Microsoft 365 風險管理簡介
風險管理是識別、評估及回應可能會影響公司或客戶目標的威脅或事件。 在 Microsoft,我們會優先處理有效的風險管理,因為我們業務中逐漸成長的部分包含各種運算裝置上可用的雲端式服務。 Microsoft 的風險管理旨在預測新的威脅,並為我們的雲端系統及使用這些系統的客戶提供持續的安全性。
Microsoft 的風險管理程式符合企業風險管理 (ERM) 架構。 ERM 會啟動整體企業風險管理程序,並與企業中的管理作業搭配運作,以識別並確定 Microsoft 最重要風險的責任歸屬。 我們的 ERM 計畫符合 ISO 31000:2009 風險管理標準與贊助組織委員會 (COSO) 內部控制架構,可確保我們遵循風險管理的業界最佳做法。
Microsoft ERM 可在整個企業中啟用常見的風險管理活動,讓業務單位可以獨立地促進一致且比較的風險評估。 ERM 會為 Microsoft 的業務單位提供風險管理程序常用的方法、工具和目標。 Microsoft 365 和其他工程小組及業務單位可在 ERM 的指引下,運用這些工具進行個別風險評估,讓這些評估成為他們風險管理計畫的一部分。
Microsoft 365 風險管理小組會遵循 ERM 指引來管理 Microsoft 365 服務的風險。 Microsoft 365 風險管理計畫會與設計、建置及操作 Microsoft 365 服務的服務團隊進行訪談,以識別目前的風險和問題區域,並以此作為持續風險評估活動的一部分。 這些活動及持續監視資料、稽核和其他來源的其他分析,可用來開發風險評估報告,以識別長期業務目標的目前和未來風險。 風險評估報告會根據 Microsoft 365 小組的發現和意見反應,提供 Microsoft 365 風險狀況的高階概觀。 Microsoft 365 風險評估報告加上其他業務單位的類似報告,即可促成或通知 ERM 計畫風險的評估結果。
風險管理是一項重要的練習,可讓 Microsoft 保護我們的組織、個別業務單位 (例如 Microsoft 365) 和我們的客戶。 本單元說明 Microsoft 如何管理企業層級上的風險,並詳細說明 Microsoft 365 用來識別、評估、報告及監視風險的特定活動。