Giải pháp tuân thủ quy định trong Office 365

Trình quản lý tuân thủ (Compliance Manager), công cụ đánh giá rủi ro dựa trên quy trình công việc trong Cổng thông tin dịch vụ của Microsoft, cho phép bạn theo dõi, chỉ định và xác minh các hoạt động tuân thủ quy định của tổ chức của bạn liên quan đến Dịch vụ chuyên nghiệp của Microsoft và dịch vụ đám mây của Microsoft, như Microsoft Office 365, Microsoft Dynamics 365 và Microsoft Azure.

Quản lý tuân thủ:

  • Kết hợp thông tin chi tiết do Microsoft cung cấp cho giám sát viên và nhà quản lý như một phần của các cuộc giám sát khác nhau của bên thứ ba đối với các dịch vụ đám mây của Microsoft theo các tiêu chuẩn khác nhau (ví dụ: ISO 27001, ISO 27018 và NIST) và thông tin mà Microsoft biên dịch nội bộ để tuân thủ với các quy định (như HIPAA và Quy định bảo vệ dữ liệu chung của EU hoặc GDPR) với sự tự đánh giá của chính bạn về sự tuân thủ của tổ chức của bạn với các tiêu chuẩn và quy định này.
  • Cho phép bạn chỉ định, theo dõi và ghi lại các hoạt động liên quan đến đánh giá và tuân thủ, có thể giúp tổ chức của bạn vượt qua các rào cản nhóm để đạt được các mục tiêu tuân thủ của tổ chức.
  • Cung cấp Điểm tuân thủ để giúp bạn theo dõi tiến trình của mình và ưu tiên kiểm soát giám sát sẽ giúp giảm rủi ro của tổ chức bạn.
  • Cung cấp một kho lưu trữ an toàn để bạn tải lên và quản lý bằng chứng và các đồ tạo tác khác liên quan đến các hoạt động tuân thủ của bạn.
  • Tạo các báo cáo chi tiết phong phú trong Microsoft Excel, ghi lại các hoạt động tuân thủ được thực hiện bởi Microsoft và tổ chức của bạn, có thể được cung cấp cho giám sát viên, nhà quản lý và các bên liên quan tuân thủ khác.

Bắt đầu với Cổng thông tin Microsoft Service Trust

Cổng thông tin dịch vụ của Microsoft cung cấp nhiều nội dung, công cụ và các tài nguyên khác về thực tiễn bảo mật, quyền riêng tư và tuân thủ của Microsoft.

Truy cập Cổng thông tin dịch vụ

Cổng thông tin dịch vụ chứa thông tin chi tiết về việc triển khai các kiểm soát và quy trình của Microsoft bảo vệ các dịch vụ đám mây của chúng tôi và dữ liệu khách hàng trong đó. Để truy cập một số tài nguyên trên Cổng thông tin dịch vụ, bạn phải đăng nhập với tư cách là người dùng được xác thực bằng tài khoản dịch vụ đám mây của Microsoft (tài khoản tổ chức Azure Active Directory hoặc Tài khoản Microsoft) và xem xét và chấp nhận Thỏa thuận không tiết lộ của Microsoft cho Tài liệu tuân thủ.

Khách hàng hiện tại có thể truy cập Cổng thông tin dịch vụ tại https://aka.ms/STP với một trong những đăng ký trực tuyến sau (dùng thử hoặc trả phí):

  • Office 365
  • Dynamics 365
  • Azure

Khách hàng mới và khách hàng đánh giá các dịch vụ trực tuyến của Microsoft

Để tạo tài khoản mới hoặc tạo tài khoản dùng thử, hãy sử dụng một trong các hình thức đăng ký sau (cũng được sử dụng cho tài khoản dùng thử) để có quyền truy cập vào STP.

  • Đăng ký tài khoản dùng thử Office 365 Business mới hoặc tài khoản dùng thử Office 365 Enterprise mới
  • Đăng ký tài khoản dùng thử Dynamics 365 mới
  • Đăng ký tài khoản dùng thử Azure mới.

Khi bạn đăng ký dùng thử miễn phí hoặc đăng ký, bạn phải kích hoạt Azure Active Directory để hỗ trợ quyền truy cập vào STP.

Sử dụng Cổng thông tin dịch vụ

Các tính năng và nội dung của Cổng thông tin dịch vụ có thể truy cập được từ menu chính.

Các phần sau đây mô tả từng mục trong menu chính.

Cổng thông tin dịch vụ

Liên kết Cổng dịch vụ tin cậy hiển thị trang chủ. Nó cung cấp một cách nhanh chóng để trở lại trang chủ.

Tuân thủ

Cung cấp các công cụ và tài nguyên liên quan đến tuân thủ sau đây:

  • Báo cáo giám sát – Một danh sách các báo cáo đánh giá và giám sát độc lập trên các dịch vụ Đám mây của Microsoft được hiển thị. Các báo cáo này cung cấp thông tin về việc tuân thủ các dịch vụ của Microsoft Cloud với các tiêu chuẩn bảo vệ dữ liệu và các yêu cầu quy định, như:
    • Tổ chức tiêu chuẩn hóa quốc tế (ISO)
    • Kiểm soát tổ chức dịch vụ (SOC)
    • Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST)
    • Chương trình quản lý rủi ro và ủy quyền liên bang (FedRAMP)
    • Quy định bảo vệ dữ liệu chung (GDPR)

Thông tin về báo cáo giám sát và liên kết đến trang báo cáo Giám sát cũng được hiển thị trên trang chủ Cổng thông tin dịch vụ.

  • Trình quản lý tuân thủ – Trình quản lý tuân thủ là một công cụ đánh giá rủi ro dựa trên quy trình công việc giúp bạn theo dõi, chỉ định và xác minh các hoạt động tuân thủ quy định của tổ chức của bạn liên quan đến các dịch vụ của Microsoft Cloud, như Office 365, Dynamics 365 và Azure. Sử dụng Trình quản lý tuân thủ để quản lý tuân thủ quy định trong mô hình trách nhiệm chung của đám mây.

Ngành & Khu vực

Cung cấp thông tin tuân thủ theo ngành và khu vực cụ thể về các dịch vụ Microsoft Cloud.

  • Các ngành – Cung cấp các trang đích dành riêng cho ngành để biết thông tin và về cách các dịch vụ của Microsoft Cloud giúp tổ chức của bạn tuân thủ các tiêu chuẩn và quy định cho các ngành này:
    • Giáo dục
    • Các dịch vụ tài chính
    • Chính quyền
    • Sức khỏe
    • Chế tạo
    • Bán lẻ
  • Khu vực – Cung cấp ý kiến pháp lý về việc tuân thủ các dịch vụ của Microsoft Cloud theo luật pháp của nhiều quốc gia khác nhau. Các quốc gia cụ thể bao gồm Úc, Cộng hòa Séc, Đức, Ba Lan, Romania, Tây Ban Nha và Vương quốc Anh.

Tài liệu & Tài nguyên

Cung cấp nhiều thông tin thiết kế và triển khai bảo mật với mục tiêu giúp bạn dễ dàng đáp ứng các mục tiêu tuân thủ quy định bằng cách hiểu cách các dịch vụ của Microsoft Cloud giữ an toàn cho dữ liệu của bạn. Để xem lại nội dung, chọn một trong các tùy chọn trên trang Tài liệu & Tài nguyên.

  • Sách trắng, Câu hỏi thường gặp và Cách viết bài
  • Hướng dẫn tuân thủ
  • Kiểm tra bút và đánh giá bảo mật
  • Điểm an toàn
  • Bản thiết kế tuân thủ và bảo mật Azure
  • Kiểm soát giám sát

Trung tâm tin cậy

Liên kết đến Trung tâm tin cậy của Microsoft, nơi cung cấp thêm thông tin về bảo mật, tuân thủ và quyền riêng tư trong Microsoft Cloud. Điều này bao gồm thông tin về các khả năng trong các dịch vụ của Microsoft Cloud mà bạn có thể sử dụng để giải quyết các yêu cầu cụ thể về GDPR, tài liệu hữu ích cho trách nhiệm giải trình GDPR của bạn và hiểu biết về các biện pháp kỹ thuật và tổ chức mà Microsoft đã thực hiện để hỗ trợ GDPR.

Thư viện của tôi

Tính năng mới này cho phép bạn lưu (hoặc ghim) tài liệu để bạn có thể nhanh chóng truy cập chúng trên trang Thư viện của tôi. Bạn cũng có thể thiết lập thông báo để Microsoft gửi cho bạn một thông báo email khi các tài liệu trong Thư viện của tôi được cập nhật.

Quản trị viên

Chức năng quản trị chỉ dành cho tài khoản quản trị viên toàn cầu. Tùy chọn này chỉ hiển thị khi bạn đăng nhập với tư cách quản trị viên toàn cầu.

Trang Cài đặt cho phép bạn chỉ định quyền truy cập dựa trên vai trò cho Trình quản lý tuân thủ.

Tìm kiếm

Nhấp vào kính lúp ở góc trên bên phải của trang Cổng thông tin dịch vụ để mở rộng hộp, nhập cụm từ tìm kiếm của bạn và nhấn Enter.

Trang Tìm kiếm được hiển thị, với cụm từ tìm kiếm được hiển thị trong hộp tìm kiếm và kết quả tìm kiếm được liệt kê bên dưới.

Theo mặc định, Tìm kiếm trả về kết quả tài liệu. Bạn có thể kết quả bằng cách sử dụng danh sách thả xuống để tinh chỉnh danh sách các tài liệu được hiển thị. Bạn có thể sử dụng nhiều bộ lọc để thu hẹp danh sách tài liệu. Các bộ lọc bao gồm các dịch vụ đám mây cụ thể, các danh mục tuân thủ hoặc thực tiễn bảo mật, khu vực và ngành. Nhấp vào liên kết tên tài liệu để tải xuống tài liệu.

Để liệt kê các kiểm soát từ Assessments in Compliance Manager liên quan đến cụm từ tìm kiếm của bạn, hãy nhấp vào Trình quản lý tuân thủ. Kết quả tìm kiếm hiển thị ngày đánh giá được tạo, tên của nhóm đánh giá, dịch vụ Microsoft Cloud hiện hành và liệu kiểm soát là Microsoft hay Khách hàng quản lý. Nhấp vào tên của các kiểm soát để xem trong Assessments in Compliance Manager.

Thư viện của tôi

Sử dụng tính năng Thư viện của tôi để thêm tài liệu và tài nguyên trên Cổng thông tin dịch vụ vào trang Thư viện của tôi. Điều này cho phép bạn truy cập các tài liệu có liên quan đến bạn ở một nơi duy nhất. Để thêm tài liệu vào Thư viện của tôi, nhấp vào menu … ở bên phải tài liệu và sau đó chọn Lưu vào thư viện. Bạn có thể thêm nhiều tài liệu vào Thư viện của tôi bằng cách nhấp vào hộp kiểm bên cạnh một hoặc nhiều tài liệu, sau đó nhấp vào Lưu vào thư viện ở đầu trang.

Ngoài ra, tính năng thông báo cho phép bạn định cấu hình Thư viện của tôi để thông báo email được gửi cho bạn bất cứ khi nào Microsoft cập nhật tài liệu mà bạn đã thêm vào Thư viện của tôi. Để thiết lập thông báo, hãy truy cập Thư viện của tôi và nhấp vào Cài đặt thông báo. Bạn có thể chọn tần suất thông báo và chỉ định địa chỉ email trong tổ chức của mình để gửi thông báo tới. Thông báo qua email bao gồm các liên kết đến các tài liệu đã được cập nhật và mô tả ngắn gọn về bản cập nhật.

Cũng lưu ý rằng chúng tôi xác định bất kỳ tài liệu nào trong Thư viện của tôi đã được cập nhật trong vòng 30 ngày qua, bất kể bạn có bật thông báo hay không. Một mô tả ngắn gọn về bản cập nhật cũng được hiển thị trong một mẹo công cụ.

Gói khởi đầu

Gói Starter là một bộ tài liệu được Microsoft quản lý về các dịch vụ Microsoft Cloud cho các ngành cụ thể. Hiện tại, Cổng thông tin dịch vụ cung cấp ba gói khởi đầu sau đây cho các tổ chức dịch vụ tài chính. Các gói khởi đầu này giúp các tổ chức đánh giá và đánh giá tính bảo mật, tuân thủ và quyền riêng tư trong Microsoft Cloud và cung cấp hướng dẫn để giúp triển khai các dịch vụ Microsoft Cloud trong ngành dịch vụ tài chính được quản lý chặt chẽ.

  • Gói khởi đầu đánh giá – Sử dụng để đánh giá sớm đám mây của Microsoft cho các tổ chức dịch vụ tài chính.
  • Gói khởi đầu đánh giá – Sau khi đánh giá, hãy sử dụng danh sách kiểm tra và hướng dẫn khác trong gói khởi đầu này để giúp tổ chức của bạn đánh giá rủi ro liên quan đến bảo mật, tuân thủ và quyền riêng tư.
  • Audit Starter Pack – Sử dụng gói khởi động này để được hướng dẫn sử dụng các kiểm soát giám sát và công cụ khác để giúp hướng dẫn bạn triển khai các dịch vụ Microsoft Cloud theo cách giúp giảm rủi ro của tổ chức.

Để truy cập các gói khởi đầu này, hãy truy cập Cổng thông tin dịch vụ > Ngành & Khu vực > Giải pháp ngành > Dịch vụ tài chính. Bạn có thể mở hoặc tải xuống các tài liệu từ gói khởi động hoặc lưu chúng vào Thư viện của tôi.

Hỗ trợ bản địa hóa

Cổng thông tin dịch vụ cho phép bạn xem nội dung trang bằng các ngôn ngữ khác nhau. Để thay đổi ngôn ngữ trang, chỉ cần nhấp vào biểu tượng quả địa cầu ở góc dưới bên trái của trang và chọn ngôn ngữ bạn chọn.

Sử dụng Trình quản lý tuân thủ để giúp đáp ứng các yêu cầu về quy định và bảo vệ dữ liệu khi sử dụng các dịch vụ đám mây của Microsoft

Quản lý tuân thủ là gì?

Trình quản lý tuân thủ là một công cụ đánh giá rủi ro dựa trên quy trình công việc được thiết kế để giúp bạn quản lý tuân thủ quy định trong mô hình trách nhiệm chung của đám mây. Trình quản lý tuân thủ cung cấp cho bạn chế độ xem bảng kiểm soát về các tiêu chuẩn và quy định và đánh giá có chứa chi tiết triển khai kiểm soát của Microsoft và kết quả kiểm tra cũng như hướng dẫn và theo dõi thực hiện kiểm soát khách hàng để tổ chức của bạn tham gia. Bộ quản lý tuân thủ cung cấp các định nghĩa kiểm soát đánh giá chứng nhận, hướng dẫn thực hiện và kiểm tra kiểm soát, chấm điểm kiểm soát theo rủi ro, quản lý truy cập dựa trên vai trò và quy trình phân công hành động kiểm soát tại chỗ để theo dõi việc thực hiện kiểm soát, kiểm tra tình trạng và quản lý bằng chứng. Trình quản lý tuân thủ tối ưu hóa khối lượng công việc tuân thủ bằng cách cho phép khách hàng phân nhóm hợp lý các đánh giá và áp dụng thử nghiệm kiểm soát đánh giá cho các kiểm soát giống hệt hoặc có liên quan, giảm sự trùng lặp nỗ lực có thể được yêu cầu để đáp ứng các yêu cầu kiểm soát giống hệt nhau qua các chứng nhận khác nhau.

Đánh giá trong Quản lý tuân thủ

Thành phần cốt lõi của Trình quản lý tuân thủ được gọi là Đánh giá. Đánh giá được hiểu là đánh giá về dịch vụ của Microsoft theo tiêu chuẩn chứng nhận hoặc quy định bảo vệ dữ liệu (như ISO 27001: 2013 và GDPR). Đánh giá giúp bạn phân biệt tư thế tuân thủ và bảo vệ dữ liệu của tổ chức của bạn theo tiêu chuẩn ngành đã chọn cho dịch vụ đám mây của Microsoft đã chọn. Đánh giá được hoàn thành bằng cách thực hiện các kiểm soát dẫn tới tiêu chuẩn chứng nhận được đánh giá.

Cấu trúc của Đánh giá dựa trên trách nhiệm được chia sẻ giữa Microsoft và tổ chức của bạn trong việc đánh giá rủi ro bảo mật và tuân thủ trong đám mây và để thực hiện các biện pháp bảo vệ bảo vệ dữ liệu được chỉ định bởi tiêu chuẩn tuân thủ, tiêu chuẩn bảo vệ dữ liệu, quy định hoặc pháp luật.

Một đánh giá được tạo thành từ một số thành phần, đó là:

  • In-Scope Services – Mỗi đánh giá áp dụng cho một bộ dịch vụ cụ thể của Microsoft, được liệt kê trong phần Dịch vụ đám mây trong phạm vi.
  • Microsoft-Managed Controls – Đối với mỗi dịch vụ đám mây, Microsoft triển khai và quản lý một bộ các kiểm soát như một phần tuân thủ của Microsoft với các tiêu chuẩn và quy định khác nhau. Các kiểm soát này được tổ chức thành các họ kiểm soát phù hợp với cấu trúc từ chứng nhận hoặc quy định tương ứng mà Đánh giá được căn chỉnh theo. Đối với mỗi kiểm soát do Microsoft quản lý, Trình quản lý tuân thủ cung cấp chi tiết về cách Microsoft triển khai kiểm soát, cùng với cách thức và thời điểm thực hiện đó được kiểm tra và xác thực bởi giám sát viên bên thứ ba độc lập.

Dưới đây là ví dụ về ba kiểm soát do Microsoft quản lý trong họ Kiểm soát bảo mật từ Đánh giá Office 365 và GDPR.

  1. Chỉ định thông tin sau từ chứng nhận hoặc quy định ánh xạ tới kiểm soát do Microsoft quản lý.
  • ID kiểm soát – Phần hoặc số bài viết từ chứng nhận hoặc quy định mà kiểm soát ánh xạ tới.
  • Tiêu đề – Tiêu đề từ chứng nhận hoặc quy định tương ứng.
  • ID bài viết – Trường này chỉ được bao gồm cho các đánh giá GDPR, vì nó chỉ định số bài viết GDPR tương ứng.
  • Mô tả – Văn bản của tiêu chuẩn hoặc quy định ánh xạ tới kiểm soát do Microsoft quản lý đã chọn.
  1. Điểm tuân thủ cho kiểm soát, cho biết mức độ rủi ro (do không tuân thủ hoặc không kiểm soát) liên quan đến mỗi kiểm soát do Microsoft quản lý.
  2. Thông tin về trạng thái thực hiện của kiểm soát, ngày kiểm soát đã được kiểm tra, người thực hiện thử nghiệm và kết quả thử nghiệm.
  3. Đối với mỗi kiểm soát, bạn có thể nhấp vào Thêm để xem thông tin bổ sung, bao gồm chi tiết về việc triển khai kiểm soát của Microsoft và chi tiết về cách kiểm soát được kiểm tra và xác thực bởi giám sát viên bên thứ ba độc lập.
  • Customer-Managed Controls – Đây là tập hợp các kiểm soát được quản lý bởi tổ chức của bạn. Tổ chức của bạn chịu trách nhiệm triển khai các kiểm soát này như một phần của quy trình tuân thủ của bạn đối với một tiêu chuẩn hoặc quy định nhất định. Kiểm soát do khách hàng quản lý cũng được tổ chức thành các gia đình kiểm soát để chứng nhận hoặc quy định tương ứng. Sử dụng các kiểm soát do khách hàng quản lý để triển khai các hành động được đề xuất bởi Microsoft như một phần của hoạt động tuân thủ của bạn. Tổ chức của bạn có thể sử dụng hướng dẫn theo quy định và Hành động khách hàng được đề xuất trong mỗi kiểm soát do khách hàng quản lý để quản lý quá trình thực hiện và đánh giá cho kiểm soát đó.

Quyền và kiểm soát truy cập dựa trên vai trò

Theo mặc định, mọi người trong tổ chức của bạn có tài khoản Office 365 hoặc Azure AD đều có quyền truy cập vào Trình quản lý tuân thủ và có thể thực hiện bất kỳ hành động nào trong Trình quản lý tuân thủ. Để thay đổi từ quyền mặc định sang mô hình kiểm soát truy cập dựa trên vai trò, ít nhất một người dùng phải được thêm vào mỗi vai trò Trình quản lý tuân thủ (xem hướng dẫn sau). Sau khi người dùng được thêm vào vai trò, các quyền để thực hiện các hành động được gán cho vai trò đó sẽ bị xóa khỏi bộ quyền mặc định có sẵn cho tất cả người dùng và chỉ những người dùng đã được cung cấp vai trò đó mới có thể truy cập Trình quản lý tuân thủ và thực hiện các hành động được cho phép bởi vai trò đó.

Khi quyền truy cập dựa trên vai trò đã được triển khai, bất kỳ người dùng nào không được gán cho vai trò Trình quản lý tuân thủ đã xác định sẽ có quyền truy cập Khách.

Khách truy cập

Sau khi quyền truy cập Trình quản lý tuân thủ đã được định cấu hình, bất kỳ người dùng nào không có vai trò được cung cấp đều ở vai trò truy cập của khách theo mặc định (đó cũng là trải nghiệm của bất kỳ tài khoản không được cung cấp nào như Tài khoản Microsoft cá nhân). Người dùng Guest Access không có quyền truy cập đầy đủ vào tất cả các tính năng của Trình quản lý tuân thủ và không thể xem bất kỳ dữ liệu đánh giá tuân thủ nào của tổ chức, tuy nhiên họ có thể sử dụng Trình quản lý tuân thủ để xem báo cáo đánh giá tuân thủ của Microsoft và các tài liệu Tin cậy dịch vụ của Microsoft. Để minh họa về những gì đang và không thể truy cập, hãy xem các hình ảnh bên dưới nơi các tính năng có thể truy cập được phác thảo bằng màu xanh lam và các tính năng không thể truy cập được phác thảo bằng màu đỏ.

Hiểu điểm tuân thủ

Trên Bảng kiểm soát, Trình quản lý tuân thủ hiển thị tổng số điểm cho các đánh giá Office 365 ở góc trên bên phải của ô xếp. Đây là tổng điểm tuân thủ tổng thể cho Đánh giá và là điểm tích lũy nhận được cho mỗi đánh giá kiểm soát đã được đánh dấu là Đã thực hiện và được kiểm tra trong Đánh giá. Khi thêm Đánh giá, bạn sẽ thấy rằng Điểm tuân thủ đang trên đường hoàn thành vì các điểm cho các kiểm soát do Microsoft quản lý đã được Microsoft triển khai và được kiểm tra bởi các bên thứ ba độc lập đã được áp dụng.

Các điểm còn lại đến từ đánh giá kiểm soát khách hàng thành công, từ việc triển khai và kiểm tra các kiểm soát do khách hàng quản lý, mỗi điểm có một giá trị cụ thể góp phần vào điểm số tuân thủ tổng thể.

Mỗi Đánh giá hiển thị Điểm tuân thủ dựa trên rủi ro để giúp bạn đánh giá mức độ rủi ro (do không tuân thủ hoặc không kiểm soát) liên quan đến từng kiểm soát (bao gồm cả kiểm soát do Microsoft quản lý và do khách hàng quản lý) trong Đánh giá. Mỗi kiểm soát do khách hàng quản lý được chỉ định một số điểm có thể (được gọi là xếp hạng * mức độ nghiêm trọng) theo thang điểm từ 1 đến 10, trong đó nhiều điểm được trao cho các kiểm soát liên quan đến hệ số rủi ro cao hơn nếu kiểm soát thất bại và ít điểm hơn được trao để kiểm soát rủi ro thấp hơn.

Ví dụ: kiểm soát đánh giá Quản lý truy cập người dùng được hiển thị bên dưới có xếp hạng rủi ro nghiêm trọng rất cao và hiển thị giá trị được gán là 10.

Khi so sánh, kiểm soát đánh giá Sao lưu thông tin hiển thị bên dưới có xếp hạng rủi ro nghiêm trọng thấp hơn và hiển thị giá trị được gán là 3.

Trình quản lý tuân thủ chỉ định xếp hạng mức độ nghiêm trọng mặc định cho mỗi kiểm soát. Thứ hạng rủi ro được tính toán dựa trên các tiêu chí sau:

  • Việc kiểm soát có ngăn ngừa sự cố xảy ra (xếp hạng cao nhất) hay không, phát hiện các sự cố đã xảy ra hoặc khắc phục tác động của sự cố (xếp hạng thấp nhất). Về xếp hạng mức độ nghiêm trọng, kiểm soát bắt buộc ngăn chặn mối đe dọa được chỉ định số điểm cao nhất; các kiểm soát là thám tử hoặc điều chỉnh (bất kể chúng là bắt buộc hay tùy ý) được chỉ định số điểm thấp nhất.
  • Việc kiểm soát (sau khi được triển khai) có bắt buộc hay không và do đó người dùng không thể bỏ qua (ví dụ: người dùng phải đặt lại mật khẩu và đáp ứng các yêu cầu về độ dài mật khẩu và ký tự) hoặc có thể được người dùng bỏ qua (ví dụ: quy tắc kinh doanh yêu cầu người dùng khóa màn hình khi máy tính của họ không được giám sát).
  • Các biện pháp kiểm soát liên quan đến rủi ro đối với tính bảo mật, tính toàn vẹn và tính khả dụng của dữ liệu, cho dù các rủi ro này đến từ các mối đe dọa bên trong hay bên ngoài và liệu mối đe dọa đó có độc hại hay vô tình. Ví dụ: các kiểm soát giúp ngăn kẻ tấn công bên ngoài xâm phạm mạng đó và có quyền truy cập vào thông tin nhận dạng cá nhân sẽ được chỉ định nhiều điểm hơn một kiểm soát liên quan đến việc ngăn nhân viên vô tình cấu hình sai thiết lập bộ định tuyến mạng dẫn đến mất mạng).
  • Rủi ro liên quan đến các trình kiểm soát hợp pháp và bên ngoài, chẳng hạn như hợp đồng, quy định và cam kết công khai, cho mỗi kiểm soát.

Quan trọng nhất, Điểm tuân thủ có thể giúp bạn ưu tiên các kiểm soát nào cần tập trung để thực hiện bằng cách chỉ ra các kiểm soát nào có rủi ro tiềm năng cao hơn nếu có lỗi liên quan đến kiểm soát. Ngoài ưu tiên dựa trên rủi ro, khi các kiểm soát đánh giá có liên quan đến các kiểm soát khác (trong cùng một đánh giá hoặc trong một đánh giá khác trong cùng một nhóm đánh giá), hoàn thành một kiểm soát thành công có thể giúp giảm đáng kể nỗ lực dựa trên đồng bộ hóa kết quả kiểm tra kiểm soát.

Ví dụ: trong hình ảnh bên dưới, chúng tôi thấy rằng Đánh giá Office 365 – GDPR hiện được đánh giá 46%, với 51 trong số 111 đánh giá kiểm soát được hoàn thành cho tổng điểm Tuân thủ là 288 trên tổng số 600.

Trong đánh giá, kiểm soát GDPR 7.5.5 có liên quan đến 5 kiểm soát khác (7.4.1, 7.4.3, 7.4.4, 7.4.8 và 7.4.9), mỗi điểm có điểm đánh giá rủi ro nghiêm trọng từ trung bình đến cao là 6 hoặc 8 ). Sử dụng bộ lọc đánh giá, chúng tôi đã chọn tất cả các kiểm soát này, làm cho chúng hiển thị trong chế độ xem đánh giá và có thể thấy bên dưới không có đánh giá nào trong số chúng.

Vì 6 kiểm soát đó có liên quan với nhau, việc hoàn thành bất kỳ một kiểm soát nào sẽ dẫn đến sự đồng bộ hóa các kết quả kiểm tra đó qua các kiểm soát liên quan trong đánh giá này (giống như đối với bất kỳ kiểm soát nào có liên quan trong một đánh giá trong cùng một nhóm đánh giá). Sau khi hoàn thành việc triển khai và kiểm tra kiểm soát GDPR 7.5.5, khu vực chi tiết kiểm soát được làm mới để cho thấy rằng tất cả 6 kiểm soát đã được đánh giá, với sự gia tăng tương ứng về số lượng kiểm soát được đánh giá lên 57 và 51% được đánh giá, và thay đổi trong tổng số điểm tuân thủ +40.

Hộp thoại cập nhật xác nhận này sẽ xuất hiện nếu bạn sắp thay đổi Trạng thái triển khai của kiểm soát có liên quan theo cách sẽ tác động đến các kiểm soát liên quan khác.

Phương pháp điểm tuân thủ

Điểm tuân thủ, như Điểm bảo mật của Microsoft, tương tự như các hệ thống tính điểm dựa trên hành vi khác; Hoạt động của tổ chức của bạn có thể tăng Điểm tuân thủ bằng cách thực hiện các hoạt động liên quan đến bảo vệ dữ liệu, quyền riêng tư và bảo mật.

Đây là quy trình công việc cơ bản cho một hành động điển hình:

  1. Nhân viên tuân thủ, rủi ro, quyền riêng tư và / hoặc bảo vệ dữ liệu của một tổ chức giao nhiệm vụ cho ai đó trong tổ chức để thực hiện kiểm soát.
  2. Cá nhân đó thực hiện các nhiệm vụ cần thiết để thực hiện kiểm soát, tải lên bằng chứng thực hiện vào Trình quản lý tuân thủ và đánh dấu (các) kiểm soát được gắn với Hành động như đã thực hiện. Khi các tác vụ này được hoàn thành, chúng sẽ gán Hành động cho Người xác nhận để xác thực.
  3. Người giám định xác nhận kiểm soát và kiểm tra bằng chứng và đánh dấu (các) kiểm soát được đánh giá và kết quả đánh giá (ví dụ: đã thông qua).

Phương pháp tính điểm dựa trên rủi ro

Trình quản lý tuân thủ sử dụng phương pháp tính điểm dựa trên rủi ro với thang điểm từ 1-10, gán giá trị cao hơn cho các kiểm soát thể hiện rủi ro cao hơn trong trường hợp kiểm soát không thành công hoặc không tuân thủ. Hệ thống tính điểm được sử dụng bởi Điểm tuân thủ dựa trên một số yếu tố chính, chẳng hạn như:

  • Bản chất của kiểm soát
  • Mức độ rủi ro của kiểm soát dựa trên các loại mối đe dọa
  • Các trình kiểm soát bên ngoài để kiểm soát

Bản chất của sự kiểm soát

Bản chất của kiểm soát dựa trên việc kiểm soát là Bắt buộc hay Tùy ý, và liệu đó là Phòng ngừa, Thăm dò hay Khắc phục.

Tóm tắt phương pháp tính điểm

Điểm tuân thủ là một thành phần cốt lõi của cách mà Trình quản lý tuân thủ giúp các tổ chức hiểu và quản lý sự tuân thủ của họ. Điểm tuân thủ cho đánh giá là biểu hiện của việc tuân thủ tiêu chuẩn hoặc quy định nhất định của công ty dưới dạng số, trong đó điểm càng cao (tối đa số điểm tối đa được phân bổ cho Đánh giá), thì tư thế tuân thủ của công ty càng tốt. Hiểu phương pháp tính điểm tuân thủ trong đó các kiểm soát đánh giá được gán các giá trị mức độ rủi ro trong khoảng từ 1 đến 10 (thấp đến cao) và cách đánh giá kiểm soát hoàn thành thêm vào tổng điểm tuân thủ là rất quan trọng đối với các tổ chức để ưu tiên hành động của họ.

Đánh giá nhóm

Khi bạn tạo một Đánh giá mới, bạn được nhắc tạo một nhóm để gán Đánh giá cho hoặc gán Đánh giá cho một nhóm hiện có. Các nhóm cho phép bạn tổ chức một cách hợp lý các Đánh giá và chia sẻ thông tin chung và các nhiệm vụ quy trình công việc giữa các Đánh giá có cùng các kiểm soát do khách hàng quản lý.

Ví dụ: bạn có thể nhóm Đánh giá theo năm hoặc nhóm, phòng ban hoặc cơ quan trong tổ chức của bạn hoặc nhóm chúng theo năm. Dưới đây là một số ví dụ về các nhóm và Đánh giá mà chúng có thể chứa.

  • Đánh giá GDPR – 2018
  • Office 365 + GDPR
  • Azure + GDPR
  • Dynamics + GDPR

Chức năng hành chính

Có các chức năng quản trị cụ thể chỉ khả dụng đối với tài khoản quản trị viên và sẽ chỉ hiển thị khi đăng nhập với tư cách quản trị viên toàn cầu.ư

Gán vai trò của Trình quản lý tuân thủ cho người dùng

Mỗi vai trò Trình quản lý tuân thủ có các quyền hơi khác nhau. Bạn có thể xem các quyền được gán cho từng vai trò, xem người dùng nào ở vai trò nào và thêm hoặc xóa người dùng khỏi vai trò đó thông qua Cổng thông tin dịch vụ bằng cách chọn mục menu Quản trị viên, sau đó chọn Cài đặt.

Để thêm hoặc xóa người dùng khỏi vai trò Trình quản lý tuân thủ.

Truy cập https://servicetrust.microsoft.com.

Đăng nhập bằng tài khoản quản trị viên toàn cầu Azure Active Directory của bạn.

Trên thanh menu trên cùng của Cổng dịch vụ tin cậy, bấm Quản trị viên, sau đó chọn Cài đặt.

Trong danh sách thả xuống Chọn Vai trò, bấm vào vai trò mà bạn muốn quản lý.

Người dùng được thêm vào từng vai trò được liệt kê trên trang Chọn Vai trò.

Để thêm người dùng vào vai trò này, nhấp vào Thêm. Trong hộp thoại Thêm người dùng, bấm vào trường người dùng. Bạn có thể cuộn qua danh sách người dùng có sẵn hoặc bắt đầu nhập tên người dùng để lọc danh sách dựa trên thuật ngữ tìm kiếm của bạn. Nhấp vào người dùng để thêm tài khoản đó vào danh sách Thêm người dùng sẽ được cung cấp với vai trò đó. Nếu bạn muốn thêm nhiều người dùng đồng thời, hãy bắt đầu nhập tên người dùng để lọc danh sách, sau đó bấm vào người dùng để thêm vào danh sách. Nhấp vào Lưu để cung cấp vai trò đã chọn cho những người dùng này.

Để xóa người dùng khỏi vai trò này, chọn (các) người dùng và nhấp vào Xóa.

Cài đặt quyền riêng tư của người dùng

Một số quy định yêu cầu một tổ chức phải có khả năng xóa dữ liệu lịch sử người dùng. Để kích hoạt tính năng này, Trình quản lý tuân thủ cung cấp các chức năng Cài đặt quyền riêng tư của người dùng, cho phép quản trị viên:

  • Tìm kiếm tài khoản
  • Xuất báo cáo lịch sử dữ liệu tài khoản
  • Tái chỉ định các mục hành động
  • Xóa lịch sử dữ liệu người dùng

Sử dụng Trình quản lý tuân thủ

Trình quản lý tuân thủ cung cấp cho bạn các công cụ để phân công, theo dõi và ghi lại các hoạt động liên quan đến đánh giá và tuân thủ và để giúp tổ chức của bạn vượt qua các rào cản của nhóm để đạt được các mục tiêu tuân thủ của tổ chức.

Truy cập Trình quản lý tuân thủ

Bạn truy cập Trình quản lý tuân thủ từ Cổng thông tin dịch vụ. Bất cứ ai có tài khoản Microsoft hoặc tài khoản tổ chức Azure Active Directory đều có thể truy cập Trình quản lý tuân thủ.

  1. Truy cập https://servicetrust.microsoft.com.
  2. Đăng nhập bằng tài khoản người dùng Azure Active Directory (Azure AD) của bạn.
  3. Trong Cổng thông tin dịch vụ, bấm Trình quản lý tuân thủ.
  4. Khi Thỏa thuận không tiết lộ được hiển thị, hãy đọc nó và sau đó nhấp vào Đồng ý để tiếp tục. Bạn sẽ chỉ phải thực hiện việc này một lần và sau đó bảng kiểm soát Trình quản lý tuân thủ được hiển thị.
  5. Để giúp bạn bắt đầu, chúng tôi đã thêm các Đánh giá sau theo mặc định:

  1. Nhấp vào biểu tượng Trợ giúp trong Trình quản lý tuân thủ Trợ giúp để thực hiện một chuyến tham quan ngắn về Trình quản lý tuân thủ.

Xem các mục hành động

Để xem các mục hành động của bạn:

  1. Chuyển đến bảng kiểm soát Trình quản lý tuân thủ
  2. Nhấp vào liên kết Mục Hành động và trang sẽ làm mới để hiển thị các mục hành động đã được chỉ định cho bạn.
  3. Theo mặc định, tất cả các mục hành động được hiển thị. Nếu bạn có các mục hành động trên nhiều chứng nhận, tên của các chứng nhận sẽ được liệt kê trong các tab trên đầu kiểm soát đánh giá. Để xem các mục hành động cho một chứng nhận cụ thể, nhấp vào tab đó.

Một số thao tác khác

Ngoài ra, còn nhiều thao tác có thể làm trong Trình quản lý tuân thủ như:

  • Thêm một đánh giá
  • Sao chép thông tin từ các Đánh giá hiện có
  • Xem đánh giá
  • Quản lý quá trình đánh giá
  • Quản lý các mục hành động
  • Xuất thông tin từ Đánh giá
  • Lưu trữ một đánh giá
  • Sử dụng tìm kiếm
  • Hỗ trợ bản địa hóa
  • Thay đổi nhật ký cho Kiểm soát do khách hàng quản lý

Bài viết thuộc về: Office365vietnam.info

Ý kiến của bạn:

This site uses Akismet to reduce spam. Learn how your comment data is processed.