,計算您的初始分數。 在您第一次造訪時,合規性管理員已經從您的 Microsoft 365 解決方案中收集信號。 您將會很快看到組織相對於重要資料保護標準與法規的執行方式,並查看建議採取的改進動作。

因為每個組織都有特定需求,所以合規性管理員必須視您設定及管理評估,以盡可能將風險降至最低並盡可能降低。

合規性管理員如何持續評估控制項

合規性管理員會自動掃描您的 Microsoft 365 環境,並偵測您的系統設定,持續並自動更新您的技術動作狀態。 Microsoft Secure 得分是執行監控的基礎引擎。

您的儀表板每24小時就會更新一次動作狀態。 一旦您遵循執行控制項的建議,您通常會在下一天看到控制項狀態已更新。

例如,如果您在 Azure AD 入口網站中開啟多重要素驗證 (MFA) ,合規性管理員會偵測設定,並將其反映在控制存取解決方案的詳細資料中。 相反地,如果您未開啟 MFA,合規性管理員旗標為您採取建議的動作。

深入瞭解 安全性分數及其運作方式

動作類型和點

合規性管理員追蹤兩種類型的動作:

  1. 您的改善動作:您的組織管理的動作。
  2. Microsoft 動作: microsoft 管理的動作。

這兩種類型的動作都會在完成時算作整體分數。

技術和非技術動作

動作的分組方式不論是技術或非技術性質。 每個動作的計分影響依類型而有所不同。

  • 技術動作 的實施方式是與方案的技術互動 (例如,變更設定) 。 每個動作只會授與技術動作點一次,不論其所屬的群組數目為何。

  • 非技術動作 是由您的組織管理,並以不使用解決方案技術的方式來執行。 非技術動作的類型有兩種: 運作。 這些動作的點會套用至群組層級的合規性分數。 這表示如果有多個群組中的動作,當您每次在群組中執行它時,您會收到該動作的 point 值。

技術和非技術動作計分的範例:

假設您的技術動作相當於5群組中的3點,而您的非技術動作值得三分,但在相同5個群組中有。

如果您成功執行技術動作,您收到的點數總數為3。 這是因為您只需要針對租使用者執行一次該動作。 技術動作的「實施」和「測試」狀態會在該動作的所有實例中顯示相同的專案。

如果您已在5個群組中成功地執行非技術動作,您收到的點數總數為15。 這是因為您必須在每個群組中執行動作。 非技術動作的實施和測試狀態會因群組而異,因為其各個群組內會分開執行該動作。

這個計分邏輯的設計目的是為了提供在組織中執行和測試動作的最準確的會計。

決定計分值的方式

會根據動作為強制或選擇性,以及是否為預防性、偵探或糾正動作,指派分數值。

強制和自由的動作

  • 不能故意或無意中略過強制執行的 動作。 強制執行動作的範例是一個集中管理的密碼原則,可設定密碼長度、複雜性和到期的需求。 使用者必須遵循這些需求來存取系統。

  • 自由動作 會依據使用者來瞭解和遵循原則。 比方說,要求使用者在離開座位前鎖定電腦就是選擇型動作的原則,因為它需要仰賴使用者的配合。

預防性、偵探和修正動作

  • 預防型動作 可處理特定風險。 舉例來說,使用加密來保護資訊就是針對攻擊和資料外洩等風險的預防型動作。 職責分工是管理利益衝突及防堵詐騙的預防型動作。

  • 偵探動作 主動監視系統,以找出未規律的條件或行為,以找出風險或可能用來偵測入侵或違規的行為。 範例包括系統存取審核和特權管理動作。 法規遵從性審核是一種可用於尋找處理常式問題的偵探動作類型。

  • 糾正動作 會嘗試將安全性事件的不利影響降至最低,採取糾正動作來降低立即效果,並盡可能將損毀。 隱私權事件回應是一種矯正型動作,會在遭到侵害後限制損傷並將系統還原至可以運作的狀態。

在合規性管理員中,每個動作都會以其所代表的風險指派值:

類型 指派分數
預防性強制 7
預防選擇型 9
偵探強制 3
偵探自由 1
強制矯正型 3
隨機糾正 1

合規性管理員動作點值。