Pontuação do Gerenciador de Conformidade
Importante
As recomendações do Gerenciador de Conformidade não devem ser interpretadas como uma garantia de conformidade. Cabe a você avaliar e validar a eficácia dos controles do cliente de acordo com seu ambiente regulatório. Esses serviços estão sujeitos aos termos e condições nos Termos do Produto. Consulte também as diretrizes de licenciamento do Microsoft 365 para segurança e conformidade.
Dica
Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.
Entendendo sua pontuação de conformidade
O dashboard do Gerenciador de Conformidade exibe sua pontuação geral de conformidade. Essa pontuação mede seu progresso na conclusão de ações de melhoria recomendadas nos controles. Sua pontuação pode ajudá-lo a entender sua postura de conformidade atual. Ele também pode ajudá-lo a priorizar ações com base no potencial deles para reduzir o risco.
Um valor de pontuação é atribuído a esses níveis:
Ação de melhoria: cada ação tem um impacto diferente na pontuação, dependendo do risco potencial envolvido. Consulte Tipos de ação e pontuação abaixo para obter detalhes.
Avaliação: essa pontuação é calculada usando pontuações de ação de melhoria. Cada ação da Microsoft e cada ação de melhoria gerenciada por sua organização são contadas uma vez, independentemente da frequência com que ela é referenciada em um controle.
A pontuação geral de conformidade é calculada usando pontuações de ação de melhoria, em que cada ação da Microsoft é contada uma vez, cada ação técnica gerenciada é contada uma vez e cada ação não técnica gerenciada é contada uma vez por grupo. Essa lógica foi projetada para fornecer a contabilidade mais precisa de como as ações são implementadas e testadas em sua organização. Você pode notar que isso pode fazer com que sua pontuação geral de conformidade seja diferente da média de suas pontuações de avaliação. Leia mais abaixo sobre como as ações são pontuadas.
Pontuação inicial com base na linha de base de proteção de dados do Microsoft 365
O Gerenciador de Conformidade fornece uma pontuação inicial com base na linha de base de proteção de dados do Microsoft 365. Essa linha de base é um conjunto de controles que inclui regulamentos e padrões importantes para proteção de dados e governança geral de dados. Essa linha de base extrai elementos principalmente do NIST CSF (National Institute of Standards and Technology Cybersecurity Framework) e iso (Organização Internacional para Padronização), bem como do FedRAMP (Federal Risk and Authorization Management Program) e do GDPR (Regulamento Geral de Proteção de Dados da União Europeia).
Sua pontuação inicial é calculada de acordo com a avaliação padrão da Linha de Base de Proteção de Dados fornecida a todas as organizações. Após sua primeira visita, o Gerenciador de Conformidade já está coletando sinais de suas soluções do Microsoft 365. Você vê rapidamente como sua organização está se saindo em relação aos principais padrões e regulamentos de proteção de dados e vê ações de melhoria sugeridas a serem executadas.
Como cada organização tem necessidades específicas, o Gerenciador de Conformidade depende de você para configurar e gerenciar avaliações para ajudar a minimizar e mitigar o risco da maneira mais abrangente possível.
Tipos de ação e pontuação
As ações de melhoria têm pontos que são concedidos quando você conclui os requisitos de implementação. Sua status de ação é atualizada em seu dashboard dentro de 24 horas após uma alteração que está sendo feita. Depois de seguir uma recomendação para implementar um controle, normalmente você verá o controle status atualizado no dia seguinte.
Os pontos são concedidos por ação por avaliação. Por exemplo, se uma ação vale 10 pontos, mas aparece em duas avaliações, a ação vale 20 pontos no geral para seu locatário. Uma exceção é para ações técnicas que têm escopo para seu locatário; os pontos para essas ações são concedidos uma vez por ação, independentemente de quantos grupos a ação pertence.
Ações para serviços compatíveis com Microsoft Defender para Nuvem
A pontuação geral de uma ação de melhoria baseia-se na média das pontuações recebidas por suas assinaturas. Cada assinatura é pontuada com base no status dos recursos virtuais relevantes.
Por exemplo, considere uma ação com duas assinaturas, A e B. A assinatura A tem 0 em cada 1 recurso concluído e a assinatura B tem 1 em cada 2 recursos concluídos. As pontuações da assinatura são: A é 0%, B é 50%. As duas pontuações de assinatura são médias para obter a pontuação geral da ação de 25%.
Como os valores de pontuação são determinados
As ações recebem um valor de pontuação com base em se são obrigatórias ou discricionárias e se são preventivas, detetives ou corretivas.
Ações obrigatórias e discricionárias
Ações obrigatórias não podem ser ignoradas, intencionalmente ou acidentalmente. Um exemplo de uma ação obrigatória é uma política de senha gerenciada centralmente que define requisitos para comprimento, complexidade e expiração de senha. Os usuários devem seguir estes requisitos para acessar o sistema.
As ações discricionárias dependem dos usuários para entender e aderir a uma política. Por exemplo, uma política que exige que os usuários bloqueiem seu computador quando autônomo é uma ação discricionária porque depende do usuário.
Ações preventivas, detetives e corretivas
Ações preventivas abordam riscos específicos. Por exemplo, proteger as informações em repouso usando criptografia é um controle preventivo contra ataques e violações. A separação de funções é uma ação preventiva para gerenciar conflitos de interesse e proteger contra fraudes.
Ações de detetive monitoram ativamente sistemas para identificar condições ou comportamentos irregulares que representam risco ou que podem ser usados para detectar invasões ou violações. Exemplos incluem auditoria de acesso ao sistema e ações administrativas privilegiadas. Auditorias de conformidade regulatória são um tipo de ação de detetive usada para encontrar problemas de processo.
Ações corretivas tentam manter os efeitos adversos de um incidente de segurança ao mínimo, tomar medidas corretivas para reduzir o efeito imediato e reverter o dano, se possível. A resposta a incidentes de privacidade é uma ação corretiva para limitar os danos e restaurar os sistemas a um estado operacional após uma violação.
Cada ação tem um valor atribuído no Gerenciador de Conformidade com base no risco que representa:
| Tipo | Pontuação atribuída |
|---|---|
| Prevenção obrigatória | 27 |
| Discricionárias preventivas | 9 |
| Detetive obrigatório | 3 |
| Detetive discricionário | 1 |
| Obrigatória corretiva | 3 |
| Discricionário corretivo | 1 |
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de