在合規性管理員中建立及管理評估

本文內容: 瞭解如何建立及管理 評估,以自訂群組織的合規性管理員。 本文將引導您瞭解如何建立評估,如何將其組織成 群組、使用 控制項、接受 更新,以及匯出評估 報告

評估簡介

合規性管理員可協助您建立評估,以評估適用于貴組織的行業及地區規章的相容性。 評估是以評估範本的架構為基礎,其中包含必要的控制項、改進動作,以及在適用的情況下,Microsoft 動作可用於完成評估。 為您的組織設定最相關的評估,可協助您實施原則和操作程式,以限制法規遵從性風險。

您的所有評估均列在合規性管理員的 [評估] 索引標籤上。 深入瞭解 如何篩選您的評估和轉譯狀態狀態。

重要

組織可用來建立評估的範本,取決於您的授權合約。 查看授權詳細資料

資料保護基準的預設評估

為了讓您開始,Microsoft 會在合規性管理員中提供 Microsoft 365 資料保護基準預設 評估。 此基準評估有一組適用于資料保護和一般資料管理的重要規章和標準的控制項。 此基線主要從 NIST CSF,主要從 NIST (中繪製元素。) 和 ISO (國際性組織的標準化) ,以及 FedRAMP (聯邦風險和授權管理計畫) 和 GDPR (歐盟) 的一般資料保護法規。

在您設定任何其他評估之前,您第一次在合規性管理員中計算最初的合規性分數時,會使用這種評估。 合規性管理員會從您的 Microsoft 365 解決方案收集初始信號。 您將會很快看到組織相對於重要資料保護標準與法規的執行方式,並查看建議採取的改進動作。

在您建立及管理自己的評估以符合組織的特定需求時,合規性管理員會變得更有説明。

在建立評估之前深入瞭解群組

當您建立評估時,您必須將其指派給群組。 群組是容器,可讓您以合理的方式組織評估,例如依年或法規,或根據組織的部門或地理區域。 這就是我們建議您在建立評估之前規劃分群組原則的原因。

以下是兩個群組和其基礎評估的範例:

  • FFIEC 是評估2020
    • FFIEC 是
  • 資料安全性和隱私權評估
    • ISO 27001:2013
    • ISO 27018:2014

群組或群組內的不同評估可能會共用改進動作。 改進動作可能是您在對應至您的租使用者的技術解決方案中所做的變更,例如開啟二因素驗證或您在系統外執行的非技術動作,例如 instituting 新的工作場所原則。 您對技術改進動作所做的任何更新,都將透過評估的所有群組挑選。 非技術改進動作將會透過您套用的群組內的評估加以識別。 這可讓您同時執行一個改進動作並同時滿足數項需求。

建立群組

您可以在建立新的評估時建立群組。 群組無法建立為獨立實體。

使用群組時的須知

  • 群組至少必須包含一項評估。
  • 群組名稱在您的組織中必須是唯一的。
  • 群組沒有安全性屬性。 擁有權限都與評估相關聯。
  • 將評估新增至群組之後,就無法變更該群組。
  • 如果您將新的評估新增至現有的群組,則會將該群組中評估的一般資訊複製到新的評估。
  • 完成時,相同群組內的相關評估控制項會自動更新。
  • 群組可以包含同一個憑證或法規的評估,但是每個群組只能包含特定產品認證組的一個評估。 例如,群組不可包含 Office 365 和 NIST CSF 的兩項評估。 只有在每個群組的對應憑證或法規不同時,群組才可以包含同一個產品的多項評估。
  • 刪除評估會中斷這種評估與群組之間的關聯。
  • 無法手動刪除群組。

建立評估

若要建立評估,您會使用一個嚮導來選取它應使用的範本,並設定評估的屬性。 範本包含評估的控制項和動作建議,取決於不同隱私權法規和標準的認證。 組織可用的範本可能包含一或多個範本,其中包含授權合約的一部分,以及您購買的任何其他精品範本。 每個範本(包含或津貼)都存在於兩個版本中:一個用於 Microsoft 365,另一個是可供您使用的其他產品量身定制的通用版本。 若要深入瞭解範本,請參閱使用 評估範本

注意

只有擁有全域管理員、合規性管理員管理或合規性管理員 Assessor 角色的使用者,才可以建立及修改評估。 深入瞭解 角色和許可權

若要開始建立評估,請遵循下列步驟。

  1. 請知道您要將評估指派給哪一個群組,或為這項評估建立新的群組。

  2. 開啟評估嚮導。 您可以從下列兩個位置之一存取此彈出窗格:

    • 移至 [合規性管理員] 中的 [ 評估 ] 頁面,然後選取 [ 新增評估];或
    • 在 [ 評估範本 ] 索引標籤上,尋找您要使用的範本,查看其詳細資料,然後選取 [ 建立評估]。 這會為您填入嚮導的範本選擇欄位。
  3. 選取範本:如果您在步驟2中尚未選擇範本,請選擇要作為評估基礎的範本。 您會看到 [納入包含的範本] 和 [特優] 類別清單中 (請參閱 範本類型 以取得詳細資訊) 。 選取所選範本旁的選項按鈕,然後選取 [下一步]

  4. 產品、名稱及群組: 設定這些屬性以識別評估,選擇要評估的產品,並將其指派給群組。

    • 產品:如果您是使用通用範本,請選取是否要為新產品或您已在合規性管理員中定義的現有自訂產品建立這項評估。 如果您選擇新的產品,請輸入其名稱。 請注意,使用通用範本時,您無法選取 [Microsoft 365 做為產品。 如果您使用 Microsoft 365 範本,則會填入此欄位,以指出 Microsoft 365 且無法變更。
    • 名稱:在 [ 評估名稱 ] 欄位中輸入評估的名稱。 在群組內,評估名稱必須是唯一的。 如果評估的名稱與任何指定群組中的另一個評估名稱相符,您會收到錯誤要求您建立不同的名稱。
    • 群組:將評估指派給群組。 您可以:
      • 選取 [ 使用現有的群組 將其指派給您已建立的群組]。或
      • 選取 [ 建立新的群組 ],以建立新的群組,並將這種評估指派給該群組:
        • 決定群組的名稱,並在選項按鈕底下的欄位中輸入。
        • 您可以選取適當的方塊, 從現有的群組(例如「執行」和「測試」的詳細資料及檔)複製資料。

    完成時,選取 [下一步]

  5. 審閱並完成: 嚮導的最後一個畫面會顯示針對評估所選擇的範本、名稱和群組。 您可以從畫面上的連結編輯任何這些設定,讓您回到嚮導的相關步驟。 當您準備好時,請選取 [ 建立評估]。

  6. 下一個畫面會確認您已成功建立新的評估。 選取 [ 完成 ] 以關閉嚮導,新評估的 [詳細資料] 頁面會出現在螢幕上。

如果在選取 [建立評估] 之後看到 [評估失敗] 畫面,請選取 [重試] 以重新建立評估。

您可以在建立評估之後,在 評估的 [詳細資料] 頁面的右上角選取 [編輯名稱] 按鈕,以變更評估的名稱。

監視評估進度和控制措施

每個評估都有詳細資料頁面,可提供您完成評估的進展一覽。 頁面會顯示您在 [完成] 控制項中的進度,以及這些控制項內重要改進動作的測試狀態。

概覽] 索引標籤

[一覽表] 索引標籤包含圖形,顯示評估的完成百分比。 此圖形包含您所擁有之動作的點數細分,以及 Microsoft 所擁有的動作點,所以您可以查看需要多少點才能完成評估。

評估中控制項的重要改進動作會以對取得點數的最大潛在影響為序列出。 關聯的圖表詳述您的改善動作的匯總測試狀態,這樣您就能快速估量已測試的內容和仍需完成的工作。

若要存取個別的改善動作,請流覽 [ 控制項 ] 索引標籤或 [ 改進動作 ] 索引標籤。

[控制項] 索引標籤

[控制項] 索引標籤會顯示對應到評估的每個控制項的詳細資訊。 控制項狀態細目 圖表會顯示依系列的控制項狀態,因此您可以快速查看控制項的分組需要注意。

在圖表底下,表格會列出評估中每個控制項的詳細資訊。 控制項依控制項系列群組。 展開每個系列名稱,以顯示其所包含的個別控制項。 每個控制項所列的資訊包括:

  • 控制項標題
  • 狀態:反映控制項內之改進動作的測試狀態
    • 傳遞-所有改進動作的測試狀態為「已傳遞」,或是至少有一個已傳遞,其餘部分則是「超出範圍」
    • 失敗 -至少有一個改進動作的測試狀態為 "Failed"
    • None -尚未測試所有改進動作
    • 超出範圍 -這項評估的所有改進動作都超出範圍
    • 進行中 的改進動作的狀態不是上面所列的狀態,可能包括「進行中」、「部分信用」或「未檢測」。
  • 控制項識別碼:控制項的標識號,由其對應的規章、標準或原則所指派
  • 達到的點數:完成動作所取得的點數,已超出可達到的點數總數目
  • 您的動作:您的動作數目已完成,待完成的動作總數
  • Microsoft 動作: microsoft 完成的動作數目

若要查看控制項的詳細資料,請從表格中的列選取它。 [控制項詳細資料] 頁面會顯示圖形,指出該控制項內動作的測試狀態。 圖形下方的表格會顯示該控制項的重要改進動作。

從清單中選取 [改進動作],以深入瞭解改進動作的詳細資料頁面。 [詳細資料] 頁面會顯示測試狀態和執行附注,並啟動建議的解決方案。

您的 [改進動作] 索引標籤

[提升] 動作的索引標籤會列出評估中組織所管理的所有控制項。 狀態列詳述評估中您的改善動作的匯總測試狀態,因此您可以快速估量已測試的內容和仍需完成的工作。 在此列的下方,會完整列出改進動作和重要資訊,包括:測試狀態、潛在和獲得的點數、相關的規章和標準、適用的解決方案、動作類型和控制系列。 深入瞭解 行動對您的合規性分數有何影響

選取 [改進動作] 以查看其 [詳細資料] 頁面,然後選取 [ 立即啟動 ] 連結,以開啟解決方案以採取動作。

Microsoft 動作] 索引標籤

[Microsoft 動作] 索引標籤會根據範本的 Microsoft 365 版本,顯示評估。 它會列出 Microsoft 所管理評估中的所有動作。 此清單顯示重要的動作詳細資料,包括:測試狀態、影響整體合規性分數的點、相關的規章和標準、適用的解決方案、動作類型和控制系列。 選取 [改進動作] 以查看其詳細資料頁面。

深入瞭解 如何追蹤和評分控制項和改進動作。

接受評估的更新

當評估有可用的更新時,您會看到一則通知,您可以選擇接受更新,也可以選擇將其推遲一段時間。

什麼導致更新

評估更新會在有影響計分的基準範本變更時發生。 變更可能包括調整控制項對應或根據法規變更或產品變更的其他指導方針。 評估更新可以發自您的組織 (例如, 修改自訂範本) 以及從 Microsoft。

如果 Microsoft 更新您已擴充的合規性管理員範本,您的評估會在您接受這些更新後繼承這些更新。 您的評估將保留您在擴充評估時所套用的其他屬性。

您所建立的自訂評估不會接收任何來自 Microsoft 的範本更新。 自訂評估可能會收到改進動作更新,但是任何 Microsoft 更新,以控制評估與改進動作之間的對應,不適用於自訂範本。

注意

評估的更新只適用于群組層級。 如果您有兩個評估是由兩個不同群組中的相同範本所組成,每個評估將會有一個擱置的更新通知,而且您必須個別對各自群組中的每個評估接受更新。

您將在何處看到評估更新通知

「評估詳細資料」頁面也會在評估和更新旁顯示暫止的 更新 標籤。 選取 [評估] 以取得其詳細資料頁面。

「評估詳細資料」頁面上方的訊息,會顯示可供評估的更新。 選取橫幅中的「 複查更新 」按鈕,以查看特定變更,並接受或推遲更新。

「評估詳細資料」頁面也可能會列出具有 待處理的更新 標籤的 [改進] 動作。 這些更新是針對自身改進動作的特定變更,必須個別接受。 就診 [ 接受更新為改進動作 ] 以深入瞭解。

審閱更新以接受或延期

從 [評估詳細資料] 頁面中選取 [ 複查更新 ] 之後,畫面右側會顯示一個彈出窗格。 彈出窗格會提供以下有關暫止更新的主要詳細資料:

  • 範本標題
  • Microsoft、您的組織或特定使用者 (的更新來源)
  • 建立更新的日期
  • 說明更新的概述
  • 有關變更的特定詳細資料,包括對符合性分數的影響、評估的完成進度,以及對改進動作和控制項的特定變更數目。

選取 [更新的範本] 連結時,會下載包含待執行更新之範本版本之控制資料的 Excel 檔案。 選取 [ 目前的範本 ] 連結時,會下載現有範本的檔案,但不進行任何變更。

若要接受更新並對評估進行變更,請選取 [ 接受更新]。 可接受的變更是永久的。

如果您選取 [ 取消],將不會對評估套用更新。 不過,您會繼續看到 待處理的更新 通知,直到您接受更新為止。

為什麼建議您接受更新

接受更新有助於確保您具備使用解決方案的最新指導方針,並採取適當的改進動作,以協助您滿足目前的認證需求。

為何您可能想要推遲更新

如果您正在完成評估,您可能會想要確定已完成的工作,再接受評估可能中斷控制項對應的更新。 您可以在 [審閱更新] 浮出窗格上選取 [ 取消 ],以推遲更新的時間。

匯出評估報告

您可以將評估匯出至組織中的合規性專案關係人或外部審計員和調節器的 Excel 檔案。 在 [評估詳細資料] 頁面上,選取頁面頂端旁邊的 [產生報告] 按鈕,以建立您可以儲存及共用的 Excel 檔案。

報表是指匯出之日期和時間為止的評估快照。 它包含由您和 Microsoft 所管理之控制項的詳細資料,包括實施狀態、測試日期及測試結果。

刪除評估

刪除評估會將其從評估頁面上的清單中移除。 請注意,有關刪除評估的要點:

  • 刪除評估是永久性的;您無法將其取回。 如果您想要再次使用相同的評定,您必須重新建立。
  • 如果評估中的 [評估] 動作未出現在任何其他評估中,當評估刪除時,系統會將其刪除。
  • 建議您先 匯出評估報告 ,再永久刪除。

若要刪除評估,請執行下列步驟:

  1. 在 [ 評估 ] 頁面中,選取您要刪除的評估,以開啟評估的 [詳細資料] 頁面。

  2. 選取螢幕右上角的 [ 刪除評估 ]。

  3. 隨即會出現一個視窗,詢問您是否要永久刪除評估。 選取 [ 刪除評估 ] 以關閉視窗。 您將會看到一個確認視窗,表明您已從合規性管理員中刪除評估。

如果您只刪除群組中的唯一評估,該群組也會從合規性管理員中刪除。

注意

您無法刪除所有評估。 組織至少需要一個評估合規性管理員才能正常運作。 如果您想要刪除的評估只有一個,請在刪除其他評估之前,先新增另一個評估。