了解风险标识和风险评估
风险标识
Microsoft 365 风险管理从风险识别开始。 风险识别强调发现活动,以确定所有关键控制区域的已知风险来源、内部和外部威胁以及 Microsoft 365 环境中的漏洞。 Microsoft 365 信任团队与 Microsoft 365 服务团队进行访谈,以确定与 Microsoft 365 服务和依赖项相关的新风险。 服务团队主题专家 (SME) 的专业知识提供有关随着服务增长、添加新功能或利用新依赖项而可能会以增量方式引入的风险的见解。
除了 SME 访谈之外,风险识别过程还包含来自持续监视的数据,包括漏洞扫描、红队/蓝队攻击模拟、独立审核结果和事件管理活动。 例如,如果红色团队攻击模拟指示存在现有控制实现的漏洞,则该信息将包含在风险识别过程中。 对上一年审核结果和发现趋势的评价(在控件中公开了差距)是风险识别中包含的其他来源示例。 标识过程还包括对决策日志、活动安全性和合规性异常、缓解工作以及在以前的风险评估过程中标识的风险的评审。
Microsoft 365 信任团队使用 SME 访谈和持续监视数据来识别 Microsoft 365 环境的风险。 在整个过程中,Microsoft 365 信任团队与服务团队和风险所有者合作,以验证识别的风险的准确性和完整性。 确定所有相关风险后,Microsoft 365 信任团队将继续进行风险评估。
风险评估
Microsoft 365 信任团队使用影响、可能性和控制缺陷的 ERM 风险评估方法评估每个已确定的风险。 影响解决正在实现的风险的负面影响,例如丢失数据机密性、客户信任或合规性认证。 Probabilit 确定潜在风险实现的概率。 通过检查任何过去出现的频率以及将来出现的概率来计算可能性。 最后,通过分析已实施的安全控制措施在缓解已识别的风险方面的有效性来计算控制缺陷。 这些指标用于计算残差风险分数,该分数表示缓解控制后每个风险的严重性。
计算风险分数后,Microsoft 365 信任团队会按严重性对风险进行分类。 这些类别与 ERM 风险评估方法一致,并提供 Microsoft 365 面临的高级风险的汇总视图。 风险可能分为四个严重性类别之一:
- 严重:极高风险暴露区域,没有适当控制措施或控制措施未按预期运行,且需要采取补救措施减轻现有风险的。
- 高:高风险暴露区域,没有适当控制措施或控制措施未按预期运行,且需要采取补救措施减轻现有风险的。
- 中:中风险暴露区域,存在中度控制缺陷、控制不充分或控制未按预期运行。
- 低:中风险暴露区域,在实施的控件或策略中存在细微缺陷。
Microsoft 365 信任团队评估所有已确定的风险并对这些风险进行分类后,他们将与每个服务团队的利益干系人会面,以确保其评估准确反应了 Microsoft 365 的风险状况。 评估结果由 Microsoft 365 管理进行评审。