Berechnung der Compliancebewertung

In diesem Artikel: Erfahren Sie, wie Compliance-Manager eine Compliancebewertung für Ihre Organisation berechnet. In diesem Artikel wird erläutert, wie Sie Ihre Bewertung interpretieren, was die Bewertung der Datenschutzgrundlinie umfasst, eine kontinuierliche Überwachung und wie verschiedene Arten von Aktionen verwaltet und bewertet werden.

Wichtig

Empfehlungen des Compliance-Managers sollten nicht als eine Garantie für Compliance interpretiert werden. Es liegt an Ihnen, die Effektivität von Kundensteuerelementen gemäß Ihrer regulatorischen Umgebung zu bewerten und zu überprüfen. Diese Dienstleistungen unterliegen den Allgemeinen Geschäftsbedingungen in den Produktbedingungen. Siehe auch Microsoft 365-Lizenzierungsleitfaden für Sicherheit und Compliance.

Tipp

Wenn Sie kein E5-Kunde sind, können Sie alle Premium-Features in Microsoft Purview kostenlos testen. Verwenden Sie die 90-tägige Testversion von Purview-Lösungen, um zu erfahren, wie robuste Purview-Funktionen Ihrer Organisation bei der Verwaltung der Anforderungen an Datensicherheit und Compliance helfen können. Starten Sie jetzt im Microsoft Purview-Complianceportal Testversionen-Hub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

So lesen Sie Ihre Compliancebewertung

Das Compliance-Manager-Dashboard zeigt Ihre allgemeine Compliancebewertung an. Diese Bewertung misst Ihre Fortschritte bei der Durchführung empfohlener Verbesserungsmaßnahmen innerhalb von Steuerelementen. Ihre Bewertung kann Ihnen helfen, Ihren aktuellen Compliancestatus zu verstehen. Es kann Ihnen auch helfen, Aktionen basierend auf ihrem Risiko zu priorisieren.

Ein Bewertungswert wird auf diesen Ebenen zugewiesen:

  1. Verbesserungsmaßnahme: Jede Aktion hat je nach potenziellem Risiko unterschiedliche Auswirkungen auf Ihre Bewertung. Ausführliche Informationen finden Sie unten unter Aktionstypen und -punkte .

  2. Bewertung: Diese Bewertung wird mithilfe von Verbesserungsaktionsergebnissen berechnet. Jede Von Ihrer Organisation verwaltete Microsoft-Aktion und jede Verbesserungsaktion wird einmal gezählt, unabhängig davon, wie oft in einem Steuerelement darauf verwiesen wird.

Die allgemeine Compliancebewertung wird anhand von Aktionsbewertungen berechnet, wobei jede Microsoft-Aktion einmal gezählt wird, jede von Ihnen verwaltete technische Aktion einmal gezählt wird und jede nicht technische Aktion, die Sie verwalten, einmal pro Gruppe gezählt wird. Diese Logik ist so konzipiert, dass sie die genaueste Abrechnung darüber bietet, wie Aktionen in Ihrer Organisation implementiert und getestet werden. Möglicherweise stellen Sie fest, dass dies dazu führen kann, dass sich Die Gesamtbewertung der Compliance vom Durchschnitt Ihrer Bewertungsergebnisse unterscheidet. Lesen Sie weiter unten, wie Aktionen bewertet werden.

Anfängliche Bewertung basierend auf der Microsoft 365-Datenschutzgrundlinie

Compliance-Manager bietet Ihnen eine anfängliche Bewertung basierend auf der Microsoft 365-Datenschutzgrundlinie. Dieser Basisplan ist eine Reihe von Kontrollen, die wichtige Vorschriften und Standards für den Datenschutz und die allgemeine Datengovernance enthalten. Diese Basislinie stützt sich hauptsächlich auf NIST CSF (National Institute of Standards and Technology Cybersecurity Framework) und ISO (International Organization for Standardization), sowie auf FedRAMP (Federal Risk and Authorization Management Program) und DSGVO (General Data Protection Regulation of the European Union).

Ihre anfängliche Bewertung wird gemäß der standardmäßigen Bewertung der Datenschutzgrundlinie berechnet, die allen Organisationen zur Verfügung gestellt wird. Bei Ihrem ersten Besuch sammelt Compliance Manager bereits Signale von Ihren Microsoft 365-Lösungen. Sie werden auf einen Blick sehen, wie Ihre Organisation im Verhältnis zu den wichtigsten Datenschutzstandards und -vorschriften abläuft und welche Verbesserungsmaßnahmen sie ergreifen müssen.

Da jede Organisation spezifische Anforderungen hat, vertraut Compliance-Manager darauf, dass Sie Bewertungen einrichten und verwalten, um Risiken so umfassend wie möglich zu minimieren und zu minimieren.

Fortlaufende Bewertung von Steuerelementen durch Compliance-Manager

Compliance-Manager identifiziert automatisch Einstellungen in Ihrer Microsoft 365-Umgebung, mit denen ermittelt wird, wann bestimmte Konfigurationen die Implementierungsanforderungen für Verbesserungsmaßnahmen erfüllen. Compliance-Manager erkennt Signale von anderen Compliance-Lösungen, die Sie möglicherweise bereitgestellt haben, einschließlich Datenlebenszyklusverwaltung, Informationsschutz, Kommunikationscompliance und Insider-Risikomanagement, und nutzt auch die Microsoft Secure Score-Überwachung ergänzender Verbesserungsmaßnahmen.

Ihr Aktionsstatus wird innerhalb von 24 Stunden nach einer Änderung auf Ihrem Dashboard aktualisiert. Sobald Sie einer Empfehlung zum Implementieren eines Steuerelements folgen, wird in der Regel der Steuerelementstatus am nächsten Tag aktualisiert.

Wenn Sie z. B. die mehrstufige Authentifizierung (MFA) im Azure AD-Portal aktivieren, erkennt Compliance-Manager die Einstellung und spiegelt sie in den Details der Lösung für den Steuerelementzugriff wider. Wenn Sie MFA dagegen nicht aktiviert haben, kennzeichnet Compliance-Manager dies als empfohlene Aktion für Sie.

Erfahren Sie mehr über Die Sicherheitsbewertung und ihre Funktionsweise.

Aktionstypen und Punkte

Compliance-Manager verfolgt zwei Arten von Aktionen:

  1. Ihre Verbesserungsmaßnahmen: Verwaltet von Ihrer Organisation
  2. Microsoft-Aktionen: Verwaltet von Microsoft

Beide Arten von Aktionen haben Punkte, die nach Abschluss ihres Gesamtergebnisses zählen.

Technische und nicht technische Maßnahmen

Aktionen werden nach technischen oder nicht technischen Aspekten gruppiert. Die Bewertungswirkung jeder Aktion unterscheidet sich je nach Typ.

  • Technische Aktionen werden durch Interaktion mit der Technologie einer Lösung (z. B. Ändern einer Konfiguration) implementiert. Die Punkte für technische Aktionen werden einmal pro Aktion gewährt, unabhängig davon, zu wie vielen Gruppen sie gehören.

  • Nicht-technische Aktionen werden von Ihrer Organisation verwaltet und auf andere Weise implementiert, als mit der Technologie einer Lösung zu arbeiten. Es gibt zwei Arten von nicht technischen Aktionen: Dokumentation und betriebsbereit. Die Punkte für diese Aktionen werden auf Ihre Compliancebewertung auf Gruppenebene angewendet. Dies bedeutet: Wenn eine Aktion in mehreren Gruppen vorhanden ist, erhalten Sie bei jeder Implementierung innerhalb einer Gruppe den Punktwert der Aktion.

Beispiel für die Bewertung technischer und nicht technischer Aktionen:

Angenommen, Sie haben eine technische Aktion im Wert von 3 Punkten, die in 5 Gruppen vorhanden ist, und Sie haben eine nicht technische Aktion im Wert von 3 Punkten, die in denselben 5 Gruppen vorhanden ist.

Wenn Sie die technische Aktion erfolgreich implementieren, beträgt die Gesamtanzahl der erhaltenen Punkte 3. Dies liegt daran, dass Sie die Aktion nur einmal für Ihren Mandanten implementieren müssen. Der Implementierungs- und Teststatus für die technische Aktion wird in allen Instanzen dieser Aktion in jeder Gruppe, zu der sie gehört, gleich angezeigt.

Wenn Sie die nicht technische Aktion in jeder der fünf Gruppen erfolgreich implementieren, beträgt die Gesamtanzahl der erhaltenen Punkte 15. Dies liegt daran, dass Sie die Aktion in jeder Gruppe implementieren müssen. Der Implementierungs- und Teststatus der nicht technischen Aktion unterscheidet sich gruppenübergreifend, da die Aktion in jeder ihrer Gruppen separat implementiert wird.

Diese Bewertungslogik soll die genaueste Abrechnung der Implementierung und Tests von Aktionen in Ihrer Organisation ermöglichen.

So werden Scorewerte bestimmt

Aktionen wird ein Bewertungswert zugewiesen, je nachdem, ob sie obligatorisch oder nach Eigenem Ermessen sind und ob sie präventiv, detektiv oder korrigierend sind.

Obligatorische und diskrete Maßnahmen

  • Obligatorische Aktionen können weder absichtlich noch versehentlich umgangen werden. Ein Beispiel für eine obligatorische Aktion ist eine zentral verwaltete Kennwortrichtlinie, die Anforderungen für Kennwortlänge, Komplexität und Ablauf festlegt. Die Benutzer müssen diese Anforderungen erfüllen, um auf das System zugreifen zu können.

  • Diskretionäre Aktionen basieren darauf, dass Benutzer eine Richtlinie verstehen und einhalten. Beispielsweise handelt es sich bei einer Richtlinie, bei der Benutzer aufgefordert werden, ihren Computer zu sperren, wenn sie sie verlassen, um eine aktion nach eigenem Ermessen, da sie vom Benutzer abhängt.

Präventive, detektivische und korrigierende Maßnahmen

  • Aktionen zur Prävention adressieren spezifische Risiken. Zum Beispiel ist der Schutz von ruhenden Daten mittels Verschlüsselung eine präventive Aktion gegen Angriffe, Verstöße etc. Die Aufgabentrennung ist eine präventive Aktion, um Interessenkonflikte zu bewältigen und vor Betrug zu schützen.

  • Detektivaktionen überwachen Systeme aktiv, um unregelmäßige Bedingungen oder Verhaltensweisen zu identifizieren, die ein Risiko darstellen oder die verwendet werden können, um Angriffe oder Verstöße zu erkennen. Beispiele hierfür sind systemzugriffsüberwachung und privilegierte Administrative Aktionen. Audits zur Einhaltung gesetzlicher Vorschriften sind eine Art von Detektivaktion, die verwendet wird, um Prozessprobleme zu finden.

  • Korrekturmaßnahmen versuchen, die negativen Auswirkungen eines Sicherheitsvorfalls auf ein Minimum zu beschränken, Korrekturmaßnahmen zu ergreifen, um die sofortige Wirkung zu verringern, und den Schaden nach Möglichkeit rückgängig zu machen. Die Reaktion auf Datenschutzvorfälle ist eine Aktion zur Korrektur, das dazu dient, Schäden zu begrenzen und Systeme nach einer Verletzung wieder in einen funktionierenden Zustand zu versetzen.

Jeder Aktion wird im Compliance-Manager ein Wert zugewiesen, der auf dem Risiko basiert, das sie darstellt:

Typ Zugewiesene Bewertung
Präventive Pflicht 27
Vorbeugend, nach Ermessen 9
Detektiv obligatorisch 3
Detektiv nach eigenem Ermessen 1
Korrigierend, erforderlich 3
Korrektur nach eigenem Ermessen 1

Compliance-Manager-Aktionspunktwerte.