Общие сведения о реагировании на риски, мониторинге и отчетности
После оценки рисков команда Microsoft 365 Trust определяет владельцев рисков и совместно с командами служб реагирует на каждый риск. В процессе смягчения рисков для своевременного выполнения нужных действий и создания точных отчетов используются существующие рабочие процессы проектирования, обслуживания и обеспечения соответствия требованиям Microsoft 365. Действия по реагированию на риски, мониторингу и составлению отчетности являются итеративными и ориентированы на непрерывную оценку прогресса в части устранения высокоуровневых рисков, которые возникают в Microsoft 365.
Реагирование на риски
Команда Microsoft 365 Trust координирует работу с командами разных служб, что позволяет должным образом реагировать на риски в зависимости от их серьезности. Стратегии реагирования на риски разделены на четыре указанные ниже категории.
- Допускать: области с малыми рисками и низким уровнем контроля.
- Управлять: области с малыми рисками, для которых средства контроля считаются адекватными.
- Отслеживать: области с большими рисками, для которых средства контроля считаются адекватными и в которых следует отслеживать эффективность.
- Улучшать: области с большими рисками и низким уровнем контроля. Задачи, связанные с устранением рисков в таких областях, имеют самый высокий приоритет.
Команды затронутых служб совместно с командой Microsoft 365 Trust разрабатывают подробные планы действий для реагирования на риски, выявленные для таких служб. Степень серьезности, назначаемая рискам в рамках процесса оценки рисков, определяет соответствующий уровень проверки и утверждения этих планов. Команда Microsoft 365 Trust отслеживает высокоуровневые риски и координирует действия с командами служб, чтобы обеспечить эффективную реализацию планов действий. Владельцы рисков регулярно встречаются с командой Microsoft 365 Trust, чтобы обновлять оценки рисков и оценивать ход устранения выявленных рисков.
Мониторинг рисков и создание отчетов
Мы отслеживаем риски, выявленные в рамках процесса оценки рисков, и сообщаем о них соответствующим заинтересованным лицам. В рамках регулярных собраний с участием владельцев рисков и командой Microsoft 365 Trust проводится анализ результатов мониторинга для оценки хода выполнения плана действий по устранению выявленных рисков. Если результаты мониторинга указывают на то, что план не позволяет эффективно устранять выявленные риски, мы обновляем его в рамках текущего процесса управления рисками.
Данные мониторинга и отчетов из службы управления рисками Microsoft 365 включены в отчеты об оценке рисков Microsoft 365. Руководство Microsoft 365 проверяет эти отчеты и отвечает за риски в рамках Microsoft 365. Наряду с отчетами от других бизнес-подразделений Майкрософт отчеты об оценках рисков Microsoft 365 позволяют оценивать риски в рамках программы ERM.