分享方式:


合規性管理員評分

重要事項

您不應將 [合規性管理員] 提供的建議視為合規性的保證。 您必須根據您的法規環境來評估及驗證客戶控制的有效性。 這些服務受限於 產品條款中的條款及條件。 另請 參閱 Microsoft 365 授權指導方針以瞭解安全性和合規性

提示

如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

瞭解您的合規性分數

合規性管理員儀錶板會顯示您的整體合規性分數。 此分數會測量您在控件內完成建議改進動作的進度。 您的分數可協助您瞭解目前的合規性狀態。 它也可協助您根據動作降低風險的可能性來排定動作的優先順序。

在下列層級指派分數值:

  1. 改進動作:每個動作會根據所涉及的潛在風險,對您的分數有不同的影響。 如需詳細資訊,請參閱下面 的動作類型和評分

  2. 評量:此分數是使用改進動作分數來計算。 不論控件中參考的頻率為何,每個Microsoft動作和貴組織所管理的每個改進動作都會計算一次。

整體合規性分數是使用改進動作分數來計算,其中每個Microsoft動作都會計算一次、您管理的每個技術動作都會計算一次,而您管理的每個非技術性動作會針對每個群組計算一次。 此邏輯的設計目的是要提供最精確的動作在組織中實作和測試的方式。 您可能會注意到,這可能會導致整體合規性分數與評定分數的平均值不同。 深入瞭解 動作的評分方式

以 Microsoft 365 數據保護基準為基礎的初始分數

合規性管理員會根據 Microsoft 365 數據保護基準提供初始分數。 此基準是一元件,其中包含數據保護和一般數據控管的重要法規和標準。 此基準主要從 NIST CSF (美國國家標準與技術局網路安全性架構) 和 ISO (國際標準化組織) ,以及從 FedRAMP (聯邦風險與授權管理計劃) 和 GDPR, (歐盟) 的一般數據保護規定。

您的初始分數是根據提供給所有組織的預設數據保護基準評量來計算。 第一次造訪時,合規性管理員已收集來自您Microsoft 365 解決方案的訊號。 您一眼就可以看到貴組織相對於重要數據保護標準和法規的執行方式,並查看建議的改進動作。

由於每個組織都有特定需求,合規性管理員會依賴您設定和管理評量,以協助盡可能全面地將風險降至最低並降低風險。

動作類型和評分

改進動作的點會在您完成實作需求時獲得。 在進行變更的 24 小時內,儀錶板上的動作狀態會更新。 一旦您遵循建議來實作控件,通常會看到控件狀態在隔天更新。

每個評量的每個動作會授與點數。 例如,如果動作值為10點,但出現在兩個評量中,則該動作對於您的租用戶整體而言是價值20點。 例外狀況是針對您的租用戶設定範圍 的技術動作 ;不論動作所屬的群組數目為何,每個動作都會授與這些動作的點一次。

適用於雲端 Microsoft Defender 所支援服務的動作

改進動作的整體分數是以其訂用帳戶所收到的分數平均值為基礎。 每個訂用帳戶都會根據相關虛擬資源的狀態進行評分。

例如,假設有兩個訂用帳戶的動作:A 和 B。訂用帳戶 A 已完成 1 個資源中的 0 個,而訂用帳戶 B 已完成 2 個資源中的 1 個。 訂用帳戶分數為:A 為 0%,B 為 50%。 這兩個訂用帳戶分數是平均的,以取得 25% 的整體動作分數。

如何決定分數值

動作會根據其為強制或選擇性,以及其為預防性、偵測性或更正性,指派分數值。

強制和選擇性動作

  • 不得刻意或不小心略過強制動作。 強制動作的範例是集中管理的密碼原則,可設定密碼長度、複雜性和到期需求。 使用者必須遵循這些需求來存取系統。

  • 選擇性動作 需要用戶瞭解並遵守原則。 例如,要求使用者在自動安裝時鎖定其計算機的原則是任意動作,因為它依賴使用者。

預防性、偵測和更正動作

  • 預防型動作可處理特定風險。 舉例來說,使用加密來保護資訊就是針對攻擊和資料外洩等風險的預防型動作。 職責分工是管理利益衝突及防堵詐騙的預防型動作。

  • 偵測動作 會主動監視系統,以識別代表風險或可用來偵測入侵或缺口的不規則狀況或行為。 範例包括系統存取稽核和特殊許可權的系統管理動作。 法規合規性稽核是一種偵測動作,可用來尋找處理問題。

  • 更正動作 會嘗試將安全性事件的負面影響降到最低、採取更正動作以減少立即的影響,並盡可能還原損害。 隱私權事件回應是一種矯正型動作,會在遭到侵害後限制損傷並將系統還原至可以運作的狀態。

每個動作都會根據其所代表的風險,在合規性管理員中指派值:

類型 指派的分數
預防性強制 27
預防選擇型 9
強制偵測 3
偵測自行決定 1
強制矯正型 3
更正任意選擇 1

合規性管理員動作點值。