Comprendere la risposta ai rischi, il monitoraggio e la creazione di report
Dopo il processo di valutazione dei rischi, il team Microsoft 365 Trust identifica i proprietari dei rischi e collabora con i team di assistenza per rispondere in modo appropriato ad ogni rischio. Il processo di mitigazione dei rischi sfrutta la progettazione Microsoft 365 esistente, le operazioni di assistenza ed i flussi di lavoro di conformità per consentire azioni tempestive e report accurati. Le attività di risposta, monitoraggio e rendicontazione sui rischi sono iterative e si concentrano sulla valutazione continua dello stato di avanzamento per affrontare rischi di alto livello che interessano Microsoft 365.
Risposto al rischio
Il team Microsoft 365 Trust si coordina con i team di assistenza per rispondere in modo appropriato ai rischi in base alla gravità del rischio. Le strategie di risposta ai rischi si suddividono in quattro categorie:
- Tolleranza: aree di esposizione a basso rischio con un basso livello di controllo.
- Intervento: aree di esposizione a basso rischio in cui i controlli sono ritenuti adeguati.
- Monitoraggio: aree di esposizione ad alto rischio in cui i controlli sono ritenuti adeguati e devono essere monitorati per verificarne l'efficacia.
- Miglioramento: aree di esposizione ad alto rischio con un basso livello di controllo che hanno la massima priorità nell'affrontare il problema.
I team di assistenza interessati collaborano con il team Microsoft 365 Trust per sviluppare piani di azione dettagliati per rispondere ai rischi identificati per i relativi servizi. La gravità del rischio assegnata come parte della valutazione dei rischi determina il livello appropriato di revisione e approvazione per questi piani. Il team Microsoft 365 Trust tiene traccia dei rischi di alto livello e si coordina con i team di assistenza per garantire che i piani di azione vengano implementati in modo efficace. I proprietari dei rischi si confrontano regolarmente con il team Microsoft 365 Trust per aggiornare i punteggi di rischio e valutare i progressi rispetto alla risoluzione dei rischi identificati.
Monitoraggio e rendicontazione dei rischi
I rischi identificati come parte della valutazione dei rischi vengono monitorati e segnalati alle parti interessate pertinenti. Incontri regolari tra i proprietari dei rischi e il team Microsoft 365 Trust includono una revisione dei risultati del monitoraggio per valutare lo stato di avanzamento del piano di azione per affrontare i rischi identificati. Se il monitoraggio indica che il piano non risolve in modo efficace i rischi identificati, il piano di azione viene aggiornato come parte della gestione dei rischi in corso.
I dati di monitoraggio e rendicontazione proveniente dalla Gestione dei rischi Microsoft 365 vengono incorporati nei report di valutazione dei rischi Microsoft 365. La gestione Microsoft 365 esamina questi report e fornisce la responsabilità per i rischi all'interno di Microsoft 365. I report di valutazione dei rischi Microsoft 365 informano anche le valutazioni dei rischi del programma ERM insieme a report simili di altre unità operative Microsoft.