了解风险响应、监视和报告
在风险评估过程中,Microsoft 365 信任团队确定风险所有者,并与服务团队合作,以相应地应对每个风险。 风险缓解流程利用现有的 Microsoft 365 工程、服务操作和合规性工作流,实现及时操作和准确报告。 风险响应、监视和报告活动具有迭代性,专注于持续评估解决 Microsoft 365 面临的高级别风险进度。
风险响应
Microsoft 365 信任团队与服务团队协调,根据风险严重性对风险作出适当的响应。 风险响应策略分为四类:
- 容许: 低风险暴露领域,具有较低的控制级别。
- 操作:低风险暴露领域,应采取适当控制。
- 监测:高风险暴露领域,应采取适当控制,并监测其有效性。
- 改进:应优先处理高风险暴露、控制水平低的领域。
受影响的服务团队与 Microsoft 365 信任团队合作,制定详细的操作计划,以应对为其服务标识的风险。 作为风险评估的一部分,已分配的风险严重性决定了这些计划相应的审查和审批级别。 Microsoft 365 信任团队跟踪高级别风险,并与服务团队进行协调,以确保有效实施操作计划。 风险所有者定期与 Microsoft 365 信任团队会面,以更新风险评分,并评估解决已识别风险的进度。
运行状况监视和报告
对风险评估中确定的风险进行监控,并向相关利益干系人报告。 风险所有者与 Microsoft 365 信任团队之间的定期会议,包括对监视结果的评审,评估应对确定风险操作计划的进度。 如果监视指示计划无法有效地解决已确定的风险,作为持续风险管理的一部分,则要更新该操作计划。
Microsoft 365 风险管理中的监视和报告数据合并到 Microsoft 365 风险评估报表中。 Microsoft 365 管理会审查这些报告,并对Microsoft 365 的风险负责。 Microsoft 365 风险评估报告还包括 ERM 计划风险评估,以及其他 Microsoft 业务部门的类似报告。