Microsoft 365 风险管理概述
Microsoft 365 风险管理计划一个独立计划,与企业风险管理 (ERM) 计划及其风险管理政策保持一致。 这使得采用一致和比较的方法跨业务部门和工程团队进行风险管理成为可能。 ERM 计划协调会优先考虑并指导 Microsoft 365 的风险管理活动,这些活动最终会汇总到 ERM 风险管理流程中。
Microsoft 365 Trust 负责支持与策略合规性和安全要求以及风险管理相关的保证操作。 Microsoft 365 Trust 致力于识别出现的新风险并监控已知风险和风险响应。 跟踪风险应对的成败,以对风险可能性和影响进行分析并提供相关信息。 作为风险管理的一部分,Microsoft 365 信任分析作为 Microsoft 365 控件框架一部分实现的控制的设计和操作效果。 来自 Microsoft 365 服务团队的反馈和来自 Microsoft 365 环境的持续监控数据为风险管理流程提供信息。
Microsoft 365 风险管理活动分为四个阶段:标识、评估、响应以及监控和报告。 Microsoft 365 中的风险管理是一个持续的迭代流程,包含来自风险所有者、关键服务和关键业务领域的反馈,以及对审核结果和控件实施的分析。 与风险所有者的定期风险审查会议使 Microsoft 365 Trust 能够根据需要更新和管理行动计划。 风险评估结果通过 Microsoft 365 管理进行审查和验证,并纳入 ERM 为 Microsoft 董事会提供的风险评估报告。