在合規性管理員中建置和管理評定

在本文中: 瞭解如何建立和管理評量,為您的組織自訂合規 性管理員。 本文將逐步引導您建立評定、如何將評定組織成 群組、使用 件、接受 更新,以及匯出評定 報告

提示

如果您不是 E5 客戶,您可以免費試用 Microsoft Purview 中的所有進階功能。 使用 90 天的 Purview 解決方案試用版,探索健全的 Purview 功能如何協助貴組織管理資料安全性與合規性需求。 立即從Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細資料

評量簡介

合規性管理員可協助您建立評量,以評估您對適用于貴組織的產業和地區法規的合規性。 評量是以評定範本的架構為基礎,其中包含必要的控制措施、改進動作,以及在適用的情況下,Microsoft 動作來完成評定。 為您的組織設定最相關的評量,可協助您實作原則和操作程式,以限制合規性風險。

您所有的評量都會列在 [合規性管理員] 的 [評定] 索引標籤上。 深入瞭解 如何篩選評量的檢視並解譯狀態狀態

重要事項

您組織可用來建置評量的範本取決於您的授權合約。 檢閱授權詳細資料

資料保護基準預設評定

為了開始使用,Microsoft 會在合規性管理員中提供Microsoft 365 資料保護基準預設評定。 此基準評量具有一組資料保護和一般資料控管的重要法規和標準控制項。 此基準主要從 NIST CSF (美國國家標準與技術局網路安全性架構) 和 ISO (國際標準組織) ,以及從 FedRAMP (聯邦風險與授權管理計畫) 和 GDPR, (歐盟) 的一般資料保護規定。

此評量可用來計算您第一次接觸合規性管理員時的初始合規性分數,然後再設定任何其他評定。 合規性管理員會從您的 Microsoft 365 解決方案收集初始訊號。 您會看到貴組織相對於重要資料保護標準和法規的執行方式,並查看建議的改進動作。

當您建置和管理自己的評量以符合組織的特殊需求時,合規性管理員會變得更有説明。

在建立評量之前先瞭解群組

當您建立評量時,您必須將它指派給群組。 群組是容器,可讓您以符合邏輯的方式組織評量,例如依年份或法規,或根據貴組織的部門或地理位置。 這就是為什麼建議您在建立評量之前規劃群群組原則。

以下是兩個群組及其基礎評估的範例:

  • FFIEC IS 評定 2020
    • FFIEC IS
  • 資料安全性和隱私權評估
    • ISO 27001:2013
    • ISO 27018:2014

群組或群組內的不同評量可能會共用改進動作。 改進動作可能是您對應至租使用者的技術解決方案內所做的變更,例如開啟雙因素驗證,或您在系統外部執行的非技術性動作,例如建立新的工作場所原則。 您對技術改進動作所做的詳細資料或狀態中的任何更新,都會由所有群組的評量挑選。 非技術改進動作更新將由套用這些更新的群組內的評量辨識。 這可讓您實作一個改進動作,並同時符合數個需求。

建立群組

您可以在建立新的評量時建立群組。 群組無法建立為獨立實體。

使用群組時要知道的事項

  • 群組必須至少包含一個評量。
  • 組名在組織內必須是唯一的。
  • 群組沒有安全性屬性。 擁有權限都與評量相關聯。
  • 將評量新增至群組之後,就無法變更群組。
  • 如果您將新的評量新增至現有的群組,該群組中評估的一般資訊會複製到新的評量。
  • 相同群組內不同評量中的相關評定控制項會在完成時自動更新。
  • 群組可以包含相同認證或法規的評估,但每個群組只能包含特定產品認證配對的一個評定。 例如,群組不能包含Office 365和 NIST CSF 的兩個評量。 只有當每個產品的對應認證或規定不同時,群組才能包含相同產品的多個評量。
  • 刪除評量會中斷該評定與群組之間的關聯性。
  • 無法刪除群組。

在建立評量之前先瞭解範本

評定範本會根據不同隱私權法規和標準的認證,包含評量的控制項和動作建議。 您的組織一開始會根據您的授權合約,至少有一個且可能更多內 的範本可供使用。 您的組織也可以購買其他 階範本。

每個範本都存在於兩個版本中:一個用於 Microsoft 365 (或其他可用) 的 Microsoft 產品,另一個通用版本可以量身打造來評估您使用的其他產品。 您可以為想要評估的產品選擇適當的範本類型。

如需範本的詳細資訊,請 參閱瞭解合規性管理員中的評定範本

建立評量

注意事項

只有具備全域管理員、合規性管理員系統管理或合規性管理員評估者角色的使用者,才能建立和修改評量。 深入瞭解 角色和許可權

開始之前,請確定您知道要指派給哪個群組,或準備好為此評量建立新的群組。 閱讀 有關群組和評量的詳細資料

若要建立評量,您將使用引導式程式來選取範本,並指定相關聯的產品。 在您的 [評定] 頁面上,建議您從 [新增建議的評定] 開始,這可協助您一次識別並快速為組織設定最相關的評定。 您也可以選取 [新增評量],一次設定一個 評量。 請遵循下列步驟來開始建置評定。

根據組織類型的建議建立評量

合規性管理員可以指出哪些評量可能與您的組織最相關。 當您提供組織產業和位置的基本資訊時,建議您從超過 300 個範本的程式庫使用哪些範本。 只要選擇建議的範本,即可一次快速設定多個評定。

若要根據我們的建議建立一或多個評定,請從您的 [評定] 頁面選取 [新增建議的評定],然後遵循下列步驟:

  • 選取識別您組織的一或多個產業,然後選取 [ 下一步]
  • 針對組織的位置選取一或多個區域,然後選取 [ 下一步]
  • 在 [ 選擇評定 ] 畫面上,選取 [建議的範本 ] 旁的下拉式箭號,以查看我們認為適用于貴組織的評定清單。 核取您要用於建立評量之範本旁邊的方塊,然後選取 [ 下一步]
  • 檢閱最終的選取專案,然後選取 [新增建議的評 定] 以建立新的評定。

使用引導式程式建立評量

  1. 從您的 [評定] 頁面,選取 [ 新增評量]。 這會讓您進入評定建立精靈。

  2. 在 [ 基底範本] 畫面 上, 選取 [選取範本 ] 以選擇評量的範本。

  3. 在飛出視窗窗格中,選擇要作為評定基礎之法規或認證的範本。 範本清單分成包含和進階類別, (取得詳細 資料) 。 飛出視窗窗格頂端的 [ 已啟用/授權的範本 ] 計數器會顯示您使用的範本可能超出可用的總數,或您的組織使用 (深入瞭解。) 選取所選範本旁邊的選項按鈕,然後選取 [儲存 ]。 您將返回 [基底範本] 畫面,您可以在其中檢閱範本詳細資料,然後選取 [下一步] 繼續。

  4. 產品、名稱和群組: 設定這些屬性來識別您的評量、選擇要評估的產品,然後將它指派給群組。

    • 產品:選取您想要套用評量的產品。 如果您使用 Microsoft 範本,例如專為 Microsoft 365 設計的範本,則會填入此欄位供您指出適當的產品,且無法變更。 如果您使用通用範本,請選取您要為新產品或您已在合規性管理員中定義的自訂產品建立此評量。 如果您選擇新產品,請輸入其名稱。 請注意,使用通用範本時,您無法選取預先定義的 Microsoft 產品。
    • 評定名稱:在 [評定名稱] 欄位中輸入評 量的名稱 。 評定名稱在群組內必須是唯一的。 如果您的評定名稱符合任何指定群組中另一個評量的名稱,您會收到錯誤,要求您建立不同的名稱。
    • 群組:將您的評量指派給群組。 您可以:
      • 取 [使用現有的群組 將它指派給您已建立的群組];或
      • 取 [建立新群組 ] 以建立新的群組,並將此評定指派給它:
        • 決定群組的名稱,然後在選項按鈕下方的欄位中輸入。
        • 您可以選取適當的方塊, 從現有的群組複製資料,例如實作和測試詳細資料和檔。

    完成時,選取 [ 下一步]

  5. 檢閱並完成: 檢閱您的選取專案,並進行任何必要的編輯。 當您滿意就緒時,請選取 [建立評量]

下一個畫面會確認已建立評量。 當您選取 [完成] 時,系統會帶您前往新評量的詳細資料頁面。

如果您在選取 [建立評量] 後看到 [評定失敗] 畫面,請選取 [再試一次] 以重新建立評定。

您可以選取評定詳細資料頁面右上角的 [ 編輯名稱 ] 按鈕,在建立評定之後變更評量 名稱。

監視評定進度和控制項

每個評量都有一個詳細資料頁面,可讓您快速檢視完成評量的進度。 此頁面會顯示您完成控制項的進度,以及這些控制項內關鍵改進動作的測試狀態。

概觀索引標籤

[概觀] 索引標籤包含圖表,其中顯示您完成評量的百分比。 此圖表包含您擁有之動作的點數明細,以及 Microsoft 擁有之動作的點數,因此您可以查看完成評定所需的更多點數。

評量中控制項的重要改進動作會列出,以獲得最大的潛在影響來獲得分數。 相關聯的圖表會詳細說明改進動作的匯總測試狀態,讓您可以快速地量測已測試的內容,以及仍然需要執行的作業。

若要存取個別的改進動作,請流覽 [控制項] 索引 標籤或 [您的改進動作] 索引 標籤。

[控制項] 索引標籤

[控制項] 索引標籤會顯示對應至評量之每個控制項的詳細資訊。 控制項狀態明細圖表會依系列顯示控制項的狀態,因此您可以一目了然地看到哪些控制項群組需要注意。

在圖表下方,資料表會列出評定中每個控制項的詳細資訊。 控制項會依控制項系列分組。 展開每個系列名稱,以顯示其包含的個別控制項。 針對每個控制項列出的資訊包括:

  • 控制項標題
  • 狀態:反映控制項內改進動作的測試狀態
    • 已通過 - 所有改進動作的測試狀態為「已通過」,或至少通過一個,其餘則「超出範圍」
    • 失敗 - 至少有一個改進動作的測試狀態為「失敗」
    • - 尚未測試所有改進動作
    • 超出範圍 - 所有改進動作都超出此評定的範圍
    • 進行中 - 改進動作的狀態不是上面所列的狀態,其中可能包含「進行中」、「部分信用額度」或「未偵測」
  • 控制項標識符:控制項的識別碼,由其對應的法規、標準或原則指派
  • 達到的點數:完成動作所獲得的點數,超過可達成點數的總數
  • 您的動作:在要完成的動作總數中完成的動作數目
  • Microsoft 動作:Microsoft 完成的動作數目

若要檢視控制項的詳細資料,請從資料表中的資料列中選取它。 控制項詳細資料頁面會顯示圖表,指出該控制項內動作的測試狀態。 圖表下方的表格顯示該控制項的重要改進動作。

從清單中選取改進動作,以深入瞭解改進動作的詳細資料頁面。 詳細資料頁面會顯示測試狀態和實作注意事項,並啟動至建議的解決方案。

您的改進動作索引標籤

改進動作的索引標籤會列出您組織所管理評量中的所有控制項。 狀態列會詳細說明您在評量中改進動作的匯總測試狀態,讓您可以快速地量測已測試的內容,以及仍然需要執行的工作。 長條圖下方是改進動作和重要詳細資料的完整清單,包括:測試狀態、潛在和獲得點數、相關法規和標準、適用的解決方案、動作類型和控制系列。 深入瞭解 動作如何影響您的合規性分數

選取改進動作以檢視其詳細資料頁面,然後選取 [ 立即啟動 ] 連結以開啟解決方案以採取動作。

Microsoft 動作索引標籤

[Microsoft 動作] 索引標籤會根據支援 Microsoft 產品的範本來顯示評量。 它會列出評估中由 Microsoft 管理的所有動作。 此清單會顯示重要動作詳細資料,包括:測試狀態、參與整體合規性分數的點、相關聯的法規和標準、適用的解決方案、動作類型和控制系列。 選取改進動作以檢視其詳細資料頁面。

深入瞭解 如何追蹤和評分控制項和改進動作。

將個別評量的存取權授與使用者

當您在Microsoft Purview 合規性入口網站中為使用者指派合規性管理員角色時,根據預設,他們可以檢視或編輯所有評定中的資料, (檢閱合規性管理員角色類型) 。 您可以從評定或評定範本內管理使用者角色,限制使用者只能存取特定評量。 以這種方式限制存取,有助於確保在監督符合特定法規或標準時扮演角色的使用者,只能存取執行其職責所需的資料和資訊。

需要存取權以進行稽核或其他用途的外部使用者,也可以獲指派角色來檢視評定和編輯測試資料。 您會將 Azure Active Directory (AD) 角色指派給他們,以提供外部人員的存取權。 深入瞭解 如何指派 Azure AD 角色

授與存取權的步驟

請遵循步驟來授與使用者評量的存取權。

  1. 從 [ 評定] 頁面中,尋找您想要授與存取權的評量。 選取它以開啟其詳細資料頁面。

  2. 在右上角,選取 [ 管理使用者存取權]

  3. [ 管理使用者存取] 飛出視窗窗格隨即出現。 它有三個索引標籤,每一個索引標籤適用于讀者、評估人員和參與者的每個角色。 流覽至您希望使用者保留此評量的角色索引標籤。 目前具有評量存取權的使用者會有一個藍色方塊,其名稱左邊會有核取記號。

  4. 針對您所使用的角色索引標籤選取 [ + 新增 ] 命令: [新增讀取器]、[ 新增評估者 ] 或 [ 新增參與者]

  5. 另一個飛出視窗窗格隨即出現,其中列出組織中的所有使用者。 您可以選取要新增之使用者名稱旁邊的核取方塊,也可以在搜尋列中輸入其名稱,然後從該處選取使用者。 您可以一次選取多個使用者。

  6. 進行所有選取之後,選取 [ 新增]

    注意事項

    如果您將角色指派給已經有現有角色的人員,您選擇的新角色指派將會覆寫其現有角色。 在此情況下,您會看到確認方塊,要求您確認角色變更。

  7. 飛出視窗窗格將會關閉,而您會回到評定詳細資料頁面。 頂端的確認訊息會確認該評量的新角色指派。

移除存取權的步驟

您可以依照下列步驟移除使用者對個別評量的存取權:

  1. 在評量的詳細資料頁面上,選取 [管理使用者存取權]

  2. 在 [ 管理使用者存取權 ] 飛出視窗窗格中,移至對應至您要移除之使用者角色的索引標籤。

  3. 尋找您要移除其角色的使用者。 檢查名稱左邊的圓形,然後選取角色索引標籤正下方的 [移除 ] 命令。若要一次移除所有使用者,只要選取 [移除所有 ] 命令,而不檢查每個使用者名稱旁邊的圓形即可。

  4. [ 移除存取權? ] 對話方塊隨即出現,要求您確認移除。 選 取 [移除存取權 ] 以確認移除角色。

  5. 在飛出視窗窗格上選取 [儲存]。 使用者的角色現在將會從評量中移除。

瞭解如何廣泛 檢視具有評量存取權的所有使用者

多個角色的相關注意事項
  • 使用者可以擁有一個適用于評量的角色,同時保留另一個廣泛套用至整體合規性管理員存取權的角色。

    • 例如,如果您已在Microsoft Purview 合規性入口網站許可權中為使用者指派合規性管理員讀者角色您也可以為該使用者指派特定評量的合規性管理員評估者角色。 實際上,使用者會同時保留這兩個角色,但其編輯資料的能力將受限於他們獲指派 評估者 角色的評定。
    • 如果使用者擁有評定型角色,則移除評定型角色並不會移除使用者的整體合規性管理員角色。
  • 針對個別評量,一個使用者一次只能保有一個評定型角色。

    • 例如,如果使用者持有 GDPR 評量的讀者角色,而您想要將其變更為參與者角色,您必須先移除其讀者角色,然後重新指派讀者角色。

接受評量的更新

當評估有可用的更新時,您會看到通知,並可以選擇接受更新或延遲更新一段時間。

更新適用于以 Microsoft 範本為基礎的評量,例如專為搭配 Microsoft 365 使用而設計的範本。 如果您的組織使用通用範本來評估其他產品,則可能不支援繼承。 如需詳細資訊,請參閱 擴充評定範本

造成更新的原因

當基礎範本變更會影響評分時,就會發生評量更新。 變更可能涉及根據法規變更或產品變更調整控制項對應或其他指引。 評定更新可能源自您的組織 (,例如當 自訂範本 修改) 和 Microsoft 時。

如果 Microsoft 更新您擴充的合規性管理員範本,一旦您接受這些更新,您的評量就會繼承這些更新。 當您擴充評定時,您的評量會保留您套用至評量的其他屬性。

您建立的自訂評定不會收到來自 Microsoft 的任何範本更新。 自訂評定可以接收改進動作更新,但任何控制評定與改進動作之間對應的 Microsoft 更新,不適用於自訂範本。

注意事項

更新評量僅適用于群組層級。 如果您有兩個評估是從存在於兩個不同群組中的相同範本建置而來,則每個評定都會有擱置中的更新通知,而且您必須個別接受其個別群組中每個評量的更新。

您會在其中看到評定更新通知

[評定詳細資料] 頁面也會在具有更新的評量旁邊顯示擱置的 更新 標籤。 選取該評量以前往其詳細資料頁面。

接近 [評定詳細資料] 頁面頂端的訊息顯示該評估有可用的更新。 選取橫幅中的 [ 檢閱更新 ] 按鈕以檢閱特定變更,並接受或延遲更新。

評定詳細資料頁面也可以列出旁邊有 擱置更新 標籤的改進動作。 這些更新適用于改進動作本身的特定變更,而且必須個別接受。 若要深入瞭解,請造訪 接受更新以改進動作

檢閱更新以接受或延遲

從評定詳細資料頁面選取 [ 檢閱更新 ] 之後,畫面右側會出現飛出視窗窗格。 飛出視窗窗格提供下列有關擱置中更新的重要詳細資料:

  • 範本標題
  • Microsoft、貴組織或特定使用者 (更新來源)
  • 建立更新的日期
  • 說明更新的概觀
  • 有關變更的特定詳細資料,包括對合規性分數的影響、完成評量的進度,以及改進動作和控制項的特定變更數目。

選取 [更新的範本 ] 命令將會下載 Excel 檔案,其中包含具有擱置更新之範本版本的控制資料。 選取 [目前範本 ] 命令會下載現有範本的檔案,而不需要更新。

若要接受更新並變更您的評量,請選取 [ 接受更新]。 接受的變更是永久的。

如果您選取 [取消],則不會將更新套用至評量。 不過,您會繼續看到 擱置中的更新 通知,直到您接受更新為止。

為什麼我們建議接受更新

接受更新有助於確保您擁有使用解決方案的最新指引,並採取適當的改進動作來協助您符合手端認證的需求。

您可能想要延遲更新的原因

如果您正在完成評定,建議您先確定已完成評定工作,再接受可能中斷控制項對應的評量更新。 您可以在 [檢閱更新] 飛出視窗窗格上選取 [ 取消 ],將更新延遲一段時間。

匯出評定報告

您可以將評量匯出至您組織中的合規性專案關係人或外部稽核員和監管者的 Excel 檔案。 在您的評定詳細資料頁面上,選取靠近頁面頂端的 [ 產生報告 ] 按鈕,這會建立您可以儲存和共用的 Excel 檔案。

報表是從匯出日期和時間開始評估的快照集。 其中包含由您和 Microsoft 管理之控制項的詳細資料,包括實作狀態、測試日期和測試結果。

刪除評量

刪除評量會將它從評定頁面上的清單中移除。 請注意有關刪除評量的下列重點:

  • 刪除評量是永久的;您無法取回它。 如果您想要再次使用相同的評量,您必須重新建立它。
  • 如果評量中的改進動作未出現在任何其他評量中,則會在刪除評量時予以刪除。
  • 建議您 永久刪除評量之前,先匯出評估報告。

若要刪除評量,請遵循下列步驟:

  1. 從您的 評定 頁面,選取您想要刪除的評量,以開啟該評量的詳細資料頁面。

  2. 選取畫面右上角的 [ 刪除評 量]。

  3. 隨即會出現一個視窗,要求您確認要永久刪除評量。 選 取 [刪除評量 ] 以關閉視窗。 您會收到確認視窗,指出您的評量已從合規性管理員中刪除。

注意事項

您無法刪除所有評定。 組織需要至少一個評量,合規性管理員才能正常運作。 如果您想要刪除的評量是唯一的評定,請先新增另一個評量,再刪除另一個評量。