合规性管理器评分

重要

来自合规性管理器的建议不应解释为合规性保证。 由你根据法规环境评估和验证客户控制的有效性。 这些服务受产品条款中的条款和条件 的约束。 有关安全性和合规性,另请参阅 Microsoft 365 许可指南

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

了解合规性分数

合规性管理器仪表板显示总体合规性分数。 此分数衡量你在控制范围内完成建议的改进操作的进度。 分数可帮助你了解当前的合规性状况。 它还可以帮助你根据操作在降低风险方面的潜力确定操作的优先级。

分数值在以下级别分配:

  1. 改进操作:每个操作都会对分数产生不同的影响,具体取决于所涉及的潜在风险。 有关详细信息,请参阅下面的 操作类型和评分

  2. 评估:此分数是使用改进操作分数计算的。 组织管理的每个 Microsoft 操作和每个改进操作都会计数一次,而不管在控件中引用的频率如何。

总体合规性分数是使用改进操作分数计算的,其中每个 Microsoft 操作都计算一次,你管理的每个技术操作都计算一次,你管理的每个非技术操作按组计算一次。 此逻辑旨在提供有关如何在组织中实施和测试操作的最准确说明。 你可能会注意到,这可能会导致总体合规性分数与评估分数的平均值不同。 阅读下面有关如何对 操作进行评分的详细信息。

基于 Microsoft 365 数据保护基线的初始分数

合规性管理器根据 Microsoft 365 数据保护基线提供初始分数。 此基线是一组控制措施,包括数据保护和常规数据治理的关键法规和标准。 此基线主要从 NIST CSF (美国国家标准与技术研究院网络安全框架) 和 ISO (国际标准化组织) ,以及 FedRAMP (联邦风险和授权管理计划) 和 GDPR (欧盟) 一般数据保护条例。

初始分数是根据提供给所有组织的默认数据保护基线评估计算得出的。 首次访问时,合规性管理器已从 Microsoft 365 解决方案收集信号。 你一目了然地了解了组织相对于关键数据保护标准和法规的表现,并查看了要采取的改进建议措施。

由于每个组织都有特定需求,因此合规性管理器依赖于你设置和管理评估,以帮助尽可能全面地将风险降至最低并缓解风险。

操作类型和评分

完成实施要求时,改进操作会获得积分。 你的操作状态在更改后的 24 小时内更新仪表板。 按照建议实现控件后,通常会在下一天看到更新的控件状态。

根据评估的每个操作授予积分。 例如,如果某个操作价值 10 分,但出现在两次评估中,则该操作对于租户而言总共价值 20 分。 一个例外是范围限定为租户 的技术操作 ;无论操作所属的组数如何,每个操作都会授予这些操作的点数一次。

Microsoft Defender for Cloud 支持的服务的操作

改进操作的总体分数基于其订阅收到的平均分数。 根据相关虚拟资源的状态对每个订阅进行评分。

例如,假设一个操作包含两个订阅 A 和 B。订阅 A 有 0 个资源已完成,订阅 B 有 1 个资源完成,其中 2 个资源中有 1 个已完成。 订阅分数为:A 为 0%,B 为 50%。 两个订阅分数的平均值为 25% 的总操作分数。

如何确定分数值

根据操作是强制操作还是自由裁量操作,以及操作是预防性的、检测性的还是纠正性的,为这些操作分配分数值。

强制和自由裁量操作

  • 不能有意或意外地绕过强制操作。 强制操作的一个示例是集中管理的密码策略,该策略设置密码长度、复杂性和过期要求。 用户必须遵循这些要求来访问系统。

  • 任意操作 依赖于用户理解和遵守策略。 例如,要求用户在无人参与时锁定其计算机的策略是一种任意操作,因为它依赖于用户。

预防性、检测和纠正措施

  • 预防性操作 可以应对特定风险。 例如,使用加密保护静态信息是抵御攻击和泄露的预防性操作。 职责分离是管理利益冲突和防范欺诈的预防性操作。

  • 检测操作 会主动监视系统,以识别表示风险或可用于检测入侵或违规的异常情况或行为。 示例包括系统访问审核和特权管理操作。 合规性审核是一种用于查找流程问题的检测操作。

  • 纠正措施 尽量将安全事件的不利影响降到最低,采取纠正措施以减少直接影响,并尽可能扭转损害。 隐私事件响应是一种纠正性操作,用于限制损害,并在泄露后将系统还原为可操作状态。

每个操作在合规性管理器中都有一个根据它所代表的风险分配的值:

类型 分配的分数
预防性强制 27
预防自主型 9
侦探强制 3
侦探自由裁量权 1
纠正强制型 3
纠正自由裁量 1

合规性管理器操作点值。