Verwenden von Compliance-Manager im Service Trust Portal – Preview

In diesem Artikel wird ein Vorschaufeature beschrieben, das möglicherweise nicht für jeden zur Verfügung steht und auch jederzeit geändert werden kann. Beachten Sie, dass dieses Vorschaufeature nicht in Office 365, betrieben von 21Vianet und Office 365 Deutschland verfügbar ist.

Das neue Compliance Manager im Microsoft Service Trust Portal (STP) bietet Tools zum Nachverfolgen, Implementieren und Verwalten der Überwachungssteuerelemente, die Ihrer Organisation helfen, Compliance mit der Sicherheit oder den Datenschutzstandards der Branche in Übereinstimmung zu bringen, wenn diese gegenüber von Microsoft Cloud Services wie Office 365 und Microsoft Azure gemessen werden. Dies hilft der Person, die für die Datenschutzstrategie Ihrer Organisation zuständig ist (auch als Datenschutzofficer bezeichnet), den Compliance- und Risikobewertungsprozess zu verwalten.

Compliance-Manager

  • Führt die von Microsoft für Prüfer und Datenschutzbehörden als Teil unterschiedlicher Audits der Microsoft Cloud Services von Dritten bereitgestellten Informationen gegenüber unterschiedlichen Standards (wie von der International Organization for Standardization 27001:2013 und ISO 27018:2014) auf, sowie die Informationen, die Microsoft intern für die eigene Compliance mit behördlichen Vorschriften (wie der allgemeinen Datenschutzverordnung der EU, General Data Protection Regulation, GDPR) und mit Ihrer eigenen Selbstbewertung der Compliance Ihrer Organisation mit diesen Standards und Vorschriften bereitstellt.

  • Ermöglicht es Ihnen, mit der Compliance und der Bewertung zusammenhängende Aktivitäten zuzuweisen, nachzuverfolgen und aufzuzeichnen, was Ihrer Organisation dabei helfen kann, Teambarrieren zu überwinden, um die Complianceziele Ihrer Organisation zu erreichen.

  • Bietet ein sicheres Repository für Sie, um Erkenntnisse und andere Artefakte hochzuladen und zu verwalten, die mit Ihren Complianceaktivitäten in Verbindung stehen.

  • Erzeugt äußerst detaillierte Berichte in Microsoft Excel, in denen die Complianceaktivitäten von Microsoft und Ihrer Organisation dokumentiert werden, die für Prüfer, Datenschutzbehörden und andere an Compliancemitwirkende bereitgestellt werden können.

Wichtig : Compliance-Manager ist ein Dashboard, in dem eine Zusammenfassung Ihres Datenschutz- und Complianceformats und der Empfehlungen zur Verbesserung von Datenschutz und Compliance zusammengefasst sind. Dies ist nur eine Empfehlung; es liegt in Ihrer Hand, die Effektivität vor der Implementierung in Ihrer von Vorschriften regulierten Umgebung zu bewerten. Empfehlungen von Compliance-Manager sollten nicht als eine Garantie für Compliance interpretiert werden.

Inhalt

Bewertungen in Compliance-Manager

Zugreifen auf Compliance-Manager

Zuweisen von Berechtigungen zu Compliance-Manager

Hinzufügen einer Bewertung

Verwalten des Bewertungsprozesses

Verwalten von Aktionselementen

Exportieren von Informationen für eine Bewertung

Archivieren einer Bewertung

Bewertungen in Compliance-Manager

Die Kernkomponente des Compliance Managers wird als eine Bewertung bezeichnet. Eine Bewertung kombiniert einen Microsoft Cloud Service (wie Office 365) mit einem Zertifizierungsstandard oder einer Datenschutzvorschrift (wie ISO 27001:2013 oder den GDPR). Mit Bewertungen sind Sie in der Lage, die Datenschutz- und Compliancehaltung Ihrer Organisation gegenüber dem ausgewählten Branchenstandard für den ausgewählten Microsoft Cloud Service zu bewerten. Bewertungen werden mit der Implementierung der Steuerelemente abgeschlossen, die dem zu bewertenden Standard entsprechen.

Die Struktur einer Bewertung basiert auf den Zuständigkeiten, die zwischen Microsoft und Ihrer Organisation für die Bewertung von Sicherheits- und Compliancerisiken in der Cloud geteilt werden, sowie für die Implementierung der Datenschutzsicherungen, die von einem Compliancestandard, einem Datenschutzstandard, einer Vorschrift oder einem Gesetz festgelegt werden.

  • Von Microsoft verwaltete Steuerelemente    Für jeden Cloud Service implementiert und verwaltet Microsoft eine Reihe von Steuerelementen als Teil der Compliance von Microsoft mit unterschiedlichen Standards und Vorschriften. Diese Steuerelemente sind nach Steuerelementfamilien geordnet und in das interne Steuerelementframework von Microsoft integriert. Für jedes von Microsoft verwaltete Steuerelement bietet Compliance-Manager Details dazu, wie Microsoft das Steuerelement implementiert hat, sowie Informationen, wie und wann diese Implementierung von einem unabhängigen Auditor eines Dritten getestet und validiert wurde.

    Hier ein Beispiel für die von Microsoft verwalteten Steuerelemente in der Steuerelementfamilie Zuverlässigkeit, Audit und Risiko aus einer Bewertung von Office 365 gegenüber ISO 27001:2013.

    Details zu den von Microsoft verwalteten Steuerelementen in Compliance Manager
    1. Die ID-Nummer des Steuerelements aus dem internen Complianceframework von Microsoft.

    2. Die Abschnitts- oder Artikelnummer aus dem Standard oder aus der Vorschrift, die der ausgewählten MS-Steuerelement-ID zugeordnet ist.

    3. Eine Beschreibung des Abschnitts oder Artikels aus dem Standard oder der Vorschrift, der oder die der ausgewählten MS-Steuerelement-ID zugeordnet ist.  Sie können für jedes Steuerelement auf Mehr klicken, um weitere Informationen anzuzeigen, wie Details zu der Implementierung des Steuerelements durch Microsoft und Details dazu, wie das Steuerelement von einem unabhängigen Auditor eines Dritten getestet und validiert wurde.

    4. Informationen zum Implementierungsstatus eines Steuerelements, das Datum, zu dem das Steuerelement getestet wurde, wer den Test durchgeführt hat und das Testergebnis.

  • Vom Kunden verwaltete Steuerelemente    Diese Sammlung an Steuerelementen sind diejenigen, die von Ihrer Organisation verwaltet werden. Ihre Organisation ist zuständig für die Implementierung dieser Steuerelemente als Teil Ihres Complianceprozesses für einen gegebenen Standard oder einer Vorschrift. Verwenden Sie vom Kunden verwaltete Steuerelemente zum Implementieren der von Microsoft vorgeschlagenen empfohlenen Aktionen als Teil Ihrer Complianceaktivitäten. Ihre Organisation kann diesen beschreibenden Leitfaden und die empfohlenen Kundenaktionen in jedem vom Kunden verwalteten Steuerelement verwenden, um die Implementierung und den Bewertungsprozess für dieses Steuerelement zu verwalten.

    Vom Kunden verwaltete Steuerelemente in Bewertungen verfügen zudem über eine integrierte Workflowmanagementfunktion, die Sie verwenden können, um die Fortschritte Ihrer Organisation im Hinblick auf den Abschluss der Bewertung zu verwalten und nachzuverfolgen. So kann ein Complianceofficer in Ihrer Organisation beispielsweise einem IT-Administrator ein Aktionselement zuweisen, der dann über die Zuständigkeit und die notwendigen Berechtigungen zum Ausführen der für das Steuerelement empfohlenen Aktionen verfügt. Wenn die Arbeit abgeschlossen ist, kann der IT-Manager aus seinen Implementierungsaufgaben gewonnene Erkenntnisse hochladen (beispielsweise Screenshots der Konfiguration oder Richtlinieneinstellungen) und das Aktionselement an den Complianceofficer zurücküberweisen, um die gesammelten Erkenntnisse zu bewerten, die Implementierung des Steuerelements zu testen und das Implementierungsdatum und Testergebnisse im Compliance-Manager aufzuzeichnen. Weitere Informationen finden Sie im Abschnitt Verwalten des Bewertungsprozesses in diesem Artikel.

    Hier ein Beispiel für vom Kunden verwalteten Steuerelemente in der Steuerelementfamilie Identifikation und Authentifizierung aus einer Bewertung von Office 365 gegenüber ISO 27001:2013.

    Details zu den vom Kunden verwalteten Steuerelementen in Compliance Manager
    1. Die ID-Nummer des Steuerelements aus dem internen Complianceframework von Microsoft und die Abschnitts- oder Artikelnummer aus dem Standard oder der Vorschrift, der oder die der MS Steuerelement-ID zugeordnet wurde.

    2. Eine Beschreibung des Abschnitts oder Artikels aus dem Standard oder der Vorschrift, der oder die der ausgewählten MS-Steuerelement-ID zugeordnet ist.  Wenn Sie auf Mehr klicken, erhalten Sie die empfohlenen Kundenaktionen, und es werden Felder angezeigt, in denen Sie Details zum Implementierungs- und Testplan für Ihre Organisation bereitstellen können.

    3. Aktionselemente können einer Person zugewiesen werden, um das Steuerelement zu implementieren und/oder zu testen. Wenn Sie ein Aktionselement zuweisen, können Sie eine E-Mail-Benachrichtigung senden, die empfohlene Kundenaktionen enthält und die Fähigkeit bietet, Notizen hinzuzufügen.

    4. "Status" wird verwendet, um den Implementierungsfortschritt Ihrer Organisation nachzuverfolgen. 

    5. "Testdatum" und "Testergebnis" werden von Prüfern verwendet, um das Testergebnis und das Datum anzugeben, zu dem das Steuerelement getestet wurde.

Seitenanfang

Zugreifen auf Compliance-Manager

Mit dem Compliance-Manager-Dashboard erhalten Sie die Tools zum Zuweisen, Nachverfolgen und Aufzeichnen von mit der Compliance und der Bewertung zusammenhängende Aktivitäten. Sie helfen Ihrer Organisation, Teambarrieren zu überwinden, um die Complianceziele Ihrer Organisation zu erreichen. Sie greifen vom STP aus auf den Compliance-Manager zu. Für eine Vorschau kann jeder mit einem Microsoft-Konto in Ihrer Organisation auf den Compliance-Manager zugreifen.

  1. Wechseln Sie zu https://aka.ms/STP, was in  https://servicetrust.microsoft.com aufgelöst wird.

  2. Melden Sie sich mit Ihrem Office 365- oder Azure Active Directory (Azure AD)-Benutzerkonto an.

  3. Klicken Sie im Service Trust Portal auf Compliance-Manager.

    Klicken Sie auf "Compliance-Manager", um das Tool zu öffnen.
  4. Wenn die Geheimhaltungsvereinbarung angezeigt wird, lesen Sie sie, und klicken Sie dann auf Ich stimme zu, um fortzufahren. Dieser Vorgang muss nur einmal erfolgen. Anschließend wird das Compliance-Manager-Dashboard angezeigt. Um Ihnen den Einstieg zu erleichtern, haben wir standardmäßig die folgenden Bewertungen hinzugefügt:

    • Office 365 und GDPR (EU General Data Protection Regulation, allgemeine Datenschutzverordnung der EU)

    • Office 365 und ISO 27001:2013 (Datensicherheitsstandard)

      Hinweis : Die Vorschau von Compliance-Manager versetzt Sie außerdem in die Lage, eine Bewertung für Office 365 und ISO 27018:2014 (persönlicher Datenschutzstandard) zu erstellen.

    Die standardmäßigen Steuerelementframeworks in Compliance-Manager
  5. Klicken Sie auf Hilfesymbol in Compliance-Manager Hilfe, um eine kurze Tour durch Compliance-Manager zu unternehmen.

  6. Klicken Sie auf den Namen der Bewertung, um sie zu öffnen und die von Microsoft und vom Kunden verwalteten Steuerelemente sowie eine Liste der Cloud Services anzuzeigen, die zum Leistungsumfang der Bewertung gehören.

    Die Komponenten einer Bewertung in Compliance-Manager
    1. In diesem Abschnitt werden die verschiedenen Cloud Services angezeigt, die sich im Leistungsumfang der Bewertung befinden.

    2. Dieser Abschnitt enthält die von Microsoft verwalteten Steuerelemente. Verwandte Steuerelemente sind nach Steuerelementfamilien geordnet. Klicken Sie auf eine Steuerelementfamilie, um sie zu erweitern und einzelne Steuerelemente anzuzeigen.

    3. Dieser Abschnitt enthält vom Kunden verwaltete Steuerelemente, die ebenfalls nach Steuerelementfamilie angeordnet sind. Klicken Sie auf eine Steuerelementfamilie, um sie zu erweitern und einzelne Steuerelemente anzuzeigen.

    4. Zeigt die Gesamtanzahl der Steuerelemente in der Steuerelementfamilie an und wie viele dieser Steuerelemente bewertet wurden. Eine Schlüsselfunktion des Compliance Managers ist das Nachverfolgen des Fortschritts Ihrer Organisation bei der Bewertung der vom Kunden verwalteten Steuerelemente.

Seitenanfang

Zuweisen von Berechtigungen zu Compliance-Manager

Standardmäßig kann jeder in Ihrer Organisation mit einem Office 365- oder Azure AD-Konto auf das Compliance Manager zugreifen und jede Aktion im Compliance Manager durchführen. Zum Ändern der Standardberechtigungen muss jeder Compliance Manager-Rolle mindestens ein Benutzer hinzugefügt werden (siehe die folgenden Anweisungen). Nachdem ein Benutzer einer Rolle zugewiesen wurde, werden die Standardberechtigungen entfernt, und nur Benutzer, die einer Rolle hinzugefügt wurden, sind in der Lage, auf das Compliance Manager zuzugreifen und die von dieser Rolle zugelassenen Aktionen ausführen.

Hinweis : Um zu steuern, wer im Compliance Manager auf Aktionen zugreifen und Aktionen durchführen kann, muss ein Benutzer jeder Rolle hinzugefügt werden, um das Standardverhalten zu ändern. Wenn Sie einen Benutzer beispielsweise der Rolle hinzufügen, die es ihm gestattet, Bewertungen zu verwalten, können nur Mitglieder dieser Rolle Bewertungen verwalten. Ebenso gilt, wenn Sie der Rolle, die es Benutzern gestattet, die Daten in Bewertungen zu lesen, keinen Benutzer hinzufügen, können alle Benutzer auf das Compliance Manager zugreifen und Daten und beliebigen Bewertungen zu lesen

In der folgenden Tabelle wird jede Compliance Manager-Berechtigung beschrieben und welche Aktionen sie dem Benutzer gestattet. In der Tabelle wird auch die Rolle angegeben, der jede Berechtigung zugeordnet ist.

Compliance-Manager-Leser

Compliance-Manager-Mitwirkender

Compliance-Manager-Sachverständiger

Compliance-Manager-Administrator

Portaladministrator

Daten lesen    Benutzer können Daten lesen, jedoch nicht bearbeiten.

Häkchen

Häkchen

Häkchen

Häkchen

Häkchen

Daten bearbeiten    Benutzer können alle Felder außer den Feldern "Testergebnis" und "Testdatum" bearbeiten.

Häkchen

Häkchen

Häkchen

Häkchen

Testergebnisse bearbeiten    Benutzer können die Felder "Testergebnis" und "Testdatum" bearbeiten.

Häkchen

Häkchen

Häkchen

Bewertungen verwalten    Benutzer können Bewertungen erstellen, archivieren und löschen.

Häkchen

Häkchen

Benutzer verwalten    Benutzer können andere Benutzer aus ihrer Organisation zu den Rollen "Leser", "Mitwirkender", "Sachverständiger" und "Administrator" hinzufügen. Nur Benutzer mit der Rolle "Globaler Administrator" in Ihrer Organisation können Benutzer zur Portaladministratorrolle hinzufügen oder hieraus entfernen.

Häkchen

So fügen Sie einen Benutzer zu einer Compliance Manager-Rolle hinzu:

  1. Go to https://servicetrust.microsoft.com.

  2. Melden Sie sich mit Ihrem Office 365- oder Azure Active Directory-Benutzerkonto an.

  3. Klicken Sie im Service Trust Portal auf Einstellungen.

  4. Klicken Sie in der Dropdownliste Rolle auswählen auf die Rolle, der Sie Benutzer hinzufügen möchten.

    Aktivieren Sie "Rolle auswählen", um eine Liste der Compliance-Manager-Rollen anzuzeigen, denen Sie Benutzer hinzufügen können.
  5. Klicken Sie auf Symbol "Hinzufügen" Hinzufügen, fügen Sie einen Benutzer der Rolle hinzu, und klicken Sie auf Speichern.

    Benutzer, die der jeweiligen Rolle hinzugefügt wurden, werden auf der Seite Rolle auswählen aufgeführt.  Sie können einen Benutzer auswählen und auf Löschen klicken, um diesen aus der ausgewählten Rolle zu entfernen.

Seitenanfang

Hinzufügen einer Bewertung

So fügen Sie eine Bewertung im Compliance Manager hinzu:

  1. Klicken Sie im Compliance Manager-Dashboard auf Symbol "Hinzufügen" Bewertung hinzufügen.

  2. Wählen Sie auf der Seite Standardbewertung hinzufügen einen Microsoft Cloud Service, dessen Compliance bewertet werden soll, aus der Dropdownliste Produkt auswählen aus, und klicken Sie dann auf Weiter. Beachten Sie, dass in der Vorschau von Compliance-Manager nur Office 365 verfügbar ist.

  3. Wählen Sie einen oder mehrere Standards/Vorschriften für die Bewertung aus.

    Die Informationen, die für den ausgewählten Standard/die ausgewählte Vorschrift angezeigt werden, gelten für den in Schritt 2 ausgewählten Die Informationen, die für den ausgewählten Standard/die ausgewählte Vorschrift angezeigt werden, gelten für den in Schritt 2 ausgewählten Cloud Service. Beachten Sie, dass in der Vorschau von Compliance-Manager nur ISO 27001:2013, ISO 27018:2014 und der GDPR verfügbar sind.

    Hinweis : Die Vorschau von Compliance-Manager enthält keine Implementierungsdetails für alle internen Steuerelemente von Microsoft, die der GDPR zugeordnet wurden. Weitere Implementierungsdetails für von Microsoft verwalteten Steuerelemente, die der GDPR zugeordnet wurden, werden während des Vorschauzeitraums zum Compliance-Manager hinzugefügt.

  4. Geben Sie im Feld Bewertung benennen einen eindeutigen Namen für die Bewertung ein, der im Compliance Manager-Dashboard angezeigt wird.

  5. Klicken Sie auf Zu Dashboard hinzufügen, um die Bewertung zu erstellen.

    Wenn eine Bewertung im Compliance Manager-Dashboard angezeigt wird, wird der gesamte Fortschritt der Bewertung und werden Details dazu angegeben, wann diese erstellt und zuletzt geändert wurde.  Darüber hinaus werden auch die Benutzer der Bewertung angezeigt, was den Ersteller der Bewertung sowie andere Benutzer einschließt, denen Aktionselemente zugewiesen wurden. 

  6. Klicken Sie auf den Namen der Bewertung, um sie zu öffnen und die Details der Bewertung anzuzeigen.

Seitenanfang

Verwalten des Bewertungsprozesses

Der Ersteller einer Bewertung ist anfangs nur Benutzer der Bewertung. Für jedes vom Kunden verwaltete Steuerelement können Sie einem Benutzer in Ihrer Organisation ein Aktionselement zuweisen, sodass diese Person zu einem Benutzer der Bewertung wird, der die empfohlenen Kundenaktionen ausführen und Erkenntnisse sammeln und hochladen kann. Wenn Sie ein Aktionselement zuweisen, können Sie wählen, der Person eine E-Mail zu senden, die Details zu den empfohlenen Kundenaktionen und die Priorität des Aktionselements enthält. Die E-Mail-Benachrichtigung enthält einen Link zum Dashboard für Aktionselemente, in dem alle dieser Person zugewiesenen Aktionselemente aufgelistet werden.

Hier eine Liste der Aufgaben, die Sie mit den Workflowfeatures des Compliance Managers ausführen können.

Die Workflowverwaltungsfeatures in einem vom Kunden verwalteten Steuerelement
  1. Zuweisen eines Aktionselements zu einem Benutzer    Sie können ein Aktionselement einer Person zuweisen, um die Anforderungen eines Standards oder einer Vorschrift zu implementieren oder zu testen und zu verfizieren und die Implementierungsanforderungen Ihrer Organisation zu dokumentieren. Wenn Sie ein Aktionselement zuweisen, können Sie wählen, der Person eine E-Mail zu senden, die Details zu den empfohlenen Kundenaktionen und die Priorität des Aktionselements enthält. Sie können die Zuweisung eines Aktionselements auch aufheben oder dieses einer anderen Person zuweisen.

  2. Dokumente verwalten    Von Kunden verwaltete Steuerelemente verfügen auch über eine Position zum Verwalten von Dokumenten, die mit der Durchführung von Implementierungsaufgaben zusammenhängen, und zum Ausführen von Implementierungsaufgaben und zum Durchführen von Test- und Validierungsaufgaben. Jede Person mit der Berechtigung zum Bearbeiten von Daten im Compliance-Manager kann Dokumente hochladen, indem sie auf Dokumente verwalten klickt. Nachdem ein Dokument hochgeladen wurde, können Sie auf Dokumente verwalten klicken, um Dateien anzuzeigen und herunterzuladen.

  3. Implementierungs- und Testdetails bereitstellen    Für jedes vom Kunden verwaltete Steuerelement gibt es ein bearbeitbares Feld, in dem Benutzer Implementierungsdetail hinzufügen können, mit denen die von Ihrer Organisation unternommenen Schritte dokumentiert werden, um den Anforderungen des Standards oder der Vorschrift zu entsprechen, und um zu validieren und zu dokumentieren, wie Ihre Organisation diesen Anforderungen gerecht wird.

  4. Status festlegen    Legen Sie den Status für jedes Element als Teil des Bewertungsprozesses fest. Verfügbare Statuswerte sind Implementiert, Alternative Implementierung, Geplant und Nicht im Leistungsumfang.

  5. Testdatum und Testergebnis eingeben    Die Person in der Rolle des Compliance-Manager-Sachverständigen kann überprüfen, dass der geeignete Test durchgeführt wurde, die Implementierungsdetails, den Testplan, die Testergebnisse und alle hochgeladenen Erkenntnisse prüfen und dann das Testdatum und das Testergebnis festlegen. Verfügbare Testergebniswerte sind Erfolgreich, Fehlgeschlagen, geringes Risiko, Fehlgeschlagen, mittleres Risiko und Fehlgeschlagen, hohes Risiko.

Verwalten von Aktionselementen

Die in den Bewertungsprozess involvierten Personen in Ihrer Organisation können das Compliance Manager verwenden, um die vom Kunden verwendeten Steuerelemente für alle Bewertungen zu prüfen, deren Benutzer sie sind. Wenn ein Benutzer sich beim Compliance Manager anmeldet und das Dashboard für Aktionselemente öffnet, wird eine Liste der ihm zugewiesenen Aktionselemente angezeigt. Je nach der Compliance-Manager-Rolle, die dem Benutzer zugewiesen wurde, kann er Implementierungs- oder Testdetails bereitstellen, den Status hochladen oder Aktionselemente zuweisen.

Exportieren von Informationen aus einer Bewertung

Sie können eine Bewertung in eine Excel-Datei exportieren, die von Compliancemitwirkenden in Ihrer Organisation überprüft und für Auditoren und Datenschutzbehörden bereitgestellt werden können.

Seitenanfang

Archivieren einer Bewertung

Wenn Sie eine Bewertung abgeschlossen haben und diese für Compliancezwecke nicht mehr benötigen, können Sie sie archivieren. Wenn eine Bewertung archiviert wurde, wird sie aus dem Bewertungsdashboard entfernt. Bei Bedarf können Sie eine Bewertung reaktivieren, wenn Sie sie ändern müssen.

Zum Archivieren einer Bewertung klicken Sie auf der Kachel "Bewertung" auf Aktionen > Bewertung archivieren. Zum Anzeigen von archivierten Bewertungen aktivieren Sie das Kontrollkästchen Archivierte anzeigen.

Siehe auch

Seitenanfang

Ihre Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×