Punteggio di Compliance Manager

Importante

I consigli di Compliance Manager non devono essere interpretati come una garanzia di conformità. Spetta all'utente valutare e convalidare l'efficacia dei controlli dei clienti in base all'ambiente normativo. Questi servizi sono soggetti ai termini e alle condizioni nelle Condizioni del prodotto. Vedere anche Linee guida sulle licenze di Microsoft 365 per la sicurezza e la conformità.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Informazioni sul punteggio di conformità

Il dashboard di Compliance Manager visualizza il punteggio di conformità complessivo. Questo punteggio misura lo stato di avanzamento nel completamento delle azioni di miglioramento consigliate all'interno dei controlli. Il punteggio può aiutare a comprendere il comportamento di conformità corrente. Può anche aiutare a dare priorità alle azioni in base al loro potenziale per ridurre il rischio.

A questi livelli viene assegnato un valore di punteggio:

  1. Azione di miglioramento: ogni azione ha un impatto diverso sul punteggio a seconda del rischio potenziale coinvolto. Per informazioni dettagliate, vedere Tipi di azione e punteggio riportati di seguito.

  2. Valutazione: questo punteggio viene calcolato usando i punteggi delle azioni di miglioramento. Ogni azione Microsoft e ogni azione di miglioramento gestita dall'organizzazione vengono conteggiate una volta, indipendentemente dalla frequenza con cui viene fatto riferimento in un controllo.

Il punteggio di conformità complessivo viene calcolato usando i punteggi delle azioni di miglioramento, in cui ogni azione Microsoft viene conteggiata una sola volta, ogni azione tecnica gestita viene conteggiata una volta e ogni azione non tecnica gestita viene conteggiata una volta per gruppo. Questa logica è progettata per fornire la contabilità più accurata del modo in cui le azioni vengono implementate e testate nell'organizzazione. Si può notare che ciò può causare un punteggio di conformità complessivo diverso dalla media dei punteggi di valutazione. Altre informazioni di seguito sul punteggio delle azioni.

Punteggio iniziale basato sulla baseline di protezione dei dati di Microsoft 365

Compliance Manager offre un punteggio iniziale basato sulla baseline di protezione dei dati di Microsoft 365. Questa linea di base è un set di controlli che include normative e standard chiave per la protezione dei dati e la governance generale dei dati. Questa linea di base trae elementi principalmente da NIST CSF (National Institute of Standards and Technology Cybersecurity Framework) e ISO (International Organization for Standardization), così come da FedRAMP (Federal Risk and Authorization Management Program) e GDPR (General Data Protection Regulation of the European Union).

Il punteggio iniziale viene calcolato in base alla valutazione predefinita della baseline di protezione dei dati fornita a tutte le organizzazioni. Alla prima visita, Compliance Manager sta già raccogliendo segnali dalle soluzioni Microsoft 365. Si vedrà a colpo d'occhio le prestazioni dell'organizzazione rispetto agli standard e alle normative di protezione dei dati principali e verranno visualizzate le azioni di miglioramento suggerite da intraprendere.

Poiché ogni organizzazione ha esigenze specifiche, Compliance Manager si basa sull'utente per configurare e gestire le valutazioni per ridurre al minimo e attenuare i rischi nel modo più completo possibile.

Tipi di azione e punteggio

Le azioni di miglioramento includono punti che vengono assegnati quando si completano i requisiti per l'implementazione. Lo stato dell'azione viene aggiornato nel dashboard entro 24 ore dalla modifica apportata. Dopo aver seguito una raccomandazione per implementare un controllo, lo stato del controllo verrà in genere aggiornato il giorno successivo.

I punti vengono assegnati per azione per valutazione. Ad esempio, se un'azione vale 10 punti ma viene visualizzata in due valutazioni, l'azione vale 20 punti complessivi per il tenant. Un'eccezione riguarda le azioni tecniche con ambito per il tenant. I punti per queste azioni vengono concessi una volta per azione, indipendentemente dal numero di gruppi a cui appartiene l'azione.

Azioni per i servizi supportati da Microsoft Defender per il cloud

Il punteggio complessivo di un'azione di miglioramento si basa sulla media dei punteggi ricevuti dalle sottoscrizioni. A ogni sottoscrizione viene assegnato un punteggio in base allo stato delle risorse virtuali pertinenti.

Si consideri, ad esempio, un'azione con due sottoscrizioni, A e B. La sottoscrizione A ha completato 0 risorsa su 1 e la sottoscrizione B ha completato 1 risorsa su 2. I punteggi della sottoscrizione sono: A è 0%, B è 50%. I due punteggi di sottoscrizione vengono calcolati in media per ottenere il punteggio complessivo dell'azione del 25%.

Come vengono determinati i valori del punteggio

Alle azioni viene assegnato un valore di punteggio in base al fatto che siano obbligatorie o discrezionali e che siano preventive, detective o correttive.

Azioni obbligatorie e discrezionali

  • Le azioni obbligatorie non possono essere ignorate, intenzionalmente o accidentalmente. Un esempio di azione obbligatoria è un criterio password gestito centralmente che imposta i requisiti per la lunghezza, la complessità e la scadenza della password. Per accedere al sistema, gli utenti devono attenersi a questi requisiti.

  • Le azioni discrezionali si basano sugli utenti per comprendere e rispettare un criterio. Ad esempio, un criterio che richiede agli utenti di bloccare il computer in modalità automatica è un'azione discrezionale perché si basa sull'utente.

Azioni preventive, investigative e correttive

  • Le azioni preventive affrontano rischi specifici. Ad esempio, la protezione delle informazioni archiviate con la crittografia è un’azione preventiva contro attacchi e violazioni. La separazione dei compiti è un’azione preventiva per gestire i conflitti di interesse e prevenire le frodi.

  • Le azioni detective monitorano attivamente i sistemi per identificare condizioni o comportamenti irregolari che rappresentano rischi o che possono essere usati per rilevare intrusioni o violazioni. Gli esempi includono il controllo dell'accesso di sistema e le azioni amministrative con privilegi. I controlli di conformità alle normative sono un tipo di azione investigativa usata per individuare i problemi del processo.

  • Le azioni correttive cercano di ridurre al minimo gli effetti negativi di un evento imprevisto di sicurezza, intraprendere azioni correttive per ridurre l'effetto immediato e, se possibile, invertire il danno. La risposta a un incidente relativo alla privacy è un’azione correttiva per limitare i danni e ripristinare i sistemi a uno stato operativo dopo una violazione.

Ogni azione ha un valore assegnato in Compliance Manager in base al rischio che rappresenta:

Tipo Punteggio assegnato
Prevenzione obbligatoria 27
Discrezione preventiva 9
Detective obbligatorio 3
Detective discrezionale 1
Obbligatorio correttivo 3
Correttivo discrezionale 1

Valori del punto di azione di Compliance Manager.