준수 점수 계산

이 문서에서는 다음을 수행합니다 . 준수 관리자가 조직의 준수 점수를 계산하는 방법을 알아봅니다. 이 문서에서는 점수를 해석하는 방법, 데이터 보호 기준 평가 에 포함된 내용, 지속적인 모니터링다양한 유형의 작업을 관리하고 채점하는 방법을 설명합니다.

중요

준수 관리자의 권장 사항을 준수 보장으로 해석하면 안 됩니다. 규정 환경에 따라 고객 제어의 효과를 평가하고 유효성을 검사하는 것은 사용자의 책임입니다. 이러한 서비스는 제품 약관의 사용 약관에 따라 달라질 수 있습니다. 보안 및 규정 준수에 대한 Microsoft 365 라이선스 지침도 참조하세요.

E5 고객이 아닌 경우 Microsoft Purview의 모든 프리미엄 기능을 무료로 사용해 볼 수 있습니다. 90일간의 Purview 솔루션 평가판을 사용하여 강력한 Purview 기능이 조직에서 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 어떻게 도움이 되는지 살펴봅니다. 이제 Microsoft Purview 규정 준수 포털 평가판 허브에서 시작합니다. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

규정 준수 점수를 읽는 방법

준수 관리자 대시보드에는 전체 준수 점수가 표시됩니다. 이 점수는 컨트롤 내에서 권장되는 개선 작업을 완료하는 진행률을 측정합니다. 점수는 현재 규정 준수 상태를 이해하는 데 도움이 될 수 있습니다. 또한 위험을 줄일 수 있는 잠재력에 따라 작업의 우선 순위를 지정하는 데 도움이 될 수 있습니다.

점수 값은 다음 수준에서 할당됩니다.

  1. 개선 작업: 각 작업은 관련된 잠재적 위험에 따라 점수에 다른 영향을 줍니다. 자세한 내용은 아래 의 작업 유형 및 점을 참조하세요.

  2. 평가: 이 점수는 개선 작업 점수를 사용하여 계산됩니다. 조직에서 관리하는 각 Microsoft 작업 및 각 개선 작업은 컨트롤에서 참조되는 빈도에 관계없이 한 번 계산됩니다.

전체 규정 준수 점수는 작업 점수를 사용하여 계산됩니다. 여기서 각 Microsoft 작업은 한 번 계산되고, 관리하는 각 기술 작업은 한 번 계산되며, 관리하는 비기술 작업은 그룹당 한 번씩 계산됩니다. 이 논리는 조직에서 작업을 구현하고 테스트하는 방법에 대한 가장 정확한 회계를 제공하도록 설계되었습니다. 이로 인해 전반적인 준수 점수가 평가 점수의 평균과 다를 수 있습니다. 작업의 점수 매기기 방법에 대해 아래에서 자세히 읽어보세요.

Microsoft 365 데이터 보호 기준의 초기 점수

준수 관리자는 Microsoft 365 데이터 보호 기준에 따라 초기 점수를 제공합니다. 이 기준은 데이터 보호 및 일반 데이터 거버넌스에 대한 주요 규정 및 표준을 포함하는 컨트롤 집합입니다. 이 기준은 주로 NIST CSF(국립 표준 기술 사이버 보안 프레임워크 연구소) 및 ISO(국제 표준화 기구)뿐만 아니라 FedRAMP(연방 위험 및 권한 부여 관리 프로그램) 및 GDPR(유럽 연합의 일반 데이터 보호 규정)에서 요소를 그립니다.

초기 점수는 모든 조직에 제공된 기본 데이터 보호 기준 평가에 따라 계산됩니다. 처음 방문했을 때 준수 관리자는 이미 Microsoft 365 솔루션에서 신호를 수집하고 있습니다. 조직에서 주요 데이터 보호 표준 및 규정을 기준으로 수행하는 방식을 한눈에 확인하고 수행할 제안된 개선 조치를 확인할 수 있습니다.

모든 조직에 특정 요구 사항이 있기 때문에 Compliance Manager는 가능한 한 포괄적으로 위험을 최소화하고 완화하는 데 도움이 되는 평가를 설정하고 관리합니다.

준수 관리자가 컨트롤을 지속적으로 평가하는 방법

준수 관리자는 특정 구성이 개선 작업 구현 요구 사항을 충족하는 시기를 결정하는 데 도움이 되는 Microsoft 365 환경의 설정을 자동으로 식별합니다. 준수 관리자는 데이터 수명 주기 관리, 정보 보호, 통신 규정 준수 및 내부자 위험 관리를 포함하여 배포했을 수 있는 다른 규정 준수 솔루션의 신호를 감지하고 보완적인 개선 작업의 Microsoft 보안 점수 모니터링을 활용합니다.

작업 상태는 변경된 후 24시간 이내에 대시보드에서 업데이트됩니다. 권장 사항을 따라 컨트롤을 구현하면 일반적으로 다음 날 업데이트된 컨트롤 상태가 표시됩니다.

예를 들어 Azure AD 포털에서 MFA(다단계 인증)를 켜면 준수 관리자가 설정을 감지하고 제어 액세스 솔루션 세부 정보에 반영합니다. 반대로, MFA를 설정하지 않은 경우 준수 관리자는 권장 작업으로 플래그를 지정합니다.

보안 점수 및 작동 방식에 대해 자세히 알아봅니다.

작업 유형 및 점

준수 관리자는 다음 두 가지 유형의 작업을 추적합니다.

  1. 개선 작업: 조직에서 관리
  2. Microsoft 작업: Microsoft에서 관리

두 작업 유형 모두 완료 시 전체 점수에 계산되는 점수가 있습니다.

기술 및 비기술 작업

작업은 기술적 또는 비기술적 특성에 따라 그룹화됩니다. 각 작업의 점수 매기기 영향은 유형에 따라 다릅니다.

  • 기술 작업은 솔루션의 기술과 상호 작용하여 구현됩니다(예: 구성 변경). 기술 작업에 대한 포인트는 속한 그룹 수에 관계없이 작업당 한 번 부여됩니다.

  • 비기술 작업은 조직에서 관리하며 솔루션의 기술로 작업하는 것 이외의 방법으로 구현됩니다. 비기술 작업 유형에는 설명서 와 운영의 두 가지 유형이 있습니다. 이러한 작업에 대한 포인트는 그룹 수준의 준수 점수에 적용됩니다. 즉, 작업이 여러 그룹에 있는 경우 그룹 내에서 작업을 구현할 때마다 작업의 포인트 값을 받게 됩니다.

기술 및 비기술 작업의 점수를 매기는 방법의 예:

5개 그룹에 있는 3점의 기술 작업이 있고 동일한 5개 그룹에 있는 3점의 가치가 있는 비기술 작업이 있다고 가정해 보겠습니다.

기술 작업을 성공적으로 구현한 경우 받은 총 포인트 수는 3입니다. 테넌트에 대해 작업을 한 번만 구현하기 때문입니다. 기술 작업에 대한 구현 및 테스트 상태는 해당 작업의 모든 인스턴스, 속한 모든 그룹에서 동일하게 표시됩니다.

각 5개 그룹에서 비기술적 작업을 성공적으로 구현한 경우 받은 총 포인트 수는 15개입니다. 각 그룹에서 작업을 구현해야 하기 때문입니다. 비기술 작업에 대한 구현 및 테스트 상태는 각 그룹 내에서 개별적으로 구현되므로 그룹마다 다릅니다.

이 점수 매기기 논리는 조직에서 작업을 구현하고 테스트하는 방법에 대한 가장 정확한 회계를 제공하도록 설계되었습니다.

점수 값이 결정되는 방법

작업에는 필수 또는 임의인지 여부와 예방적, 형사적 또는 정정적 여부에 따라 점수 값이 할당됩니다.

필수 및 임의 작업

  • 필수 작업은 의도적으로 또는 실수로 바이패스할 수 없습니다. 필수 작업의 예는 암호 길이, 복잡성 및 만료에 대한 요구 사항을 설정하는 중앙에서 관리되는 암호 정책입니다. 사용자가 시스템에 액세스하려면 다음 요구 사항을 따라야 합니다.

  • 임의 작업은 사용자가 정책을 이해하고 준수해야 합니다. 예를 들어 사용자가 컴퓨터를 떠날 때 컴퓨터를 잠그도록 요구하는 정책은 사용자에 의존하므로 사용자 지정 작업입니다.

예방, 형사 및 수정 작업

  • 예방 작업은 특정 위험을 처리합니다. 예를 들어 암호화를 사용하여 보관 중인 정보를 보호하는 것은 공격, 위반 등에 대한 예방 작업입니다. 임무의 분리는 이해의 충돌을 관리하고 사기로부터 보호하기 위한 예방 작업입니다.

  • 형사 작업은 시스템을 적극적으로 모니터링하여 위험을 나타내거나 침입 또는 위반을 감지하는 데 사용할 수 있는 불규칙한 조건 또는 동작을 식별합니다. 예를 들어 시스템 액세스 감사 및 권한 있는 관리 작업이 있습니다. 규정 준수 감사는 프로세스 문제를 찾는 데 사용되는 일종의 형사 조치입니다.

  • 정정 작업은 보안 인시던트 부작용을 최소한으로 유지하고, 즉각적인 효과를 줄이기 위해 정정 조치를 취하고, 가능한 경우 피해를 되돌리려고 합니다. 개인 정보 보호 사고 대응은 손상을 제한하고 위반 후 시스템을 작동 상태로 복원하는 시정 작업입니다.

각 작업에는 다음을 나타내는 위험에 따라 준수 관리자에 할당된 값이 있습니다.

종류 할당된 점수
예방 필수 27
예방적 사용자 지정 9
형사 필수 3
형사 임의 1
수정 필수 사항 3
정정 임의 1

준수 관리자 작업 지점 값입니다.