Microsoft 365 風險管理計畫

Microsoft 365 風險管理計劃的目的是要識別、評估及管理 Microsoft 365 的風險。 Microsoft 的優先順序是主動找出並解決可能會影響我們的服務基礎結構，以及客戶、其資料及其信任的風險。 此外，必須有健全的風險管理計劃，才能符合合約義務，並維護客戶依賴的公開認證，以滿足他們自己的合規性需求。 雖然 Microsoft 365 風險管理計劃會獨立運作，但它與 ERM (ERM) 計畫的原則、優先順序和方法完全一致。 使用 ERM 計畫可讓各業務單位和工程群組進行一致的比較，以提供更一致的方法來管理整個企業的風險。

Microsoft 365 信任小組負責管理 Microsoft 365 風險管理計劃，並執行 ERM 計畫所定義的活動。 信任小組著重于整合風險管理架構與現有的 Microsoft 365 工程、服務作業和合規性程式，讓風險管理程式更有效率且更有效率。

信任小組也會維護 Microsoft 365 控制項架構，這是一組合理化的控制項，在適當實作支援合規性活動時，可讓工程小組遵守重要法規和認證。 此架構會根據意見反應和結果持續更新，作為風險管理程式的一部分。

風險管理活動分為四個階段：識別、評量、回應，以及監視和報告。

識別

風險管理程式會從識別所有重要控制區域、內部和外部威脅，以及 Microsoft 365 環境中弱點的所有可能風險開始。 引導此程式的資訊來自多個來源，包括面試、弱點掃描、攻擊模擬練習、稽核結果和事件管理活動。

信任小組會面試主題專家， (來自多個服務小組的 SME) ，瞭解先前發現的風險，以及可能隨著服務成長而引進的潛在未來風險。 此外，SME 有助於驗證從其他持續監視來源識別的風險精確度和完整性。

識別階段也是在檢閱決策記錄、作用中的安全性與合規性例外狀況，以及先前風險評估的緩和工作時。

評定

每個識別的風險都會使用三個計量進行評估：影響、可能性和控制缺陷。

• 影響是指如果要實現該風險，將會對服務、企業或 Microsoft 造成損害。 對 Microsoft 的影響可能包括信譽受損、客戶損失或法律/合規性影響。
• [可能性] 會定義實現潛在風險的機率，並藉由分析發生風險的機率和頻率來計算。
• 控制措施會測量已實作的風險降低控制措施的有效性。

這些計量可用來計算代表每個風險嚴重性的風險分數，並考慮現有的風險降低策略。 風險會匯總並呈現給每個服務的重要專案關係人，以確認 Microsoft 365 風險狀態的正確性和完整性。

回應

使用 Microsoft 365 的已驗證風險清單，信任小組會將風險指派給受影響的服務，以進行風險回應。 定義的指導方針可協助根據風險分數和控制有效性來判斷適當的風險回應策略。 風險回應策略分為四個類別：

• 容許：低風險暴露的區域與低層級的控制措施。
• 運作：低風險暴露的區域，其中控制措施被視為適當。
• 監視：高風險暴露的區域，其中控制措施被視為適當，但應進行監視其有效性。
• 改善：具有低控制層級的高風險暴露區域，是處理時的優先順序。

信任小組會與服務小組協調，以開發解決每個風險的計畫。 嚴重性層級會決定每個計畫的適當檢閱和核准層級。 針對需要採取動作的風險，現有的工程 Bug 程式會用於追蹤、管理和做出例外狀況決策。 使用工程和作業小組熟悉的程式，可讓風險回應更有效率且更有效率。

監視和報告

會監視在風險評估過程中識別的風險，並回報給相關專案關係人。 監視策略包括安全性監視、定期風險檢閱、滲透測試和弱點掃描。 這些監視工作會作為資料來源，以報告關鍵效能指標、建立儀表板，以及開發正式報告，這些全都可通知未來的風險決策。

信任小組一年會與每個服務的風險擁有者開會多次，以檢閱風險分數、評估其行動計畫的有效性，以及視需要進行更新。 此外，Microsoft 365 的風險評估活動也適用于 ERM 計畫的企業風險評估，其為 Microsoft 資深管理和 ERM 計畫提供 Microsoft 風險狀態的高階概觀。