リスクの対応、監視、レポートを理解する
リスク評価プロセスの後、Microsoft 365 Trust チームはリスクの所有者を特定し、サービス チームと連携してそれぞれのリスクに適切に対応します。 リスクの軽減プロセスでは、既存の Microsoft 365 エンジニアリング、サービス運用、コンプライアンス ワークフローを活用して、適切なタイミングでの対応と正確なレポートを可能にします。 リスク対応、監視、アクティビティのレポートは反復的であり、Microsoft 365 が直面する高レベルのリスクへの対応状況の継続的な評価に重点を置いています。
リスク対応
Microsoft 365 Trust チームは、サービス チームと連携し、重大度に応じてリスクに適切に対応します。 リスク対応戦略は、次の 4 つのカテゴリに分類されます。
- 許容: 漏えいの危険度が低い領域で、制御レベルも低い場合。
- 処理: 漏えいの危険度が低い領域で、制御が適切だとみなされる場合。
- 監視: 漏えいの危険度が高い領域で、制御が適切であり、監視が有効だとみなされる場合。
- 改善: 漏えいの危険度が高い領域で、制御レベルが低く、対処が最優先事項の場合。
影響を受けるサービス チームは、Microsoft 365 Trust チームと協力して、そのサービスで特定されたリスクに対応するための詳細なアクション プランを作成します。 リスク評価の一環として割り当てられたリスクの重大度によって、それらのプランの確認と承認の適切なレベルが決定されます。 Microsoft 365 Trust チームは、高レベルのリスクを追跡し、サービス チームとの調整を行い、アクション プランが効果的に展開されるようにします。 リスクの所有者は、Microsoft 365 Trust チームと定期的に面談を行い、リスク スコアを更新し、特定されたリスクへの対応状況を評価します。
リスクの監視とレポート
リスク評価の一環として特定されたリスクを監視し、関連する関係者へと報告を行います。 リスクの所有者と Microsoft 365 Trust チームとの間で行われる定期的な面談には、特定されたリスクへの対処に向けたアクション プランの進捗状況を評価するための監視結果の確認が含まれています。 監視によって特定されたリスクに対し効果的に対処できていないことが示された場合には、進行中のリスク管理の一環としてアクション プランが更新されます。
Microsoft 365 リスク管理からの監視データとレポート データは、Microsoft 365 リスク評価レポートに反映されています。 Microsoft 365 の管理者はこれらのレポートを確認し、Microsoft 365 内のリスクへのアカウンタビリティを提供します。 Microsoft のその他のビジネス ユニットからの同様のレポートと共に、Microsoft 365 リスク評価レポートも ERM プログラムのリスク評価へと情報を提供します。