Classificação do Gestor de Conformidade

Importante

As recomendações do Gerenciador de Conformidade não devem ser interpretadas como uma garantia de conformidade. Cabe-lhe a si avaliar e validar a eficácia dos controlos dos clientes de acordo com o seu ambiente regulamentar. Estes serviços estão sujeitos aos termos e condições nos Termos do Produto. Veja também Orientações de licenciamento do Microsoft 365 para segurança e conformidade.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Compreender a classificação de compatibilidade

O Gestor de Conformidade dashboard apresenta a classificação de conformidade geral. Esta classificação mede o seu progresso na conclusão das ações de melhoria recomendadas nos controlos. A sua classificação pode ajudá-lo a compreender a sua postura de conformidade atual. Também pode ajudá-lo a priorizar ações com base no seu potencial para reduzir o risco.

É atribuído um valor de classificação a estes níveis:

  1. Ação de melhoria: cada ação tem um impacto diferente na sua classificação, dependendo do risco potencial envolvido. Veja Tipos de ação e classificação abaixo para obter detalhes.

  2. Avaliação: esta classificação é calculada com as classificações de ações de melhoria. Cada ação da Microsoft e cada ação de melhoramento gerida pela sua organização é contabilizada uma vez, independentemente da frequência com que é referenciada num controlo.

A classificação de conformidade geral é calculada através de classificações de ações de melhoramento, em que cada ação da Microsoft é contada uma vez, cada ação técnica que gere é contada uma vez e cada ação não técnica que gere é contada uma vez por grupo. Esta lógica foi concebida para fornecer a contabilidade mais precisa de como as ações são implementadas e testadas na sua organização. Poderá reparar que isto pode fazer com que a classificação de conformidade geral seja diferente da média das classificações de avaliação. Leia mais abaixo sobre como as ações são classificadas.

Classificação inicial baseada na linha de base de proteção de dados do Microsoft 365

O Gestor de Conformidade dá-lhe uma classificação inicial com base na linha de base de proteção de dados do Microsoft 365. Esta linha base é um conjunto de controlos que inclui regulamentos e normas fundamentais para a proteção de dados e a governação geral de dados. Esta linha de base baseia-se principalmente em elementos da NIST CSF (National Institute of Standards and Technology Cybersecurity Framework) e da ISO (International Organization for Standardization), bem como da FedRAMP (Federal Risk and Authorization Management Program) e do RGPD (Regulamento Geral sobre a Proteção de Dados da União Europeia).

A classificação inicial é calculada de acordo com a avaliação predefinida da Linha de Base de Proteção de Dados fornecida a todas as organizações. Após a sua primeira visita, o Gestor de Conformidade já está a recolher sinais das suas soluções do Microsoft 365. Verá rapidamente o desempenho da sua organização em relação aos principais padrões e regulamentos de proteção de dados e vê as ações de melhoramento sugeridas a realizar.

Uma vez que todas as organizações têm necessidades específicas, o Gestor de Conformidade depende de si para configurar e gerir avaliações para ajudar a minimizar e mitigar o risco o mais abrangente possível.

Tipos de ação e classificação

As ações de melhoria têm pontos atribuídos quando preenche os requisitos de implementação. A sua status de ação é atualizada no seu dashboard no prazo de 24 horas após a alteração. Depois de seguir uma recomendação para implementar um controlo, normalmente verá o controlo status atualizado no dia seguinte.

Os pontos são atribuídos por ação por avaliação. Por exemplo, se uma ação valer 10 pontos, mas aparecer em duas avaliações, a ação vale 20 pontos no total para o seu inquilino. Uma exceção destina-se a ações técnicas que estão confinadas ao seu inquilino; os pontos para estas ações são concedidos uma vez por ação, independentemente do número de grupos a que a ação pertence.

Ações para serviços suportados pelo Microsoft Defender para a Cloud

A classificação geral de uma ação de melhoramento baseia-se na média das classificações recebidas pelas respetivas subscrições. Cada subscrição é classificada com base na status dos recursos virtuais relevantes.

Por exemplo, considere uma ação com duas subscrições, A e B. A subscrição A tem 0 em 1 recurso concluído e a subscrição B tem 1 em 2 recursos concluídos. As classificações da subscrição são: A é 0%, B é 50%. As duas classificações de subscrição são médias para obter a classificação de ação global de 25%.

Como os valores de classificação são determinados

As ações recebem um valor de classificação com base no facto de serem obrigatórias ou discricionárias e se são preventivas, detectives ou corretivas.

Ações obrigatórias e discricionárias

  • As ações obrigatórias não podem ser ignoradas, intencionalmente ou acidentalmente. Um exemplo de uma ação obrigatória é uma política de palavra-passe gerida centralmente que define os requisitos para o comprimento, complexidade e expiração da palavra-passe. Os usuários devem seguir estes requisitos para acessar o sistema.

  • As ações discricionárias dependem dos utilizadores para compreender e cumprir uma política. Por exemplo, uma política que exige que os utilizadores bloqueiem o computador quando são automáticas é uma ação discricionária porque depende do utilizador.

Ações preventivas, detectives e corretivas

  • Ações preventivas abordam riscos específicos. Por exemplo, proteger as informações em repouso usando criptografia é um controle preventivo contra ataques e violações. A separação de funções é uma ação preventiva para gerenciar conflitos de interesse e proteger contra fraudes.

  • As ações de detective monitorizam ativamente os sistemas para identificar condições ou comportamentos irregulares que representam riscos ou que podem ser utilizados para detetar intrusões ou violações. Os exemplos incluem auditoria de acesso ao sistema e ações administrativas privilegiadas. As auditorias de conformidade regulamentar são um tipo de ação de detetive utilizada para encontrar problemas de processo.

  • As ações corretivas tentam manter os efeitos adversos de um incidente de segurança no mínimo, tomar medidas corretivas para reduzir o efeito imediato e reverter os danos, se possível. A resposta a incidentes de privacidade é uma ação corretiva para limitar os danos e restaurar os sistemas a um estado operacional após uma violação.

Cada ação tem um valor atribuído no Gestor de Conformidade com base no risco que representa:

Tipo Pontuação atribuída
Obrigatório preventivo 27
Discricionárias preventivas 9
Detective obrigatório 3
Detective discricionário 1
Obrigatória corretiva 3
Discricionário corretivo 1

Valores do ponto de ação do Gestor de Conformidade.