Share via


[GDPRDemopalooza] Wie starte ich mit GDPR und wie kann ich das strukturiert organisieren? (Compliance Manager)

Basierend auf der GDPR / DSGVO Demopalooza hier das Demo zum Compliance Manager.

*UPDATE* Der Compliance Manager ist mittlerweile General Available (GA) - nachzulesen hier.

*UPDATE2* Screenshots des CMs nach GA upgedated und Absatz zum Scoring hinzugefügt

 

Wie immer aufgeteilt in zwei Bereiche: Das "Why" und das "How"

Why

Anforderungen an Compliance sind in der Regel komplex, herausfordernd zu überwachen und zeitintensiv zu implementieren. Und mit neuen Regulatorien und Anforderungen die permanent auf die zuständigen Stellen zu kommen ist es mehr als herausfordernd (zeitlich wie monetär) mit den Neuerungen Schritt zu halten. Dies gilt natürlich auch oder grade für das Thema GDPR / DSGVO

Der Compliance Manager unterstützt sie dabei die Compliance Übersicht an einer Stelle zu halten und zu managen. Dazu werden neben real-time Risikoassesments über die Microsoft Cloud Services auch sinnhafte Insights und optimierte Compliance Prozesse dargestellt.

@Interessierte Kunden: wir unterstützen gerne dabei Partner zu finden, die dieses Thema ganzheitlich unterstützen. Bitte sprechen sie hierzu ihren dedizierten Microsoft Ansprechpartner an

@Interessierte Partner: wir unterstützen gerne dabei in dem Thema die notwendige Readiness aufzubauen, so dass ihr das Thema bei und mit Kunden umsetzen könnt. Bitte sprecht dazu euren PDM/PTS oder Andreas oder mich direkt an.

How

  1. Öffnen des Compliance Managers (CM)
  2. Wer möchte kann sich die CM Tour anschauen oder hier der Demo folgen
  3. Zuerst legen wir ein neues Assessment über "+ Add Assessment" an und
  4. Nun können wir eine "Gruppe" auswählen, damit ist gemeint, dass man die Assessments z.B. zu Unternehmenseinheiten oder Lokationen gruppieren kann, es hat sich gezeigt, dass etwa "Europe", "US", "APAC" oder "Contoso Corp", "Contoso Financing", "Contoso R&D" gute Ansätze darstellen
    Ggf. können hier auch "default" Einträge aus anderen Assessments übernommen werden um doppelte Arbeit zu vermeiden
  5. Nach der Gruppe wählen wir als Produkt "Office 365" aus
  6. Im folgenden Dialog (natürlich) GDPR auswählen und dem Kind einen Namen geben, z.B. "GDPR" ;)
  7. Durch Click auf den Namen "GDPR" oder wie im Bild "My DSGVO" öffnen wir nun das Assessment
  8. Nun sehen wir neben den statistischen Daten zu unserem Assessment insb. 3 wichtige Bereiche:
    1. Office 365 in-Scope Cloud Services
    2. Microsoft Managed Controls
    3. Customer Managed Controls
      Der nächste Click erfolgt auf "Office 365 in-Scope Cloud Services". In dem aufgeklappten Bereich sehen wir alle Office 365 Services, die automatisch mit in das Assessment aufgenommen worden sind.
  9. Danach öffnen wir den Bereich "Microsoft Managed Controls" und anschließend direkt "Conditions for collection and processing"
  10. Hier sehen wir aus welchem Grund (=>Description) wir den Punkt "Legally binding personal data disclosures" aufgenommen haben, dass der Punkt bereits den Status "Implementiert" hat und, dass der Test dieses Controls erfolgreich statt gefunden hat. Click auf "More ⇓"
  11. Im "More" Bereich wird detaillierter auf die Implementierung eingegangen. [Optional]Click auf ein weiteres Control, z.B.: "Autority and Purpose" - wir sehen, dass alle "Microsoft Managed Controls" bereits implementiert sind und ihren jeweiligen Test erfolgreich bestanden haben, zum (großen) Teil durch externe Reviewer, u.a. bedingt durch erfolgte Zertifizierungen wie ISO 27001, 27017 und/oder 27018
  12. Nun schließen wir die "Microsoft Managed Controls" und öffnen "Customer Managed Controls" und gleich auch "More ⇓"
  13. Hier sehen wir eine leicht veränderte Ansicht, denn jetzt geht es darum sich nicht auf Microsoft zu verlassen, sondern seine eigenen Aktionen - basierend auf der durch Microsoft bereitgestellten und GDPR compliant Platform - zu beschreiben und den verantwortlichen Mitarbeiter zu definieren. Dazu click unterhalb von "Assessment Users" auf "Assign" und suchen einen adäquaten User, vergeben eine passende Priorität und schreiben noch passende Notizen in das dafür vorgesehene Feld und beenden die Aktion mittels des Clicks auf "Assign".
    CM assign a user
  14. Wer mag kann jetzt noch spannende Details über die Implementation einfügen, mir genügt i.d.R. ein Lorem Ipsum auf die Tastatur, wichtig ist in diesem Schritt, dass überhaupt eigene Zeichen in dem Details Feld stehen.
  15. Nun den Status aufklappen und beschließen, dass "Planned" aktuell passend ist.
  16. Als Testdatum gerne ein Datum in der nahen Zukunft auswählen und "Test result" auf "not assessed" stellen
  17. Für ein vollständiges Assessment ist natürlich unumgänglich alle Controls auszufüllen, dies sparen wir uns an dieser Stelle, denn die Verwendung und der Sinn und Zweck sollten jetzt hoffentlich klar geworden sein.
    Als nächstes scrollen wir nach oben [ich persönlich fände einen Button am Ende auch gar nicht verkehrt, habe ich der zuständigen PM bereits mitgeteilt/vorgeschlagen, gerne dafür voten] und clicken auf den Button "Export to Excel"
  18. Im bereitgestellten Excel (Beispiel) finden sich alle im CM eingetragenen Daten, incl. der "Microsoft Managed Controls"
    Excel Export

 

Die Möglichkeiten des Compliance Managers werden mit der Zeit sukzessive ausgebaut und auf weitere Microsoft Dienste/Platformen wie Microsoft Azure und Microsoft Dynamics 365 ausgeweitet.

 

Hinweise noch zu dem seit GA verfügbaren Score/Scoring der einzelnen Controls:

Grade wenn sich die Frage stellt: "Wo fange ich an?" bzw. "Worauf lege ich besonderen Wert?" kann man sich anhand des von Microsoft vorgegebenen Scorings leiten lassen und eine Prioritäten Liste erstellen. Dies war eins der meist nachgefragten Features aus der Beta Phase und dient dazu den Weg zu einer möglichen GDPR Readiness einfacher, bzw. gradliniger zu gestalten. Hier fließt die Erfahrung von Microsoft hinein, so dass dies gerne als Ausgangspunkt verwendet werden kann, sofern sich die betroffenen Verantwortlichen das Scoring zu Eigen machen.

 

 

Blogs Microsoft 365 - Compliance Manager preview

Support page Use Compliance Manager in the Service Trust Portal - preview

Video Compliance Manager preview product demo

 

Diese Demoanleitungen bieten einen Überblick zur Nutzung der jeweiligen Lösungen und Produkte im Kontext von DSGVO und stellt keine rechtlich bindende Aussage dar!