Freigeben über


Compliance-Manager-Bewertung

Wichtig

Empfehlungen des Compliance-Managers sollten nicht als eine Garantie für Compliance interpretiert werden. Es liegt an Ihnen, die Effektivität von Kundenkontrollen gemäß Ihrer regulatorischen Umgebung zu bewerten und zu überprüfen. Diese Dienste unterliegen den Geschäftsbedingungen in den Produktbedingungen. Informationen zu Sicherheit und Compliance finden Sie auch im Microsoft 365-Lizenzierungsleitfaden.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre Organisation bei der Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Testversionshub. Erfahren Sie mehr über Anmelde- und Testbedingungen.

Grundlegendes zu Ihrer Compliancebewertung

Die Compliance-Manager-Dashboard zeigt Ihre gesamte Konformitätsbewertung an. Diese Bewertung misst Ihren Fortschritt bei der Durchführung empfohlener Verbesserungsaktionen innerhalb von Steuerelementen. Ihre Bewertung kann Ihnen helfen, Ihren aktuellen Compliancestatus zu verstehen. Es kann Ihnen auch helfen, Aktionen basierend auf ihrem Risikopotenzial zu priorisieren.

Ein Bewertungswert wird auf den folgenden Ebenen zugewiesen:

  1. Verbesserungsaktion: Jede Aktion hat je nach potenziellem Risiko unterschiedliche Auswirkungen auf Ihre Bewertung. Weitere Informationen finden Sie weiter unten unter Aktionstypen und Bewertung .

  2. Bewertung: Diese Bewertung wird anhand von Bewertungen von Verbesserungsaktionen berechnet. Jede Microsoft-Aktion und jede Verbesserungsaktion, die von Ihrem organization verwaltet wird, wird einmal gezählt, unabhängig davon, wie oft in einem Steuerelement darauf verwiesen wird.

Die Gesamtbewertung der Compliance wird anhand von Bewertungen von Verbesserungsaktionen berechnet, wobei jede Microsoft-Aktion einmal gezählt wird, jede von Ihnen verwaltete technische Aktion einmal und jede nicht technische Aktion, die Sie verwalten, einmal pro Gruppe gezählt wird. Diese Logik ist so konzipiert, dass sie die genaueste Abrechnung darüber bietet, wie Aktionen in Ihrem organization implementiert und getestet werden. Möglicherweise stellen Sie fest, dass dies dazu führen kann, dass Ihre gesamte Compliancebewertung vom Durchschnitt Ihrer Bewertungsergebnisse abweicht. Weitere Informationen zur Bewertung von Aktionen finden Sie weiter unten.

Anfängliche Bewertung basierend auf der Microsoft 365-Datenschutzbaseline

Compliance-Manager bietet Ihnen eine erste Bewertung basierend auf der Microsoft 365-Datenschutzbaseline. Diese Baseline umfasst eine Reihe von Kontrollen, die wichtige Vorschriften und Standards für den Datenschutz und die allgemeine Datengovernance umfassen. Diese Baseline bezieht sich hauptsächlich auf Elemente aus dem NIST CSF (National Institute of Standards and Technology Cybersecurity Framework) und der ISO (International Organization for Standardization), sowie aus FedRAMP (Federal Risk and Authorization Management Program) und der DSGVO (General Data Protection Regulation of the European Union).

Ihre anfängliche Bewertung wird gemäß der standardmäßigen Datenschutzbaselinebewertung berechnet, die für alle Organisationen bereitgestellt wird. Beim ersten Besuch sammelt Compliance Manager bereits Signale von Ihren Microsoft 365-Lösungen. Sie sehen auf einen Blick, wie Ihre organization im Verhältnis zu wichtigen Datenschutzstandards und -vorschriften funktioniert, und sehen sich die vorgeschlagenen Verbesserungsmaßnahmen an.

Da jede organization spezifische Anforderungen hat, ist Compliance Manager darauf angewiesen, dass Sie Bewertungen einrichten und verwalten, um Risiken so umfassend wie möglich zu minimieren und zu mindern.

Aktionstypen und Bewertung

Verbesserungsaktionen verfügen über Punkte, die vergeben werden, wenn Sie die Anforderungen für die Implementierung erfüllen. Ihre Aktion status wird innerhalb von 24 Stunden nach einer Änderung auf Ihrem Dashboard aktualisiert. Nachdem Sie eine Empfehlung zum Implementieren eines Steuerelements befolgt haben, sehen Sie in der Regel, dass das Steuerelement am nächsten Tag aktualisiert status.

Punkte werden pro Aktion und Bewertung vergeben. Wenn eine Aktion beispielsweise 10 Punkte wert ist, aber in zwei Bewertungen angezeigt wird, ist die Aktion für Ihren Mandanten insgesamt 20 Punkte wert. Eine Ausnahme gilt für technische Aktionen , die auf Ihren Mandanten ausgerichtet sind. Punkte für diese Aktionen werden einmal pro Aktion gewährt, unabhängig davon, zu wie vielen Gruppen die Aktion gehört.

Aktionen für Dienste, die von Microsoft Defender für Cloud unterstützt werden

Die Gesamtbewertung einer Verbesserungsaktion basiert auf dem Durchschnitt der Von ihren Abonnements empfangenen Bewertungen. Jedes Abonnement wird basierend auf der status der relevanten virtuellen Ressourcen bewertet.

Betrachten Sie beispielsweise eine Aktion mit zwei Abonnements, A und B. Abonnement A hat 0 von 1 Ressource abgeschlossen, und Abonnement B hat 1 von 2 Ressourcen abgeschlossen. Die Abonnementbewertungen sind: A ist 0 %, B 50 %. Die beiden Abonnementbewertungen werden gemittelt, um die Gesamtbewertung der Aktion von 25 % zu erhalten.

Ermitteln von Bewertungswerten

Aktionen wird ein Bewertungswert zugewiesen, der darauf basiert, ob sie obligatorisch oder willkürlich sind und ob sie präventiv, detektiv oder korrigierend sind.

Obligatorische und willkürliche Aktionen

  • Obligatorische Aktionen können weder absichtlich noch versehentlich umgangen werden. Ein Beispiel für eine obligatorische Aktion ist eine zentral verwaltete Kennwortrichtlinie, die Anforderungen für Kennwortlänge, Komplexität und Ablauf festlegt. Die Benutzer müssen diese Anforderungen erfüllen, um auf das System zugreifen zu können.

  • Nach Ermessen festgelegte Aktionen sind darauf angewiesen, dass Benutzer eine Richtlinie verstehen und einhalten. Beispielsweise ist eine Richtlinie, die benutzer dazu auffordert, ihren Computer unbeaufsichtigt zu sperren, eine freie Aktion, da sie vom Benutzer abhängig ist.

Präventions-, Detektiv- und Korrekturmaßnahmen

  • Aktionen zur Prävention adressieren spezifische Risiken. Zum Beispiel ist der Schutz von ruhenden Daten mittels Verschlüsselung eine präventive Aktion gegen Angriffe, Verstöße etc. Die Aufgabentrennung ist eine präventive Aktion, um Interessenkonflikte zu bewältigen und vor Betrug zu schützen.

  • Detektivaktionen überwachen Aktiv Systeme, um unregelmäßige Bedingungen oder Verhaltensweisen zu identifizieren, die Eindringlinge oder Sicherheitsverletzungen darstellen oder zur Erkennung von Eindringversuchen oder Sicherheitsverletzungen verwendet werden können. Beispiele hierfür sind die Überwachung des Systemzugriffs und privilegierte Administrative Aktionen. Überprüfungen zur Einhaltung gesetzlicher Bestimmungen sind eine Art von Detektivaktion, die verwendet wird, um Prozessprobleme zu finden.

  • Korrekturmaßnahmen versuchen, die negativen Auswirkungen eines Sicherheitsvorfalls auf ein Minimum zu beschränken, Korrekturmaßnahmen zu ergreifen, um die unmittelbaren Auswirkungen zu verringern, und den Schaden nach Möglichkeit rückgängig zu machen. Die Reaktion auf Datenschutzvorfälle ist eine Aktion zur Korrektur, das dazu dient, Schäden zu begrenzen und Systeme nach einer Verletzung wieder in einen funktionierenden Zustand zu versetzen.

Jeder Aktion wird im Compliance-Manager ein Wert zugewiesen, der auf dem Risiko basiert, das sie darstellt:

Typ Zugewiesene Bewertung
Präventiv obligatorisch 27
Vorbeugend, nach Ermessen 9
Detective obligatorisch 3
Detektiv nach Ermessen 1
Korrigierend, erforderlich 3
Korrigierender Ermessensspielraum 1

Werte des Compliance-Managers-Aktionspunkts.