合規性分數計算

在本文中: 瞭解合規性管理員如何計算組織的合規性分數。 本文說明如何 解譯您的分數資料保護基準評估 包含的內容、 持續監視,以及 如何管理和評分不同類型的動作

重要事項

您不應將 [合規性管理員] 提供的建議視為合規性的保證。 您必須根據您的法規環境來評估及驗證客戶控制的有效性。 這些服務受限於 產品條款中的條款及條件。 另請參閱 Microsoft 365 安全性與合規性授權指引

提示

如果您不是 E5 客戶,您可以免費試用 Microsoft Purview 中的所有進階功能。 使用 90 天的 Purview 解決方案試用版,探索健全的 Purview 功能如何協助貴組織管理資料安全性與合規性需求。 立即從Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細資料

如何讀取合規性分數

合規性管理員儀表板會顯示您的整體合規性分數。 此分數會測量您在控制項內完成建議改進動作的進度。 您的分數可協助您瞭解目前的合規性狀態。 它也可協助您根據動作降低風險的可能性來排定動作的優先順序。

在下列層級指派分數值:

  1. 改進動作:每個動作會根據所涉及的潛在風險,對您的分數有不同的影響。 如需詳細資訊,請參閱下 方的動作類型和點

  2. 評量:此分數是使用改進動作分數來計算。 不論控制項中參考的頻率為何,每個 Microsoft 動作和貴組織所管理的每個改進動作都會計算一次。

整體合規性分數是使用動作分數來計算,其中每個 Microsoft 動作都會計算一次,您管理的每個技術動作會計算一次,而您管理的每個非技術性動作會針對每個群組計算一次。 此邏輯的設計目的是要提供最精確的動作在組織中實作和測試的方式。 您可能會注意到,這可能會導致整體合規性分數與評定分數的平均值不同。 深入瞭解 動作的評分方式

以 Microsoft 365 資料保護基準為基礎的初始分數

合規性管理員會根據 Microsoft 365 資料保護基準為您提供初始分數。 此基準是一組控制項,其中包含資料保護和一般資料控管的重要法規和標準。 此基準主要從 NIST CSF (美國國家標準與技術局網路安全性架構) 和 ISO (國際標準組織) ,以及從 FedRAMP (聯邦風險與授權管理計畫) 和 GDPR, (歐盟) 的一般資料保護規定。

您的初始分數是根據提供給所有組織的預設資料保護基準評量來計算。 第一次造訪時,合規性管理員已經在收集來自 Microsoft 365 解決方案的訊號。 您會看到貴組織相對於重要資料保護標準和法規的執行方式,並查看建議的改進動作。

由於每個組織都有特定需求,合規性管理員會依賴您設定和管理評量,以協助盡可能全面地將風險降至最低並降低風險。

合規性管理員如何持續評估控制項

合規性管理員會自動識別 Microsoft 365 環境中的設定,以協助判斷特定設定何時符合改進動作實作需求。 合規性管理員會偵測來自您可能已部署之其他合規性解決方案的訊號,包括資料生命週期管理、資訊保護、通訊合規性和測試人員風險管理,也會利用 Microsoft 安全分數監視互補改進動作。

在進行變更的 24 小時內,儀表板上的動作狀態會更新。 一旦您遵循建議來實作控制項,通常會看到控制項狀態在隔天更新。

例如,如果您在 Azure AD 入口網站中開啟多重要素驗證 (MFA) ,合規性管理員會偵測設定,並在控制項存取解決方案詳細資料中反映它。 相反地,如果您未開啟 MFA,合規性管理員會將它標示為建議您採取的動作。

深入瞭解 安全分數及其運作方式

動作類型和點

合規性管理員會追蹤兩種類型的動作:

  1. 您的改進動作:由您的組織管理
  2. Microsoft 動作:由 Microsoft 管理

這兩種動作類型都有在完成時計入整體分數的分數。

技術和非技術性動作

動作會依其本質為技術或非技術性來分組。 每個動作的評分影響會依類型而有所不同。

  • 技術動作 的實作方式是與解決方案 (的技術互動,例如變更組態) 。 不論每個動作所屬的群組數目為何,技術動作點都會授與一次。

  • 非技術性動作 是由您的組織所管理,並以使用解決方案技術以外的方式實作。 有兩種類型的非技術性動作: 操作。 這些動作的點會套用至群組層級的合規性分數。 這表示,如果動作存在於多個群組中,則每次在群組內實作動作時,都會收到動作的點值。

如何評分技術和非技術性動作的範例:

假設您在 5 個群組中有一個價值 3 點的技術動作,而您有一個非技術性動作,其值為 3 點,且存在於相同的 5 個群組中。

如果您成功實作技術動作,則您收到的點總數為 3。 這是因為您只需要為租使用者實作動作一次。 技術動作的實作和測試狀態會在該動作的每個群組中顯示相同的動作實例。

如果您成功在 5 個群組中每個群組中實作非技術性動作,則您收到的點總數為 15。 這是因為您需要在每個群組中實作 動作。 非技術動作的實作和測試狀態會因每個群組而有所不同,因為動作會在其每個群組內個別實作。

此評分邏輯的設計目的是要提供最精確的計量,以瞭解如何在組織中實作和測試動作。

如何決定分數值

動作會根據其為強制或選擇性,以及其為預防性、偵測性或更正性,指派分數值。

強制和選擇性動作

  • 不得刻意或不小心略過強制動作。 強制動作的範例是集中管理的密碼原則,可設定密碼長度、複雜性和到期需求。 使用者必須遵循這些需求來存取系統。

  • 選擇性動作 需要使用者瞭解並遵守原則。 比方說,要求使用者在離開座位前鎖定電腦就是選擇型動作的原則,因為它需要仰賴使用者的配合。

預防性、偵測和更正動作

  • 預防型動作可處理特定風險。 舉例來說,使用加密來保護資訊就是針對攻擊和資料外洩等風險的預防型動作。 職責分工是管理利益衝突及防堵詐騙的預防型動作。

  • 偵測動作 會主動監視系統,以識別代表風險或可用來偵測入侵或缺口的不規則狀況或行為。 範例包括系統存取稽核和特殊許可權的系統管理動作。 法規合規性稽核是一種偵測動作,可用來尋找處理問題。

  • 矯正措施 會嘗試將安全性事件的負面影響降到最低、採取更正動作以減少立即的影響,並盡可能還原損害。 隱私權事件回應是一種矯正型動作,會在遭到侵害後限制損傷並將系統還原至可以運作的狀態。

每個動作都會根據其所代表的風險,在合規性管理員中指派值:

Type 指派的分數
預防性強制 27
預防選擇型 9
強制偵測 3
偵測自行決定 1
強制矯正型 3
更正任意選擇性 1

合規性管理員動作點值。