준수 관리자 점수 매기기
중요
준수 관리자의 권장 사항을 준수 보장으로 해석하면 안 됩니다. 규정 환경에 따라 고객 제어의 효과를 평가하고 유효성을 검사하는 것은 사용자의 책임입니다. 이러한 서비스에는 제품 약관의 사용 약관이 적용됩니다. 보안 및 규정 준수에 대한 Microsoft 365 라이선스 지침도 참조하세요.
팁
E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.
규정 준수 점수 이해
준수 관리자 dashboard 전체 준수 점수를 표시합니다. 이 점수는 컨트롤 내에서 권장되는 개선 작업을 완료하는 진행률을 측정합니다. 점수는 현재 규정 준수 상태를 이해하는 데 도움이 될 수 있습니다. 또한 위험을 줄일 수 있는 잠재력에 따라 작업의 우선 순위를 지정하는 데 도움이 될 수 있습니다.
점수 값은 다음 수준에서 할당됩니다.
개선 작업: 각 작업은 관련된 잠재적 위험에 따라 점수에 다른 영향을 줍니다. 자세한 내용은 아래 의 작업 유형 및 채점을 참조하세요.
평가: 이 점수는 개선 작업 점수를 사용하여 계산됩니다. 각 Microsoft 작업 및 organization 관리되는 각 개선 작업은 컨트롤에서 참조되는 빈도에 관계없이 한 번 계산됩니다.
전체 규정 준수 점수는 개선 작업 점수를 사용하여 계산됩니다. 여기서 각 Microsoft 작업은 한 번 계산되고, 관리하는 각 기술 작업은 한 번 계산되고, 관리하는 각 비기술적 작업은 그룹당 한 번 계산됩니다. 이 논리는 organization 작업을 구현하고 테스트하는 방법에 대한 가장 정확한 회계를 제공하도록 설계되었습니다. 이로 인해 전반적인 규정 준수 점수가 평가 점수의 평균과 다를 수 있습니다. 아래에서 작업의 점수 매기기 방법에 대해 자세히 알아보세요.
Microsoft 365 데이터 보호 기준 기준의 초기 점수
준수 관리자는 Microsoft 365 데이터 보호 기준에 따라 초기 점수를 제공합니다. 이 기준은 데이터 보호 및 일반 데이터 거버넌스에 대한 주요 규정 및 표준을 포함하는 컨트롤 집합입니다. 이 기준은 주로 NIST CSF(국립 표준 기술 사이버 보안 프레임워크 연구소) 및 ISO(국제 표준화 기구)와 FedRAMP(연방 위험 및 권한 부여 관리 프로그램) 및 GDPR(유럽 연합의 일반 데이터 보호 규정)에서 요소를 그립니다.
초기 점수는 모든 조직에 제공된 기본 데이터 보호 기준 평가에 따라 계산됩니다. 처음 방문했을 때 준수 관리자는 이미 Microsoft 365 솔루션에서 신호를 수집하고 있습니다. 주요 데이터 보호 표준 및 규정을 기준으로 organization 수행하는 방식을 한눈에 확인하고 수행할 제안된 개선 조치를 참조하세요.
모든 organization 특정 요구 사항이 있으므로 준수 관리자는 가능한 한 포괄적으로 위험을 최소화하고 완화하는 데 도움이 되는 평가를 설정하고 관리해야 합니다.
작업 유형 및 점수 매기기
개선 작업에는 구현 요구 사항을 완료할 때 부여되는 지점이 있습니다. 작업 상태 변경된 후 24시간 이내에 dashboard 업데이트됩니다. 권장 사항에 따라 컨트롤을 구현하면 일반적으로 다음 날 업데이트된 컨트롤 상태 표시됩니다.
평가당 작업당 포인트가 부여됩니다. 예를 들어 작업이 10포인트의 가치가 있지만 두 평가에 표시되는 경우 작업은 테넌트 전체에서 20포인트의 가치가 있습니다. 예외는 테넌트로 범위가 지정된 기술 작업에 대한 것입니다. 이러한 작업에 대한 포인트는 작업이 속한 그룹 수에 관계없이 작업당 한 번 부여됩니다.
클라우드용 Microsoft Defender 지원하는 서비스에 대한 작업
개선 작업의 전체 점수는 구독에서 받은 점수의 평균을 기반으로 합니다. 각 구독은 관련 가상 리소스의 상태 따라 점수가 매기됩니다.
예를 들어 두 개의 구독이 있는 작업을 고려해 보세요. A와 B. 구독 A는 리소스 1개 중 0개가 완료되고 구독 B에는 완료된 리소스 2개 중 1개가 있습니다. 구독 점수는 다음과 같습니다. A는 0%, B는 50%입니다. 두 구독 점수는 평균 25%의 전체 작업 점수를 얻습니다.
점수 값이 결정되는 방법
작업에는 필수 또는 임의인지 여부와 예방, 형사 또는 수정 여부에 따라 점수 값이 할당됩니다.
필수 및 임의 작업
필수 작업은 의도적으로 또는 실수로 우회할 수 없습니다. 필수 작업의 예로는 암호 길이, 복잡성 및 만료에 대한 요구 사항을 설정하는 중앙에서 관리되는 암호 정책이 있습니다. 사용자가 시스템에 액세스하려면 다음 요구 사항을 따라야 합니다.
임의 작업은 사용자가 정책을 이해하고 준수해야 합니다. 예를 들어 무인 상태일 때 사용자가 컴퓨터를 잠그도록 요구하는 정책은 사용자를 사용하므로 임의 작업입니다.
예방, 형사 및 수정 작업
예방 작업은 특정 위험을 처리합니다. 예를 들어 암호화를 사용하여 보관 중인 정보를 보호하는 것은 공격, 위반 등에 대한 예방 작업입니다. 임무의 분리는 이해의 충돌을 관리하고 사기로부터 보호하기 위한 예방 작업입니다.
형사 작업은 시스템을 적극적으로 모니터링하여 위험을 나타내거나 침입 또는 위반을 감지하는 데 사용할 수 있는 불규칙한 조건 또는 동작을 식별합니다. 예를 들어 시스템 액세스 감사 및 권한 있는 관리 작업이 있습니다. 규정 준수 감사는 프로세스 문제를 찾는 데 사용되는 일종의 형사 작업입니다.
시정 작업은 보안 인시던트 부작용을 최소한으로 유지하고, 즉각적인 효과를 줄이기 위해 시정 조치를 취하고, 가능한 경우 피해를 되돌리려고 합니다. 개인 정보 보호 사고 대응은 손상을 제한하고 위반 후 시스템을 작동 상태로 복원하는 시정 작업입니다.
각 작업에는 규정 준수 관리자가 나타내는 위험에 따라 할당된 값이 있습니다.
| 유형 | 할당된 점수 |
|---|---|
| 예방 필수 | 27 |
| 예방적 사용자 지정 | 9 |
| 형사 필수 | 3 |
| 형사 임의 | 1 |
| 수정 필수 사항 | 3 |
| 정정 임의 | 1 |
