다음을 통해 공유


준수 관리자 점수 매기기

중요

준수 관리자의 권장 사항을 준수 보장으로 해석하면 안 됩니다. 규정 환경에 따라 고객 제어의 효과를 평가하고 유효성을 검사하는 것은 사용자의 책임입니다. 이러한 서비스에는 제품 약관의 사용 약관이 적용됩니다. 보안 및 규정 준수에 대한 Microsoft 365 라이선스 지침도 참조하세요.

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

규정 준수 점수 이해

준수 관리자 dashboard 전체 준수 점수를 표시합니다. 이 점수는 컨트롤 내에서 권장되는 개선 작업을 완료하는 진행률을 측정합니다. 점수는 현재 규정 준수 상태를 이해하는 데 도움이 될 수 있습니다. 또한 위험을 줄일 수 있는 잠재력에 따라 작업의 우선 순위를 지정하는 데 도움이 될 수 있습니다.

점수 값은 다음 수준에서 할당됩니다.

  1. 개선 작업: 각 작업은 관련된 잠재적 위험에 따라 점수에 다른 영향을 줍니다. 자세한 내용은 아래 의 작업 유형 및 채점을 참조하세요.

  2. 평가: 이 점수는 개선 작업 점수를 사용하여 계산됩니다. 각 Microsoft 작업 및 organization 관리되는 각 개선 작업은 컨트롤에서 참조되는 빈도에 관계없이 한 번 계산됩니다.

전체 규정 준수 점수는 개선 작업 점수를 사용하여 계산됩니다. 여기서 각 Microsoft 작업은 한 번 계산되고, 관리하는 각 기술 작업은 한 번 계산되고, 관리하는 각 비기술적 작업은 그룹당 한 번 계산됩니다. 이 논리는 organization 작업을 구현하고 테스트하는 방법에 대한 가장 정확한 회계를 제공하도록 설계되었습니다. 이로 인해 전반적인 규정 준수 점수가 평가 점수의 평균과 다를 수 있습니다. 아래에서 작업의 점수 매기기 방법에 대해 자세히 알아보세요.

Microsoft 365 데이터 보호 기준 기준의 초기 점수

준수 관리자는 Microsoft 365 데이터 보호 기준에 따라 초기 점수를 제공합니다. 이 기준은 데이터 보호 및 일반 데이터 거버넌스에 대한 주요 규정 및 표준을 포함하는 컨트롤 집합입니다. 이 기준은 주로 NIST CSF(국립 표준 기술 사이버 보안 프레임워크 연구소) 및 ISO(국제 표준화 기구)와 FedRAMP(연방 위험 및 권한 부여 관리 프로그램) 및 GDPR(유럽 연합의 일반 데이터 보호 규정)에서 요소를 그립니다.

초기 점수는 모든 조직에 제공된 기본 데이터 보호 기준 평가에 따라 계산됩니다. 처음 방문했을 때 준수 관리자는 이미 Microsoft 365 솔루션에서 신호를 수집하고 있습니다. 주요 데이터 보호 표준 및 규정을 기준으로 organization 수행하는 방식을 한눈에 확인하고 수행할 제안된 개선 조치를 참조하세요.

모든 organization 특정 요구 사항이 있으므로 준수 관리자는 가능한 한 포괄적으로 위험을 최소화하고 완화하는 데 도움이 되는 평가를 설정하고 관리해야 합니다.

작업 유형 및 점수 매기기

개선 작업에는 구현 요구 사항을 완료할 때 부여되는 지점이 있습니다. 작업 상태 변경된 후 24시간 이내에 dashboard 업데이트됩니다. 권장 사항에 따라 컨트롤을 구현하면 일반적으로 다음 날 업데이트된 컨트롤 상태 표시됩니다.

평가당 작업당 포인트가 부여됩니다. 예를 들어 작업이 10포인트의 가치가 있지만 두 평가에 표시되는 경우 작업은 테넌트 전체에서 20포인트의 가치가 있습니다. 예외는 테넌트로 범위가 지정된 기술 작업에 대한 것입니다. 이러한 작업에 대한 포인트는 작업이 속한 그룹 수에 관계없이 작업당 한 번 부여됩니다.

클라우드용 Microsoft Defender 지원하는 서비스에 대한 작업

개선 작업의 전체 점수는 구독에서 받은 점수의 평균을 기반으로 합니다. 각 구독은 관련 가상 리소스의 상태 따라 점수가 매기됩니다.

예를 들어 두 개의 구독이 있는 작업을 고려해 보세요. A와 B. 구독 A는 리소스 1개 중 0개가 완료되고 구독 B에는 완료된 리소스 2개 중 1개가 있습니다. 구독 점수는 다음과 같습니다. A는 0%, B는 50%입니다. 두 구독 점수는 평균 25%의 전체 작업 점수를 얻습니다.

점수 값이 결정되는 방법

작업에는 필수 또는 임의인지 여부와 예방, 형사 또는 수정 여부에 따라 점수 값이 할당됩니다.

필수 및 임의 작업

  • 필수 작업은 의도적으로 또는 실수로 우회할 수 없습니다. 필수 작업의 예로는 암호 길이, 복잡성 및 만료에 대한 요구 사항을 설정하는 중앙에서 관리되는 암호 정책이 있습니다. 사용자가 시스템에 액세스하려면 다음 요구 사항을 따라야 합니다.

  • 임의 작업은 사용자가 정책을 이해하고 준수해야 합니다. 예를 들어 무인 상태일 때 사용자가 컴퓨터를 잠그도록 요구하는 정책은 사용자를 사용하므로 임의 작업입니다.

예방, 형사 및 수정 작업

  • 예방 작업은 특정 위험을 처리합니다. 예를 들어 암호화를 사용하여 보관 중인 정보를 보호하는 것은 공격, 위반 등에 대한 예방 작업입니다. 임무의 분리는 이해의 충돌을 관리하고 사기로부터 보호하기 위한 예방 작업입니다.

  • 형사 작업은 시스템을 적극적으로 모니터링하여 위험을 나타내거나 침입 또는 위반을 감지하는 데 사용할 수 있는 불규칙한 조건 또는 동작을 식별합니다. 예를 들어 시스템 액세스 감사 및 권한 있는 관리 작업이 있습니다. 규정 준수 감사는 프로세스 문제를 찾는 데 사용되는 일종의 형사 작업입니다.

  • 시정 작업은 보안 인시던트 부작용을 최소한으로 유지하고, 즉각적인 효과를 줄이기 위해 시정 조치를 취하고, 가능한 경우 피해를 되돌리려고 합니다. 개인 정보 보호 사고 대응은 손상을 제한하고 위반 후 시스템을 작동 상태로 복원하는 시정 작업입니다.

각 작업에는 규정 준수 관리자가 나타내는 위험에 따라 할당된 값이 있습니다.

유형 할당된 점수
예방 필수 27
예방적 사용자 지정 9
형사 필수 3
형사 임의 1
수정 필수 사항 3
정정 임의 1

준수 관리자 작업 지점 값입니다.