Обзор управления рисками Microsoft 365
Программа управления рисками Microsoft 365 (Microsoft 365 Risk Management program) — это независимая программа, согласованная с Программой управления корпоративными рисками (Enterprise Risk Management, ERM) и ее политиками управления рисками. Это позволяет использовать согласованный и последовательный подход к управлению рисками для различных бизнес-подразделений и групп инженеров. Согласованность с программой ERM определяет приоритеты и направляет действия по управлению рисками в Microsoft 365, которые в конечном итоге развернуты в процессе управления рисками ERM.
Microsoft 365 Trust отвечает за поддержку операций, связанных с соблюдением политик и требований по безопасности, а также за управление рисками. Microsoft 365 Trust выявляет новые риски по мере их возникновения и отслеживает известные риски, а также реакцию на них. Мы отслеживаем факты успешного и неудачного реагирования на риски, чтобы разрабатывать средства анализа и получать данные для анализа вероятностей и последствий рисков. В рамках управления рисками Microsoft 365 Trust анализирует структуру и эффективность работы элементов управления, реализованных в рамках Microsoft 365 Controls Framework. Обратная связь от команд, работающих над службами Microsoft 365, и данные непрерывного мониторинга, получаемые из сред Microsoft 365, позволяют получать информацию о процессе управления рисками.
Действия по управлению рисками в Microsoft 365 разделены на четыре этапа: идентификация, оценка, реагирование, а также мониторинг и отчетность. Управление рисками в Microsoft 365 — это непрерывный итеративный процесс, в котором учитываются данные обратной связи от владельцев рисков, критически важных служб и ключевых бизнес-областей, а также данные анализа результатов аудита и реализации средств управления. Благодаря регулярным собраниям по проверке рисков с владельцами рисков сотрудники Microsoft 365 Trust могут обновлять планы действий и при необходимости управлять ими. Руководители Microsoft 365 проверяют результаты оценки рисков, после чего мы включаем эти результаты в отчет об оценке рисков ERM для Совета директоров Майкрософт.