Einführung in das Risikomanagement unter Microsoft 365
Risikomanagement ist der Prozess der Identifizierung, Bewertung und Reaktion auf Bedrohungen oder Ereignisse, die sich auf unternehmen- oder kundenbezogene Ziele auswirken können. Wir bei Microsoft setzen auf ein effektives Risikomanagement, da ein wachsender Teil unseres Geschäfts cloudbasierte Dienste umfasst, die auf dem gesamten Spektrum der Computergeräte zur Verfügung stehen. Das Risikomanagement bei Microsoft ist so konzipiert, dass es neue Bedrohungen antizipiert und kontinuierliche Sicherheit für unsere Cloudsysteme und die Kunden bietet, die diese nutzen.
Der Risikomanagementprozess von Microsoft entspricht dem Enterprise-Risikomanagement (ERM) Framework. ERM unterstützt den gesamten Prozess des Risikomanagements im Unternehmen und die Zusammenarbeit mit der Unternehmensleitung, um die wichtigsten Risiken bei Microsoft zu erkennen und die Verantwortlichkeiten dafür sicherzustellen. Unser ERM-Programm richtet sich nach dem ISO 31000:2009-Risikomanagementstandard und dem Internal Control Framework des Committee of Sponsoring Organization (COSO), um sicherzustellen, dass wir branchenweit bewährte Methoden für das Risikomanagement einhalten.
Microsoft ERM ermöglicht gemeinsame Risikomanagementaktivitäten im gesamten Unternehmen, sodass Geschäftseinheiten unabhängig voneinander konsistente und vergleichende Risikobewertungen ermöglichen können. ERM stellt Geschäftsbereichen bei Microsoft gemeinsame Methoden, Tools und Ziele für den Risikomanagementprozess bereit. Microsoft 365 sowie andere Engineeringgruppen und Geschäftsbereiche nutzen diese Tools, um individuelle Risikobewertungen als Teil ihrer eigenen Risikomanagementprogramme unter dem ERM durchzuführen.
Microsoft 365-Risikomanagementteams folgen den Richtlinien des ERM, um Risiken über alle Microsoft 365-Dienste hinweg zu verwalten. Das Microsoft 365-Risikomanagementprogramm führt Interviews mit den Serviceteams, die Microsoft 365-Dienste entwerfen, erstellen und verwenden, um aktuelle Risiken und Problembereiche im Rahmen der fortlaufenden Aktivitäten zur Risikobewertung zu erkennen. Diese Aktivitäten werden zusammen mit der weiteren Analyse kontinuierlicher Überwachungsdaten, Audits und anderen Quellen verwendet, um Berichte zur Risikobewertung zu erstellen, in denen aktuelle und mögliche zukünftige Risiken für langfristige Geschäftsziele identifiziert werden. Berichte zur Risikobewertung bieten eine allgemeine Übersicht über die Risikoposition von Microsoft 365 basierend auf den Ergebnissen und dem Feedback von Microsoft 365-Teams. Zusammen mit ähnlichen Berichten aus anderen Geschäftsbereichen tragen Microsoft 365-Risikobewertungsberichte zu Risikobewertungen des ERM-Programms bei und liefern diesem entsprechende Daten.
Das Risikomanagement ist eine wichtige Aufgabe, die es Microsoft ermöglicht, seine Organisation, einzelne Geschäftsbereiche wie Microsoft 365 und seine Kunden zu schützen. In diesem Modul wird beschrieben, wie Microsoft Risiken auf Unternehmensebene managt. Außerdem werden die spezifischen Aktivitäten im Detail beschrieben, mit denen Microsoft 365 Risiken identifiziert, bewertet, meldet und überwacht.