Entender a resposta, o monitoramento e os relatórios de risco
Após o processo de avaliação de risco, a equipe de Confiança do Microsoft 365 identifica os proprietários de risco e trabalha com equipes de serviço para responder adequadamente a cada risco. O processo de mitigação de riscos aproveita a engenharia, as operações de serviço e os fluxos de trabalho de conformidade existentes do Microsoft 365 para habilitar a ação em tempo hábil e relatórios precisos. As atividades de resposta a riscos, monitoramento e relatório são iterativas e se concentram na avaliação contínua do progresso no tratamento de riscos de alto nível enfrentados pelo Microsoft 365.
Resposta de risco
A equipe de Confiança do Microsoft 365 coordena-se com as equipes de serviço para responder adequadamente aos riscos de acordo com a gravidade do risco. As estratégias de resposta de risco se enquadram em quatro categorias:
- Tolere: áreas de exposição de baixo risco com um baixo nível de controle.
- Opere: áreas de exposição de baixo risco em que os controles são considerados adequados.
- Monitore: áreas de exposição de alto risco em que os controles são considerados adequados e devem ser monitorados em caso de eficácia.
- Melhore: áreas de exposição de alto risco com um baixo nível de controle que são a prioridade mais alta no endereçamento.
As equipes de serviço afetadas trabalham com a equipe de Confiança do Microsoft 365 para desenvolver planos de ação detalhados para responder aos riscos identificados para seus serviços. A gravidade do risco atribuída como parte da avaliação de risco determina o nível apropriado de revisão e aprovação para esses planos. A equipe de Confiança do Microsoft 365 controla os riscos de alto nível e as coordenadas com as equipes de serviço para garantir que os planos de ação sejam implementados com eficiência. Os proprietários de risco se reúnem regularmente com a equipe de Confiança do Microsoft 365 para atualizar as pontuações de risco e avaliar o progresso para lidar com os riscos identificados.
Monitoramento e relatório de aplicativo
Os riscos identificados como parte da avaliação de risco são monitorados e relatados aos stakeholders relevantes. As reuniões regulares entre os proprietários de risco e a equipe de Confiança do Microsoft 365 incluem uma revisão dos resultados de monitoramento para avaliar o progresso do plano de ação para lidar com os riscos identificados. Se o monitoramento indicar que o plano não está resolvendo efetivamente os riscos identificados, o plano de ação é atualizado como parte do gerenciamento de riscos contínuo.
O monitoramento e o relatório de dados do Gerenciamento de Risco do Microsoft 365 são incorporados aos relatórios de avaliação de risco do Microsoft 365. O gerenciamento do Microsoft 365 revisa esses relatórios e fornece transparência para riscos dentro do Microsoft 365. Os relatórios de avaliação de risco do Microsoft 365 também informam avaliações de risco do programa ERM, juntamente com relatórios semelhantes de outras unidades de negócios da Microsoft.