Verwenden von Compliance-Manager als Hilfe zur Erfüllung von Anforderungen hinsichtlich Datenschutz und gesetzlicher Vorschriften bei Nutzung der Microsoft Cloud Services

Compliance-Manager ist in Office 365, betrieben von 21Vianet, Office 365 Deutschland, Office 365 U.S. Government Community High (GCC High) oder Office 365 Department of Defense nicht verfügbar.

Mit Compliance Manager, einem workflowbasierten Risikobewertungstool im Microsoft Service Trust Portal, können Sie die Aktivitäten Ihrer Organisation zur Einhaltung gesetzlicher Bestimmungen im Zusammenhang mit Microsoft Professional Services und Microsoft Cloud Services (z. B. Microsoft Office 365, Microsoft Dynamics 365 und Microsoft Azure) nachverfolgen, zuweisen und überprüfen. Compliance-Manager:

  • Führt die von Microsoft für Prüfer und Datenschutzbehörden als Teil unterschiedlicher Audits der Microsoft Cloud Services von Dritten bereitgestellten Informationen in Bezug auf unterschiedliche Standards (z. B. ISO 27001, ISO 27018 und NIST) auf, sowie die Informationen, die Microsoft intern für die eigene Compliance mit behördlichen Vorschriften (wie z. B. HIPAA und der EU-Datenschutz-Grundverordnung, DSGVO) und mit Ihrer eigenen Selbstbewertung der Compliance Ihrer Organisation mit diesen Standards und Vorschriften bereitstellt.

  • Ermöglicht es Ihnen, mit der Compliance und der Bewertung zusammenhängende Aktivitäten zuzuweisen, nachzuverfolgen und aufzuzeichnen, was Ihrer Organisation dabei helfen kann, Teambarrieren zu überwinden, um die Complianceziele Ihrer Organisation zu erreichen.

  • Bietet eine Compliancebewertung, mit der Sie den Fortschritt nachverfolgen sowie die Überwachungssteuerelemente priorisieren können, mit deren Hilfe das Risiko für Ihre Organisation verringert werden kann.

  • Bietet ein sicheres Repository für Sie, um Erkenntnisse und andere Artefakte hochzuladen und zu verwalten, die mit Ihren Complianceaktivitäten in Verbindung stehen.

  • Erzeugt äußerst detaillierte Berichte in Microsoft Excel, in denen die Complianceaktivitäten von Microsoft und Ihrer Organisation dokumentiert werden, die für Prüfer, Datenschutzbehörden und andere Compliancemitwirkende bereitgestellt werden können.

Wichtig: Compliance-Manager ist ein Dashboard, in dem eine Zusammenfassung Ihres Datenschutz- und Complianceformats und der Empfehlungen zur Verbesserung von Datenschutz und Compliance zusammengefasst sind. Die in Compliance-Manager bereitstehenden Kundenaktionen sind Empfehlungen, und es ist Aufgabe jeder einzelnen Organisation, die Effektivität dieser Empfehlungen vor der Implementierung im jeweiligen regulatorischen Umfeld zu bewerten. Empfehlungen in Compliance-Manager sollten nicht als eine Garantie für Compliance interpretiert werden.

Inhalt

Konzeptionelle Themen   

Verwenden der Suchfunktion

Unterstützung für Lokalisierung

Bewertungen in Compliance-Manager

Berechtigungen und rollenbasierter Zugriff

Grundlegendes zur Compliancebewertung

Methode der Compliancebewertung

Gruppieren von Bewertungen

Verwaltungsfunktionen   

Zuweisen von Compliance-Manager-Rollen zu Benutzern

Datenschutzeinstellungen

Verwenden von Compliance-Manager   

Zugreifen auf Compliance-Manager

Verwenden des Compliance-Manager-Dashboards

Anzeigen von Aktionselementen

Hinzufügen einer Bewertung

Kopieren von Informationen aus vorhandenen Bewertungen

Anzeigen von Bewertungen

Verwalten des Bewertungsprozesses

Verwalten von Aktionselementen

Exportieren von Informationen aus einer Bewertung

Archivieren einer Bewertung

Änderungsprotokoll zu von Kunden verwalteten Steuerelementen   

Änderungsprotokoll

Konzeptionelle Themen

Compliance-Manager ist ein workflowbasiertes Risikobewertungstool, das entwickelt wurde, um Sie bei der Einhaltung gesetzlicher Bestimmungen innerhalb des Modells gemeinsamer Verantwortlichkeiten der Cloud zu unterstützen. Compliance-Manager bietet Ihnen eine Dashboardansicht der Standards und Bestimmungen und Bewertungen, die Details zur Steuerelementimplementierung und Testergebnisse von Microsoft sowie einen Leitfaden für die Implementierung von Kundensteuerelementen und Nachverfolgung für Ihre Organisation enthält. Compliance-Manager stellt Definitionen für Steuerelemente zur Zertifizierungsbewertung, eine Anleitung zum Implementieren und Testen von Steuerelementen, risikogewichtete Bewertung von Steuerelementen, rollenbasierte Zugriffsverwaltung und einen In-Situ-Aktionszuordnungsworkflow für Steuerelemente zum Nachverfolgen der Steuerelementimplementierung, zum Testen des Status und für die Nachweisverwaltung bereit. Compliance-Manager optimiert die Complianceworkload, indem es Kunden ermöglicht wird, Bewertungen logisch zu gruppieren und Tests der Bewertungssteuerelemente auf identische oder ähnliche Steuerelemente anzuwenden, um den doppelten Aufwand zu verringern, der andernfalls ggf. erforderlich ist, um identische Steuerelementanforderungen für verschiedene Zertifizierungen zu erfüllen.

Service Trust-Portal – Feld "Sucheingabe"

Klicken Sie oben rechts auf der Seite auf die Lupe, um das Eingabefeld für die Suche zu öffnen, geben Sie Ihre Suchbegriffe ein, und drücken Sie die EINGABETASTE.  Das Steuerelement "Suchen" wird angezeigt, mit dem Suchbegriff im Eingabefeld des Suchbereichs und den Suchergebnissen darunter.

Standardmäßig gibt die Suche als Ergebnis Dokumente zurück, und sie können über die "Filtern nach"-Dropdownmenüs die Liste der angezeigten Dokumente filtern, um Suchergebnisse hinzuzufügen oder aus der Ansicht zu entfernen. Gleichzeitig können Sie die zurückgegebenen Dokumente mithilfe mehrerer Filterattribute auf bestimmte Clouddienste, Kompatibilitätskategorien oder Sicherheitspraktiken, Regionen der Welt oder Branchen beschränken.  Klicken Sie auf den Link des Dokumentnamens, um das Dokument herunterzuladen.

Service Trust-Portal – Durchsuchen von Dokumenten mit angewendetem Filter

Klicken Sie auf den Compliance-Manager-Link, um Suchergebnisse für Compliance-Manager-Bewertungssteuerelemente anzuzeigen. In den aufgelisteten Ergebnissen werden das Datum der Erstellung der Bewertung, der Name der Bewertungsgruppierung und der entsprechende Clouddienst angezeigt, und außerdem, ob die Steuerelemente von Microsoft oder vom Kunden verwaltet werden.

Service Trust Portal – Durchsuchen von Compliance-Manager-Steuerelementen

Hinweis: Service Trust Portal-Berichte und -Dokumente stehen für mindestens zwölf Monate nach ihrer Veröffentlichung oder bis zur Herausgabe einer neuen Version des Dokuments zum Download bereit.

Seitenanfang

Das Service Trust Portal ermöglicht es Ihnen, den Seiteninhalt in anderen Sprachen anzuzeigen.  Wenn Sie die Seitensprache ändern möchten, klicken Sie einfach in der unteren linken Ecke der Seite auf das Globussymbol, und wählen Sie die gewünschte Sprache aus. 

Service Trust-Portal – Optionen für lokalisierte Inhalte

Seitenanfang

Die Kernkomponente von Compliance Manager wird als Bewertung bezeichnet. Eine Bewertung stellt eine Bewertung eines Microsoft-Diensts anhand eines Zertifizierungsstandards oder einer Datenschutzvorschrift (wie ISO 27001:2013 und der DSGVO) dar. Mithilfe von Bewertungen können Sie die Datenschutz- und Compliancehaltung Ihrer Organisation anhand des ausgewählten Branchenstandards für den ausgewählten Microsoft Cloud Service bewerten. Bewertungen werden mit der Implementierung der Steuerelemente abgeschlossen, die dem zu bewertenden Zertifizierungsstandard entsprechen.

Die Struktur einer Bewertung basiert auf den Zuständigkeiten, die zwischen Microsoft und Ihrer Organisation für die Bewertung von Sicherheits- und Compliancerisiken in der Cloud geteilt werden, sowie für die Implementierung der Datenschutzsicherungen, die von einem Compliancestandard, einem Datenschutzstandard, einer Vorschrift oder einem Gesetz festgelegt werden.

Eine Bewertung besteht aus mehreren Komponenten:

Services im Leistungsumfang: Jede Bewertung bezieht sich auf eine bestimmte Gruppe von Microsoft-Diensten, die im Abschnitt "Services im Leistungsumfang" aufgelistet werden.

Von Microsoft verwaltete Steuerelemente   : Für jeden Cloud Service implementiert und verwaltet Microsoft eine Reihe von Steuerelementen als Teil der Compliance von Microsoft mit unterschiedlichen Standards und Vorschriften. Diese Steuerelemente sind nach Steuerelementfamilien geordnet, die an die Struktur der entsprechenden Zertifizierung oder Vorschrift angepasst sind, auf die die Bewertung abgestimmt ist. Für jedes von Microsoft verwaltete Steuerelement bietet Compliance-Manager Details dazu, wie Microsoft das Steuerelement implementiert hat, sowie Informationen, wie und wann diese Implementierung von einem unabhängigen Auditor eines Dritten getestet und validiert wurde.

Hier ein Beispiel für drei von Microsoft verwaltete Steuerelemente in der Steuerelementfamilie Sicherheit aus einer Bewertung von Office 365 anhand der DSGVO.

Details zu den von Microsoft verwalteten Steuerelementen in Compliance-Manager
  1. Gibt die folgenden Informationen aus der Zertifizierung oder Vorschrift an, die dem von Microsoft verwalteten Steuerelement zugeordnet ist.

    • Steuerelement-ID   : Die Abschnitts- oder Artikelnummer der Zertifizierung oder Vorschrift, der das Steuerelement zugeordnet ist.

    • Titel   : Der Titel der entsprechenden Zertifizierung oder Vorschrift.

    • Artikel-ID   : Dieses Feld ist nur für DSGVO-Bewertungen enthalten. Es gibt die entsprechende DSGVO-Artikelnummer an.

    • Beschreibung   : Der Text des Standards oder der Verordnung, der bzw. die dem ausgewählten, von Microsoft verwalteten Steuerelement zuordnet ist.

  2. Die Compliancebewertung für das Steuerelement, die das Risikoniveau (aufgrund einer Nichtkonformität oder eines Steuerelementfehlers) angibt, das dem jeweiligen von Microsoft verwalteten Steuerelement zugeordnet ist. Weitere Informationen finden Sie unter Grundlegendes zur Compliancebewertung. Beachten Sie, dass Compliancebewertungen einen Wert von 1 bis 10 aufweisen und farbcodiert sind. Gelb gibt Steuerelemente mit geringem Risiko an, Orange gibt Steuerelemente mit mittlerem Risiko an, und Rot gibt Steuerelemente mit hohem Risiko an.

  3. Informationen zum Implementierungsstatus eines Steuerelements, das Datum, zu dem das Steuerelement getestet wurde, wer den Test durchgeführt hat und das Testergebnis.

  4. Sie können für jedes Steuerelement auf Mehr klicken, um weitere Informationen anzuzeigen, wie Details zu der Implementierung des Steuerelements durch Microsoft und Details dazu, wie das Steuerelement von einem unabhängigen Auditor eines Dritten getestet und validiert wurde.

Vom Kunden verwaltete Steuerelemente   : Dies ist die Sammlung von Steuerelementen, die von Ihrer Organisation verwaltet werden. Ihre Organisation ist zuständig für die Implementierung dieser Steuerelemente als Teil Ihres Complianceprozesses für einen gegebenen Standard oder eine Vorschrift. Vom Kunden verwaltete Steuerelemente sind ebenfalls nach Steuerelementfamilien für die entsprechende Zertifizierung oder Vorschrift geordnet. Verwenden Sie vom Kunden verwaltete Steuerelemente zum Implementieren der von Microsoft vorgeschlagenen empfohlenen Aktionen als Teil Ihrer Complianceaktivitäten. Ihre Organisation kann diesen beschreibenden Leitfaden und die empfohlenen Kundenaktionen in jedem vom Kunden verwalteten Steuerelement verwenden, um die Implementierung und den Bewertungsprozess für dieses Steuerelement zu verwalten.

Vom Kunden verwaltete Steuerelemente in Bewertungen verfügen zudem über eine integrierte Workflowmanagementfunktion, die Sie verwenden können, um die Fortschritte Ihrer Organisation im Hinblick auf den Abschluss der Bewertung zu verwalten und nachzuverfolgen. So kann ein Compliance Officer in Ihrer Organisation beispielsweise einem IT-Administrator ein Aktionselement zuweisen, der dann über die Zuständigkeit und die notwendigen Berechtigungen zum Ausführen der für das Steuerelement empfohlenen Aktionen verfügt. Wenn die Arbeit abgeschlossen ist, kann der IT-Manager aus seinen Implementierungsaufgaben gewonnene Erkenntnisse hochladen (beispielsweise Screenshots der Konfiguration oder Richtlinieneinstellungen) und das Aktionselement an den Compliance Officer zurücküberweisen, um die gesammelten Erkenntnisse zu bewerten, die Implementierung des Steuerelements zu testen und das Implementierungsdatum und Testergebnisse im Compliance-Manager aufzuzeichnen. Weitere Informationen finden Sie im Abschnitt Verwalten des Bewertungsprozesses in diesem Artikel.

Seitenanfang

Standardmäßig besitzt jede Person in Ihrer Organisation mit einem Office 365- oder Azure AD-Konto Zugriff auf Compliance Manager und kann jede Aktion in Compliance Manager ausführen. Um von den Standardberechtigungen zum rollenbasierten Zugriffssteuerungsmodell zu wechseln, muss mindestens ein Benutzer jeder Compliance Manager-Rolle hinzugefügt werden (siehe folgende Anleitungen). Nachdem ein Benutzer einer Rolle hinzugefügt wurde, werden die Berechtigungen zum Ausführen der dieser Rolle zugewiesenen Aktionen aus dem Standardsatz von Berechtigungen entfernt, der allen Benutzern zur Verfügung steht, und nur die Benutzer, denen diese Rolle zugewiesen wurde, können auf Compliance Manager zugreifen und die von dieser Rolle erlaubten Aktionen ausführen.

Nachdem der rollenbasierte Zugriff implementiert wurde, besitzen alle Benutzer, die keiner definierten Compliance-Manager-Rolle zugewiesen sind, Gastzugriff.

Hinweis: Um rollenbasierte Zugriffssteuerung vollständig zu implementieren und zu steuern, wer im Compliance Manager auf Aktionen zugreifen und Aktionen ausführen kann, muss jeder Rolle ein Benutzer hinzugefügt werden, um die Standardberechtigungen zu ändern. Wenn Sie einen Benutzer beispielsweise der Rolle hinzufügen, die es gestattet, Bewertungen zu verwalten, können nur Mitglieder dieser Rolle Bewertungen verwalten. Ebenso gilt Folgendes: Wenn Sie der Rolle, die es Benutzern gestattet, die Daten in Bewertungen zu lesen, keinen Benutzer hinzufügen, können alle Benutzer auf das Compliance Manager zugreifen und Daten in beliebigen Bewertungen lesen.

In der folgenden Tabelle wird jede Compliance Manager-Berechtigung beschrieben und welche Aktionen sie dem Benutzer gestattet. In der Tabelle wird auch die Rolle angegeben, der jede Berechtigung zugeordnet ist.

Compliance-Manager-Leser

Compliance-Manager-Mitwirkender

Compliance-Manager-Sachverständiger

Compliance-Manager-Administrator

Portaladministrator

Daten lesen    Benutzer können Daten lesen, jedoch nicht bearbeiten.

Häkchen

Häkchen

Häkchen

Häkchen

Häkchen

Daten bearbeiten    Benutzer können alle Felder außer den Feldern "Testergebnis" und "Testdatum" bearbeiten.

Häkchen

Häkchen

Häkchen

Häkchen

Testergebnisse bearbeiten    Benutzer können die Felder "Testergebnis" und "Testdatum" bearbeiten.

Häkchen

Häkchen

Häkchen

Bewertungen verwalten    Benutzer können Bewertungen erstellen, archivieren und löschen.

Häkchen

Häkchen

Benutzer verwalten   : Benutzer können andere Benutzer aus ihrer Organisation zu den Rollen "Leser", "Mitwirkender", "Sachverständiger" und "Administrator" hinzufügen. Nur Benutzer mit der Rolle "Globaler Administrator" in Ihrer Organisation können Benutzer zur Rolle "Portaladministrator" hinzufügen oder daraus entfernen.

Häkchen

Gastzugriff

Nach der Konfiguration des Compliance-Manager-Zugriffs wird jeder Benutzer, der über keine bereitgestellte Rolle verfügt, standardmäßig der Rolle Gastzugriff zugeordnet (dies gilt auch für Konten, die nicht von der Organisation bereitgestellt werden, z. B. persönliche Microsoft-Konten).  Benutzer mit Gastzugriff haben keinen vollständigen Zugriff auf alle Compliance-Manager-Features und können keine der Compliancebewertungsdaten des Unternehmens einsehen, jedoch können sie mit Compliance-Manager die Compliancebewertungsberichte und Service Trust-Dokumente von Microsoft anzeigen.  Die folgenden Abbildungen zeigen die Features, auf die zugegriffen bzw. nicht zugegriffen werden kann. Dabei sind die zugänglichen Features blau und die nicht zugänglichen Features rot dargestellt.

Compliance-Manager-Dashboard – Benutzeroberfläche für Gastzugriff

Compliance-Manager – Grafik "Gastzugriff"

Seitenanfang

Compliance-Manager zeigt im Dashboard einen Gesamtwert für Office 365-Bewertungen in der oberen rechten Ecke der Kachel an. Dies ist der allgemeine Compliancegesamtwert für die Bewertung und stellt die Akkumulierung der Punkte dar, die für jede Steuerelementbewertung, die bisher in einer Bewertung als "Implementiert" und "Getestet" markiert wurde, erhalten wurden. Beim Hinzufügen einer Bewertung werden Sie feststellen, dass der Compliancewert bereits auf dem Weg zum Abschluss ist, da die Punkte für die von Microsoft verwalteten Steuerelemente, die von Microsoft implementiert und von unabhängigen Dritten getestet wurden, bereits angewendet wurden.

Compliance-Manager-Dashboard – Score für Gesamtkonformität

Die restlichen Punkte stammen aus der erfolgreichen Kundenbewertung des Steuerelements, aus der Implementierung und dem Test der vom Kunden verwalteten Steuerelemente, die jeweils einen spezifischen Wert aufweisen, der zum Gesamtergebnis der Compliance beiträgt.  

Jede Bewertung zeigt einen Wert der risikobasierten Compliancebewertung, damit Sie das Risikoniveau (aufgrund einer Nichtkonformität oder eines Steuerelementfehlers) im Zusammenhang mit jedem Steuerelement (einschließlich der von Microsoft verwalteten und vom Kunden verwalteten Steuerelemente) in einer Bewertung abschätzen können.  Jedem vom Kunden verwalteten Steuerelement wird eine mögliche Anzahl von Punkten auf einer Skala von 1 bis 10 zugeordnet (als Schweregradeinstufung bezeichnet). Dabei werden Steuerelementen mit einem höheren Risikofaktor beim Fehlschlagen mehr Punkte und Steuerelementen mit einem geringen Risiko weniger Punkte zugeordnet.

Beispielsweise weist das unten gezeigte Bewertungssteuerelement "Benutzerzugriffsverwaltung" eine sehr hohe Risikoeinstufung auf und zeigt einen zugewiesenen Wert von 10 an.

Compliance-Manager – Bewertungssteuerelement für hohen Schweregrad – Score 10

 Im Vergleich dazu weist das unten gezeigte Bewertungssteuerelement "Informationssicherung" eine geringere Risikoeinstufung auf und zeigt einen zugewiesenen Wert von 3 an.

Compliance-Manager – Bewertungssteuerelement für niedrigen Schweregrad – Score 3

Der Compliance-Manager weist jedem Steuerelement eine standardmäßige Schweregradeinstufung zu. Risikoeinstufungen werden auf Grundlage der folgenden Kriterien berechnet:

  • Ob durch ein Steuerelement das Auftreten von Vorfällen verhindert wird (höchste Einstufung), aufgetretene Vorfälle erkannt werden oder die Auswirkung eines Vorfalls behoben wird (niedrigste Einstufung). Im Hinblick auf die Schweregradeinstufung wird einem Steuerelement, das eine Bedrohung verhindert und obligatorisch ist, die höchste Punktzahl zugeordnet. Steuerelementen, die zur Erkennung oder Behebung dienen (unabhängig davon, ob sie obligatorisch sind oder nach eigenem Ermessen angewendet werden), wird die niedrigste Punktzahl zugeordnet.

  • Ob ein Steuerelement (nach der Implementierung) obligatorisch ist und dadurch nicht von Benutzern umgangen werden kann (wenn Benutzer beispielsweise ihr Kennwort zurücksetzen und Anforderungen in Hinsicht auf Kennwortlänge und Zeichen erfüllen müssen) oder nach eigenem Ermessen angewendet wird und dadurch von Benutzern umgangen werden kann (z. B. Geschäftsregeln, durch die Benutzer ihren Bildschirm sperren müssen, wenn der Computer unbeaufsichtigt ist).

  • Steuerelemente, die mit Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit von Daten im Zusammenhang stehen, ungeachtet dessen, ob diese Risiken durch interne oder externe Bedrohungen entstehen und ob sich die Bedrohungen durch bösartige Absicht oder versehentlich ergeben. Beispielweise werden Steuerelementen, mit denen verhindert wird, dass ein externer Angreifer in dieses Netzwerk eindringt und Zugriff auf personenbezogene Informationen erhält, mehr Punkte zugeordnet als einem Steuerelement, mit dem verhindert wird, dass ein Mitarbeiter versehentlich eine Einstellung des Netzwerkrouters falsch konfiguriert und auf diese Weise ein Netzwerkausfall entsteht.

  • Risiken im Zusammenhang mit rechtlichen und externen Anforderungen (z. B. Verträge, Vorschriften und öffentliche Zusagen) für jedes Steuerelement.

Die angezeigten Compliancewerte für das Steuerelement werden in ihrer Gesamtheit auf den Compliancegesamtwert auf der Basis des Bestehens oder Nichtbestehens angewendet: Das Steuerelement ist entweder implementiert und besteht den nachfolgenden Bewertungstest, oder dies ist nicht der Fall. Es wird kein Teilwert für eine teilweise Implementierung zugeordnet.  Nur wenn für das Steuerelement der Implementierungsstatus auf Implementiert oder Alternative Implementierung und das Testergebnis auf Erfolgreich festgelegt ist, werden die zugeordneten Punkte dem Compliancegesamtwert hinzugefügt.  

Die Compliancebewertung kann Ihnen insbesondere bei der Priorisierung von Steuerelementen helfen, auf die bei der Implementierung der Schwerpunkt gelegt werden muss, indem angegeben wird, welche Steuerelemente bei einem Fehler ein höheres mögliches Risiko aufweisen.  Neben der risikobasierten Priorisierung ist Folgendes zu beachten: Wenn sich die Bewertungssteuerelemente auf andere Steuerelemente beziehen (entweder innerhalb derselben Bewertung oder in einer anderen Bewertung, die sich in derselben Bewertungsgruppe befindet), kann der erfolgreiche Abschluss eines einzelnen Steuerelements zu einer erheblichen Verringerung des Aufwands basierend auf der Synchronisierung der Steuerelement-Testergebnisse führen.

In der Abbildung unten erkennen Sie beispielsweise, dass die Bewertung "Office 365: DSGVO" mit 46 % bewertet wurde. Dabei wurden 51 von 111 Steuerelementbewertungen für einen Compliancegesamtwert von 289 von möglichen 600 abgeschlossen.

Compliance-Manager – Zusammenfassung der Bewertung

In der Bewertung bezieht sich das DSGVO-Steuerelement 7.5.5 auf 5 andere Steuerelemente (7.4.1, 7.4.3, 7.4.4,.7.4.8 und 7.4.9), die jeweils einen mittleren bis hohen Risikobewertungswert von 6 oder 8 für den Schweregrad aufweisen).  Mithilfe des Bewertungsfilters haben wir alle diese Steuerelemente ausgewählt, sodass sie in der Bewertungsansicht angezeigt werden. Sie können unten erkennen, dass keines von ihnen bewertet wurde.    

Compliance-Manager – Bewertungsansicht – Filtersteuerelemente, nicht bewertet Da diese 6 Steuerelemente miteinander in Beziehung stehen, führt der Abschluss eines dieser 6 Steuerelemente zu einer Synchronisierung der Testergebnisse für die verwandten Steuerelemente innerhalb dieser Bewertung (genau wie bei allen verwandten Steuerelementen in einer Bewertung, die sich in derselben Bewertungsgruppe befinden). Nach Abschluss der Implementierung und Tests des DSGVO-Steuerelements 7.5.5 wird der Steuerelement-Detailbereich aktualisiert und zeigt nun an, dass alle 6 Steuerelemente bewertet wurden. Dabei zeigt sich eine entsprechende Zunahme der Anzahl der bewerteten Steuerelemente auf 57 und 51 % sowie eine Änderung des Compliancegesamtwerts von + 40.

Ansicht "Compliance-Manager-Bewertung" – Steuerelementergebnisse synchronisiert

Dieses Dialogfeld zur Bestätigung der Aktualisierung wird angezeigt, wenn Sie den Status der Implementierung eines in Beziehung stehenden Steuerelements in einer Weise ändern, die sich auf die anderen in Beziehung stehenden Steuerelemente auswirkt.

Compliance-Manager-Bewertung – Bestätigungsdialogfeld für Aktualisierung verwandter Steuerelemente

Hinweis: Zurzeit enthalten nur Bewertungen für Office 365-Clouddienste einen Compliancewert. Bewertungen für Azure und Dynamics zeigen einen Bewertungsstatus an.

Seitenanfang

Die Compliancebewertung gleicht, ähnlich wie der Microsoft Secure Score, anderen verhaltensbasierten Bewertungssystemen. Die Aktivitäten Ihrer Organisation können die Compliancebewertung erhöhen, indem Aktivitäten in Bezug auf Datenschutz, Privatsphäre und Sicherheit durchgeführt werden.

Hinweis: Die Compliancebewertung ist kein absolutes Maß für die Einhaltung bestimmter Standards oder Vorschriften durch die Organisation. Er drückt aus, inwieweit Sie Steuerelemente eingeführt haben, die die Risiken für personenbezogene Daten und die Privatsphäre des Einzelnen verringern können. Kein Dienst kann garantieren, dass Sie einen Standard oder eine Vorschrift einhalten, und die Compliancebewertung sollte in keiner Weise als Garantie interpretiert werden.

Die Bewertungen im Compliance-Manager basieren auf dem Modell der gemeinsamen Verantwortung für Cloudcomputing. Im Modell der gemeinsamen Verantwortung sind Microsoft und jeder Kunde gemeinsam für den Schutz der Kundendaten verantwortlich, wenn diese in unserer Cloud gespeichert werden.

Wie aus der folgenden Office 365 DSGVO-Bewertung hervorgeht, sind Microsoft und seine Kunden jeweils für die Durchführung einer Reihe von Maßnahmen verantwortlich, die den Anforderungen der zu beurteilenden Standards oder Vorschriften entsprechen. Um die erforderlichen Maßnahmen für eine Vielzahl von Standards und Vorschriften zu rationalisieren und zu verstehen, behandelt der Compliance-Manager alle Standards und Vorschriften so, als wären sie Kontrollframeworks. So beinhalten die von Microsoft und den Kunden für jede Bewertung durchgeführten Maßnahmen die Implementierung und Validierung verschiedener Steuerelemente.

Compliance-Manager – DSGVO-Bewertung

Der grundlegende Arbeitsablauf für eine typische Maßnahme sieht wie folgt aus:

  1. Der Compliance-, Risiko-, Privatsphäre- und/oder Datenschutzbeauftragte einer Organisation weist einer Person in der Organisation die Aufgabe zu, ein Steuerelement zu implementieren. Diese Person könnte sein:

    1. ein Geschäftsrichtlinienbesitzer,

    2. ein IT-Implementierer oder

    3. eine andere Person in der Organisation sein, die für die Ausführung der Aufgabe verantwortlich ist.

  2. Diese Person führt die zur Implementierung der Steuerelemente erforderlichen Aufgaben aus, lädt den Nachweis der Implementierung im Compliance-Manager hoch und markiert die an die Maßnahme gebundenen Steuerelemente als implementiert. Sobald diese Aufgaben erledigt sind, ordnet diese Person die Aktion einem Sachverständigen zur Validierung zu. Sachverständige können sein:

    1. interne Prüfer, die Steuerelemente innerhalb einer Organisation validieren, oder

    2. externe Prüfer, die die Einhaltung der Vorschriften prüfen, verifizieren und zertifizieren, wie zum Beispiel die unabhängigen Organisationen, die die Clouddienste von Microsoft prüfen.

  3. Der Sachverständige validiert das Steuerelement, prüft die Nachweise, kennzeichnet die Steuerelemente als bewertet und erfasst die Ergebnisse der Bewertung (z. B. bestanden).

Sobald alle mit einer Bewertung verbundenen Steuerelemente bewertet wurden, gilt die Bewertung als abgeschlossen.

Jede Bewertung im Compliance-Manager enthält vorinstallierte Informationen über die von Microsoft ergriffenen Maßnahmen, um die Anforderungen der von Microsoft verantworteten Steuerelemente zu erfüllen. Diese Informationen enthalten Einzelheiten darüber, wie Microsoft die einzelnen Steuerelemente implementiert hat und wie und wann die Implementierung durch Microsoft von einem externen Prüfer bewertet und verifiziert wurde. Aus diesem Grund werden die von Microsoft verwalteten Steuerelemente für jede Bewertung als bewertet gekennzeichnet, und der Compliancewert für die Bewertung spiegelt dies wider.

Jede Bewertung beinhaltet einen Compliancegesamtwert auf Basis des Modells der gemeinsamen Verantwortung. Implementierung und Test der Steuerelemente für Office 365 seitens Microsoft trägt einen Teil zur gesamten möglichen Punktzahl einer DSGVO-Bewertung bei. Mit Implementierung und Test jeder einzelnen Kundenaktion durch den Kunden erhöht sich der Compliancegesamtwert für die Bewertung um den dem Steuerelement zugewiesenen Wert.

Risikobasierte Bewertungsmethode

Der Compliance-Manager verwendet eine risikobasierte Bewertungsmethode mit einer Skala von 1-10. Hierbei wird Steuerelementen, die ein höheres Risiko für den Fall darstellen, dass das Steuerelement fehlschlägt oder nicht konform ist, ein höherer Wert zugewiesen. Das zur Compliancebewertung verwendete Bewertungssystem basiert auf mehreren Schlüsselfaktoren, z. B:

  1. dem Wesen des Steuerelements,

  2. der Höhe des Risikos des Steuerelements auf Basis der Bedrohungsarten und

  3. dem externen Auslöser für das Steuerelement.

Compliance-Manager – Methode der Compliancebewertung

Wesen des Steuerelements

Das Wesen des Steuerelements basiert darauf, ob das Steuerelement obligatorisch oder dem eigenen Ermessen überlassen ist und ob es der Prävention, der Erkennung oder der Behebung dient.

Obligatorische oder dem eigenen Ermessen überlassene Steuerelemente

Obligatorische Steuerelemente sind Steuerelemente, die weder absichtlich noch versehentlich umgangen werden können. Ein Beispiel für ein allgemeines obligatorisches Steuerelement ist eine zentral verwaltete Kennwortrichtlinie, die Anforderungen an Kennwortlänge, -komplexität und -ablauf festlegt. Benutzer müssen diese Anforderungen erfüllen, um auf das System zugreifen zu können.

Dem eigenen Ermessen überlassene Steuerelemente basieren darauf, dass die Benutzer die Richtlinie verstehen und entsprechend handeln. Beispielsweise ist eine Richtlinie, die Benutzer dazu verpflichtet, den Computer zu sperren, wenn sie ihn verlassen, ein dem eigenen Ermessen überlassenes Steuerelement, da sie vom Benutzer abhängig ist.

Steuerelemente zur Prävention, Erkennung oder Behebung

Steuerelemente zur Prävention sind Steuerelemente, die bestimmte Risiken verhindern. Zum Beispiel ist der Schutz von gespeicherten Daten durch Verschlüsselung ein Steuerelement zur Prävention von Angriffen, Verstößen etc. Die Aufgabentrennung ist ein Steuerelement zur Prävention, um Interessenkonflikte zu bewältigen und vor Betrug zu schützen.

Steuerelemente zur Erkennung sind solche, die Systeme aktiv überwachen, um unregelmäßige Zustände oder Verhaltensweisen zu erkennen, die ein Risiko darstellen, oder solche, die verwendet werden können, um Angriffe zu erkennen oder festzustellen, ob ein Verstoß vorliegt. Die Überwachung der Systemzugriffe und der privilegierten Verwaltungsaufgaben sind Arten von Steuerelementen zur Überwachung und Erkennung. Überprüfungen der Einhaltung gesetzlicher Vorschriften sind Arten von Steuerelementen zur Erkennung, mit denen Verfahrensprobleme ermittelt werden.

Steuerelemente zur Behebung sind solche, die versuchen, die nachteiligen Auswirkungen eines Sicherheitsvorfalls so gering wie möglich zu halten, Korrekturmaßnahmen zu ergreifen, um die unmittelbaren Auswirkungen zu verringern und den Schaden, wenn möglich, rückgängig zu machen. Die Reaktion auf Datenschutzvorfälle ist ein Steuerelemente zur Behebung, um Schäden zu begrenzen und Systeme nach einer Verletzung wieder in einen funktionierenden Zustand zu versetzen.

Indem jedes Steuerelement anhand dieser Faktoren bewertet wird, wird das Wesen des Steuerelements bestimmt und ihm ein Wert im Verhältnis zum Risiko, das es darstellt, zugewiesen.

Bedrohung

Obligatorisch

Im eigenen Ermessen

Prävention

Hohes Risiko

Mittleres Risiko

Erkennung

Mittleres Risiko

Geringes Risiko

Behebung

Mittleres Risiko

Geringes Risiko

Bedrohung bezieht sich auf alles, was ein Risiko für den grundlegenden, universell anerkannten Sicherheitsstandard für Daten (CIA-Triade genannt) darstellt: Vertraulichkeit, Integrität und Verfügbarkeit:

  • Vertraulichkeit bedeutet, dass Informationen nur von vertrauenswürdigen, autorisierten Parteien gelesen und verstanden werden können.

  • Integrität bedeutet, dass Informationen nicht geändert oder durch nicht autorisierte Parteien zerstört wurden.

  • Verfügbarkeit bedeutet, dass auf die Informationen schnell zugegriffen werden kann, um eine hohe Dienstqualität zu gewährleisten.

Ein Mangel bei einem dieser Merkmale wird als Beeinträchtigung des gesamten Systems. Bedrohungen können sowohl von internen als auch von externen Quellen ausgehen, und die Aktion kann versehentlich oder in böser Absicht ausgeführt werden. Diese Faktoren werden in einer Bedrohungsmatrix eingeschätzt, die jeder Kombination von Szenarien die Bedrohungsstufen Hoch, Mittel oder Niedrig zuordnet.

Intern

Extern

Böswillig

Unbeabsichtigt

Böswillig

Unbeabsichtigt

Vertraulichkeit

(H, M oder N)

(H, M oder N)

(H, M oder N)

(H, M oder N)

Integrität

(H, M oder N)

(H, M oder N)

(H, M oder N)

(H, M oder N)

Verfügbarkeit

(H, M oder N)

(H, M oder N)

(H, M oder N)

(H, M oder N)

Externe Treiber

Verträge

Vorschriften

Öffentliche Verpflichtungen

(H, M oder N)

(H, M oder N)

(H, M oder N)

Externe Faktoren wie geltende Vorschriften, Verträge und öffentliche Verpflichtungen können einen Einfluss auf Steuerelemente haben, die zum Schutz von Daten und zur Verhinderung von Datenverstößen entwickelt wurden, wobei jedem dieser Faktoren ein Risikowert (Hoch, Mittel oder Niedrig) zugewiesen wird.

Die geschätzte Anzahl der Ereignisse der Risikowerte Hoch, Mittel oder Niedrig über die 15 möglichen unter "CIA/Threat" und "Legal/External Drivers" aufgeführten Risikoszenarien werden zu einer Risikogewichtung zusammengefasst, die die Wahrscheinlichkeit und Anzahl der Ereignisse von Risiken bei einem bestimmten Wert als signifikant betrachtet und in die Berechnung der Schweregradeinstufung des Steuerelements einfließt.

Anhand der Schweregradeinstufung des Steuerelements wird ihm als Compliancewert eine Zahl zwischen 1 (niedrig) und 10 (hoch), in die folgenden Risikokategorien eingeteilt, zugewiesen:

Risikostufe

Wert des Steuerelements

Niedrig

1-3

Mittel

6

Hoch

8

Schwerwiegend

10

Durch die Priorisierung von Bewertungssteuerelementen mit den höchsten Compliancegesamtwerten konzentriert sich die Organisation auf die risikoreichsten Elemente und erhält proportional höhere positive Rückmeldungen in Form von mehr Punkten, die zum Compliancegesamtwert für die Bewertung für jede abgeschlossene Steuerelementbewertung addiert werden.

Zusammenfassung

Die Compliancebewertung ist eine zentrale Komponente der Art und Weise, wie Compliance-Manager Organisationen dabei unterstützt, ihre Compliance zu verstehen und zu verwalten. Der Compliancewert für eine Bewertung ist ein in Form einer Zahl dargestellter Ausdruck für die Einhaltung eines bestimmten Standards oder einer bestimmten Vorschrift durch ein Unternehmen, wobei die Compliancestellung des Unternehmens umso besser ist, je höher die Punktzahl (bis zur maximalen Anzahl der für die Bewertung vergebenen Punkte) ist. Das Verständnis der Methode der Compliancebewertung, bei der den Bewertungssteuerelementen Risikoschweregrade zwischen 1 und 10 (niedrig bis hoch) zugewiesen werden, und der Art und Weise, wie abgeschlossene Steuerelementbewertungen zum Compliancegesamtwert beitragen, ist für Unternehmen von entscheidender Bedeutung, um ihre Maßnahmen zu priorisieren.

Seitenanfang

Wenn Sie eine neue Bewertung erstellen, werden Sie aufgefordert, eine neue Gruppe zu erstellen, der die Bewertung zugewiesen werden soll, oder die Bewertung einer vorhandenen Gruppe zuzuweisen. Mithilfe von Gruppen können Sie Bewertungen logisch anordnen und allgemeine Informationen sowie Workflowaufgaben zwischen Bewertungen teilen, die die gleichen oder ähnliche vom Kunden verwaltete Steuerelemente aufweisen.

Sie können Bewertungen beispielweise nach Jahr oder nach Teams, Abteilungen oder Agenturen innerhalb Ihrer Organisation gruppieren oder diese nach Jahr gruppieren. Es folgen einige Beispiele für Gruppen und die Bewertungen, die darin enthalten sein können.

  • DSGVO-Bewertungen – 2018

    • Office 365 + DSGVO

    • Azure + DSGVO

    • Dynamics + DSGVO

  • Azure-Bewertungen – 2018

    • Azure + DSGVO

    • Azure + ISO 27001:2013

    • Azure + ISO 27018:2014

  • Datensicherheits- und Datenschutzbewertungen

    • Office 365 + ISO 27001:2013

    • Office 365 + ISO 27018:2014

    • Azure + ISO 27001:2013

    • Azure + ISO 27018:2014

Tipp: Es wird empfohlen, eine Gruppierungsstrategie für Ihre Organisation zu bestimmen, bevor Sie mit dem Hinzufügen neuer Bewertungen beginnen.

Folgende Anforderungen bestehen für das Gruppieren von Bewertungen:

  • Gruppennamen (auch Gruppen-IDs genannt) müssen in Ihrer Organisation eindeutig sein.

  • Gruppen können Bewertungen für die gleiche Zertifizierung/Vorschrift enthalten, doch kann jede Gruppe nur eine Bewertung für ein bestimmtes Cloud Service/Zertifizierungs-Paar enthalten. Beispielsweise kann eine Gruppe nicht zwei Bewertungen für Office 365 und DSGVO enthalten. Ebenso kann eine Gruppe mehrere Bewertungen für denselben Cloud Service enthalten, solange die entsprechende Zertifizierung/Vorschrift jeweils eine andere ist.

Nachdem eine Bewertung einer Bewertungsgruppierung hinzugefügt wurde, kann die Gruppierung nicht mehr geändert werden. Sie können die Bewertungsgruppe umbenennen. Dies ändert den Namen der Bewertungsgruppierung für alle Bewertungen, die dieser Gruppe zugeordnet sind. Sie können eine neue Bewertung und eine neue Bewertungsgruppe erstellen und Informationen aus einer vorhandenen Bewertung kopieren. Auf diese Weise wird effektiv ein Duplikat dieser Bewertung in einer anderen Bewertungsgruppe erstellt. Durch das Archivieren einer Bewertung wird die Beziehung zwischen dieser Bewertung und der Bewertungsgruppe unterbrochen. Weitere Aktualisierungen anderer verwandter Bewertungen werden nicht mehr in der archivierten Bewertung angezeigt.

Wie bereits erläutert, besteht ein wesentlicher Vorteil der Verwendung von Gruppen darin, dass bei Nutzung desselben vom Kunden verwalteten Steuerelements für zwei verschiedene Bewertungen in der gleichen Gruppe (wodurch die Kundenaktionen für jedes Steuerelement identisch sind) die Implementierungsdetails, Testinformationen und der Status für das Steuerelement in einer Bewertung mit demselben Steuerelement in einer anderen Bewertung in der Gruppe synchronisiert werden. Anders ausgedrückt: Wenn Bewertungen dasselbe Steuerelement verwenden und sich diese Bewertungen in derselben Gruppe befinden, müssen Sie nur den Bewertungsprozess für das Steuerelement in einer Bewertung verwalten. Die Ergebnisse für dieses Steuerelement werden automatisch mit anderen Bewertungen synchronisiert. Beispielsweise weisen ISO 27001 und ISO 27018 beide ein Steuerelement im Zusammenhang mit Kennwortrichtlinien auf. Wenn der Teststatus für das Steuerelement in einer Bewertung auf "Erfolgreich" festgelegt wird, wird das Steuerelement in der anderen Bewertung entsprechend aktualisiert (und als "Erfolgreich" gekennzeichnet), solange beide Bewertungen Teil der gleichen Bewertungsgruppe sind.

Betrachten Sie als Beispiel hierfür diese zwei in Beziehung stehenden Bewertungssteuerelemente, die beide mit der Verschlüsselung von Daten über öffentliche Netzwerke zu tun haben: Steuerelement 6.10.1.2 in der Office 365: DSGVO-Bewertung und Steuerelement SC-13 in der Office 365: NIST 800-53-Bewertung. Dies sind in Beziehung stehende Bewertungssteuerelemente in zwei verschiedenen Bewertungen. Sie befinden sich beide in der Standardgruppe. Zunächst hat keine dieser Bewertungen Steuerelementbewertungen durch den Kunden abgeschlossen, wie im Compliance-Manager-Dashboard ersichtlich wird, das diese beiden Bewertungen anzeigt.

Compliance-Manager-Dashboard – gruppierte Bewertungen – vorher

Indem Sie auf die Office 365: DSGVO-Bewertung klicken und die Filtersteuerelemente zum Anzeigen des DSGVO-Steuerelements 6.10.1.2 verwenden, können Sie erkennen, dass das NIST 800-53-Steuerelement SC-13 als ein in Beziehung stehendes Steuerelement aufgeführt wird.

Compliance-Manager-Bewertung – freigegebene Steuerelemente

 Hier zeigen wir den Abschluss der Implementierung und der Tests des DSGVO-Steuerelements 6.10.1.2. 

Compliance-Manager – Bewertungssteuerelement für DSGVO 6.10.1.2. – bestanden

Indem Sie zum in Beziehung stehenden Steuerelement in der gruppierten Bewertung navigieren, erkennen Sie, dass NIST 800-53 SC-13 ebenfalls als abgeschlossen mit demselben Datum und derselben Uhrzeit markiert wurde, ohne dass weiterer Implementierungs- oder Testaufwand erforderlich war.

Compliance-Manager-Bewertung – NIST 800-53 SC(13) abgeschlossen

Zurück im Dashboard erkennen Sie, dass jede Bewertung für eine Steuerelementbewertung abgeschlossen wurde und dass der Compliancegesamtwert für jede Bewertung um 8 erhöht wurde (der Compliancewert dieses gemeinsamen Steuerelements).

Compliance-Manager-Dashboard – gruppierte Bewertung – Status der Synchronisierung

Seitenanfang

Verwaltungsfunktionen

Es gibt bestimmte Verwaltungsfunktionen, die nur für das Mandantenadministratorkonto verfügbar sind. Sie werden nur angezeigt, wenn Sie als globaler Administrator angemeldet sind.

Hinweis: Mit der Berechtigung Zugriff auf eingeschränkte Dokumente in der Dropdownliste können Administratoren den Benutzern Zugriff auf eingeschränkte Dokumente gestatten, die Microsoft im Service Trust Portal freigibt. Das Feature "Eingeschränkte Dokumente" ist nicht verfügbar, wird aber in Kürze bereitgestellt.

Jede Compliance-Manager-Rolle verfügt über etwas andere Berechtigungen. Sie können die jeder Rolle zugewiesenen Berechtigungen anzeigen, sehen, welche Benutzer welche Rollen ausüben, und Benutzer der betreffenden Rolle über das Service Trust Portal hinzufügen oder aus ihr entfernen, indem Sie das Menüelement Administrator und dann Einstellungen auswählen.

STP-Menü für Administratoren – "Einstellungen" ausgewählt

So fügen Sie Compliance-Manager-Rollen Benutzer hinzu oder entfernen sie aus ihnen

  1. Navigieren Sie zu https://servicetrust.microsoft.com.

  2. Melden Sie sich mit Ihrem globalen Azure Active Directory-Administratorkonto an.

  3. Klicken Sie auf der oberen Menüleiste des Service Trust Portals auf Administrator, und wählen Sie dann Einstellungen aus.

  4. Klicken Sie in der Dropdownliste Rolle auswählen auf die Rolle, die Sie verwalten möchten.

  5. Benutzer, die der jeweiligen Rolle hinzugefügt wurden, werden auf der Seite "Rolle auswählen" aufgeführt.

  6. Wenn Sie Benutzer dieser Rolle hinzufügen möchten, klicken Sie auf Hinzufügen. Klicken Sie im Dialogfeld Benutzer hinzufügen auf das Benutzerfeld. Sie können durch die Liste der verfügbaren Benutzer scrollen oder mit der Eingabe des Benutzernamens beginnen, um die Liste basierend auf Ihren Suchbegriff zu filtern. Klicken Sie auf den Benutzernamen, um das betreffende Konto der Liste "Benutzer hinzufügen" hinzuzufügen, das mit dieser Rolle bereitgestellt wird. Wenn Sie mehrere Benutzer gleichzeitig hinzufügen möchten, beginnen Sie mit der Eingabe des Benutzernamens, um die Liste zu filtern, und klicken Sie dann auf den Benutzer, um ihn der Liste hinzuzufügen. Klicken Sie auf Speichern, um die ausgewählte Rolle für diese Benutzer bereitzustellen.

    Compliance-Manager – Bereitstellungsrollen – Benutzer hinzufügen

  7. Wenn Sie Benutzer aus dieser Rolle entfernen möchten, wählen Sie den/die Benutzer aus, und klicken Sie dann auf Löschen.

    Compliance-Manager – Bereitstellungsrollen – Benutzer entfernen

Seitenanfang

Bestimmte Vorschriften verlangen, dass die Daten der Benutzerhistorie entfernt werden können. Um dies zu ermöglichen, bietet der Compliance-Manager Funktionen für Datenschutzeinstellungen, mit denen Administratoren folgende Aufgaben ausführen können:

Compliance-Manager-Admin – Funktionen für Datenschutzeinstellungen

Nach einem Benutzerkonto suchen

So suchen Sie nach einem Benutzerkonto:

  1. Geben Sie die E-Mail-Adresse des Benutzers ein, indem Sie den Alias (die Informationen auf der linken Seite des @-Symbols) eingeben und den Domänennamen durch Klicken auf den Domänensuffix in der Liste auf der rechten Seite auswählen.  Wenn es sich um einen Mandanten mehrerer registrierter Domänen handelt, sollten Sie den Domänennamensuffix der E-Mail-Adresse auf seine Richtigkeit überprüfen.

  2. Wenn Sie den Benutzernamen richtig eingegeben haben, klicken Sie auf die Schaltfläche Suche.    

  3. Wird das Benutzerkonto nicht gefunden, wird die Fehlermeldung "Benutzer nicht gefunden" auf der Seite angezeigt.  Überprüfen Sie die E-Mail-Adressinformationen des Benutzers, nehmen Sie ggf. erforderliche Korrekturen vor, und klicken Sie auf Suche, um es erneut zu versuchen.

  4. Wird ein Benutzerkonto gefunden, ändert sich der Text der Schaltfläche von Suche zu Löschen. Dies weist darauf hin, dass das zurückgegebene Benutzerkonto der Betriebskontext für die unten angezeigten zusätzlichen Funktionen ist und dass die Funktionen auf dieses Benutzerkonto angewendet werden.

  5. Wenn Sie die Suchergebnisse löschen und nach einem anderen Benutzer suchen möchten, klicken Sie auf die Schaltfläche Löschen.

Bericht über Kontodatenverlauf exportieren

Nachdem das Benutzerkonto identifiziert wurde, möchten Sie möglicherweise einen Bericht der Abhängigkeiten generieren, die mit diesem Konto verknüpft sind.  Anhand dieser Informationen können Sie offene Aktionselemente neu zuweisen oder den Zugriff auf zuvor hochgeladene Nachweise sicherstellen.  

So generieren und exportieren Sie den Bericht:   

  1. Klicken Sie auf Exportieren, um einen Bericht der dem zurückgegebenen Benutzerkonto derzeit zugeordneten Compliance-Manager-Steuerelement-Aktionselemente sowie die Liste der von diesem Benutzer hochgeladenen Dokumente zu generieren und herunterzuladen.  Wenn keine zugeordneten Aktionen oder hochgeladenen Dokumenten vorliegen, wird die Fehlermeldung "Keine Daten für diesen Benutzer" angezeigt.

  2. Der Bericht wird im Hintergrund des aktiven Browserfensters heruntergeladen. Wird kein Download-Popupfenster angezeigt, sollten Sie den Browserdownloadverlauf überprüfen.

  3. Öffnen Sie das Dokument, um die Daten des Berichts zu überprüfen.

Hinweis: Dies ist kein Verlaufsbericht, der Statusänderungen an der Zuordnungshistorie von Aktionselementen speichert und anzeigt.  Der generierte Bericht ist eine Momentaufnahme der zum Zeitpunkt der Ausführung des Berichts zugewiesenen Steuerelement-Aktionselemente (Datums- und Zeitstempel wird in den Bericht geschrieben).  Beispielsweise führt jede spätere Neuzuweisung von Aktionselementen zu unterschiedlichen Momentaufnahme-Berichtsdaten, wenn dieser Bericht für denselben Benutzer erneut generiert wird. 

Aktionselemente neu zuweisen

Mithilfe dieser Funktion kann eine Organisation alle aktiven oder ausstehenden Abhängigkeiten vom Benutzerkonto entfernen, indem sie alle Aktionselemente (sowohl aktive als auch abgeschlossene Aktionselemente) aus dem zurückgegebenen Benutzerkonto einem neuen, unten ausgewählten Benutzer zuweist.  Durch diese Aktion wird der Dokumentuploadverlauf für das zurückgegebene Benutzerkonto nicht geändert. 

So weisen Sie Aktionselemente einem anderen Benutzer zu:   

  1. Klicken Sie auf das Eingabefeld, um einen anderen Benutzer innerhalb der Organisation zu suchen und auszuwählen, dem die Aktionselemente des zurückgegebenen Benutzers zugewiesen werden sollen.

  2. Wählen Sie Ersetzen aus, um alle Steuerelement-Aktionselemente des zurückgegebenen Benutzers dem neu ausgewählten Benutzer zuzuweisen.

  3. Folgendes Bestätigungsdialogfeld wird angezeigt: "Hiermit werden alle Steuerelement-Aktionselemente des aktuellen Benutzers dem ausgewählten Benutzer zugewiesen.  Diese Aktion kann nicht rückgängig gemacht werden.  Möchten Sie den Vorgang fortsetzen?"

  4. Klicken Sie zum Fortfahren auf OK, andernfalls klicken Sie auf Abbrechen.

Hinweis: Alle Aktionselemente (aktive und abgeschlossene) werden dem neu ausgewählten Benutzer zugewiesen.  Diese Aktion hat jedoch keinen Einfluss auf den Dokumentuploadverlauf. Bei allen vom zuvor zugewiesenen Benutzer hochgeladenen Dokumenten werden immer noch das Datum und die Uhrzeit sowie der Name der zuvor zugewiesenen Benutzer angezeigt.  

Wenn Sie den Dokumentuploadverlauf ändern und den zuvor zugewiesenen Benutzer entfernen möchten, muss dies manuell erfolgen.  In diesem Fall muss der Administrator folgende Schritte ausführen:

1) Öffnen des zuvor heruntergeladenen Exportberichts.

2) Suchen und Navigieren zum gewünschten Steuerelement-Aktionselement.

3) Klicken auf Dokumente verwalten, um zum Nachweisrepository für dieses Steuerelement zu navigieren.

4) Herunterladen des Dokuments.

5) Löschen des Dokuments im Nachweisrepository.

6) Erneutes Hochladen des Dokuments.  Das Dokument weist nun neue Werte für Datum/Uhrzeit des Uploads und einen neuen Benutzernamen unter "Hochgeladen von" auf.  

Benutzerdatenverlauf löschen

Dadurch werden alle dem zurückgegebenen Benutzer zugewiesenen Steuerelement-Aktionselemente auf "nicht zugewiesen" gesetzt.  Dadurch wird außerdem der Wert für "Hochgeladen von" für alle vom zurückgegebenen Benutzer hochgeladenen Dokumente auf "Benutzer wurde entfernt" gesetzt.

So löschen Sie das Benutzerkonto-Aktionselement und den Dokumentuploadverlauf:   

  1. Klicken Sie auf die Schaltfläche Löschen.

  2. Ein Bestätigungsdialogfeld mit folgender Meldung wird angezeigt: "Dadurch werden alle Kontrollaktionselement-Zuweisungen und der Dokumentuploadverlauf für den ausgewählten Benutzer entfernt.  Diese Aktion kann nicht rückgängig gemacht werden.  Möchten Sie den Vorgang fortsetzen?"

  3. Klicken Sie zum Fortfahren auf OK, andernfalls klicken Sie auf Abbrechen.

Seitenanfang

Verwenden von Compliance-Manager

Compliance-Manager stellt Tools zum Zuweisen, Nachverfolgen und Aufzeichnen von mit der Compliance und der Bewertung zusammenhängenden Aktivitäten bereit. Sie unterstützen Ihre Organisation dabei, Teambarrieren zu überwinden, um die Complianceziele Ihrer Organisation zu erreichen.

Compliance-Manager-Dashboard – Hauptmenü – aktualisiertes Menü "Administrator"

Seitenanfang

Sie greifen aus dem Service Trust Portal auf Compliance-Manager zu. Jede Person mit einem Microsoft-Konto oder einem Azure Active Directory-Organisationskonto kann auf Compliance Manager zugreifen.

Compliance-Manager – Zugriff auf Compliance-Manager aus Menü "STP"

  1. Navigieren Sie zu https://servicetrust.microsoft.com.

  2. Melden Sie sich mit Ihrem Azure Active Directory-Benutzerkonto (Azure AD) an.

  3. Klicken Sie im Service Trust Portal auf Compliance-Manager.

  4. Wenn die Geheimhaltungsvereinbarung angezeigt wird, lesen Sie sie, und klicken Sie dann auf Ich stimme zu, um fortzufahren. Dieser Vorgang muss nur ein Mal erfolgen. Anschließend wird das Compliance-Manager-Dashboard angezeigt.

  5. Um Ihnen den Einstieg zu erleichtern, haben wir standardmäßig die folgenden Bewertungen hinzugefügt:

    Die Standardbewertungen in Compliance-Manager
  6. Klicken Sie auf Hilfesymbol in Compliance-Manager Hilfe, um eine kurze Tour durch Compliance Manager zu unternehmen.

Seitenanfang

Compliance-Manager bietet eine bequeme Ansicht aller Ihrer zugewiesenen Steuerelementbewertungs-Aktionselemente, sodass Sie schnell und einfach Aktionen für diese ausführen können. Sie können alle Aktionselemente anzeigen oder die Aktionselemente auswählen, die einer bestimmten Zertifizierung entsprechen, indem Sie auf die Registerkarte für diese Bewertung klicken.  Beispielsweise wurde in der nachstehenden Abbildung die Registerkarte "DSGVO" ausgewählt, die Steuerelemente anzeigt, die sich auf die DSGVO-Bewertung beziehen.

Compliance-Manager – Liste "Aktionselemente" mit mehreren Registerkarten, "DSGVO" ausgewählt

So zeigen Sie Ihre Aktionselemente an

  1. Navigieren Sie zum Compliance-Manager-Dashboard.

  2. Klicken Sie auf den Link Aktionselemente. Die Seite wird so aktualisiert, dass die Aktionselemente angezeigt werden, die Ihnen zugewiesen wurden.

  3. Standardmäßig werden alle Aktionselemente angezeigt. Wenn Sie Aktionselemente für mehrere Zertifizierungen verwenden, werden die Namen der Zertifizierungen auf Registerkarten am oberen Rand des Bewertungssteuerelements aufgelistet. Wenn Sie die Aktionselemente für eine bestimmte Zertifizierung anzeigen möchten, klicken Sie auf die betreffende Registerkarte.

Seitenanfang

So fügen Sie eine Bewertung im Compliance Manager hinzu:

  1. Klicken Sie im Compliance Manager-Dashboard auf Symbol "Hinzufügen" Bewertung hinzufügen.

  2. Im Fenster Bewertung hinzufügen können Sie eine neue Gruppe erstellen, der die Bewertung hinzugefügt werden soll, oder Sie können die Bewertung einer vorhandenen Gruppe hinzufügen (die integrierte Gruppe hat den Namen "Erste Gruppe".) Je nach ausgewählter Option geben Sie entweder den Namen einer neuen Gruppe ein, oder wählen Sie eine vorhandene Gruppe aus der Dropdownliste aus. Weitere Informationen finden Sie unter Gruppieren von Bewertungen.

    Wenn Sie eine neue Gruppe erstellen, haben Sie auch die Möglichkeit, Informationen aus einer vorhandenen Gruppe in die neue Bewertung zu kopieren. Das bedeutet, dass alle Informationen, die den Feldern für Implementierungsdetails, Testplan und Verwaltungsantwort für vom Kunden verwaltete Steuerelemente der Bewertungen in der Gruppe hinzugefügt wurden, aus der Sie kopieren, in dieselben (oder zugehörige) vom Kunden verwaltete Steuerelemente in der neuen Bewertung kopiert werden. Wenn Sie einer vorhandenen Gruppe eine neue Bewertung hinzufügen, werden allgemeine Informationen von Bewertungen in dieser Gruppe in die neue Bewertung kopiert. Weitere Informationen finden Sie unter Kopieren von Informationen aus vorhandenen Bewertungen.

  3. Klicken Sie auf Weiter, und gehen Sie wie folgt vor:

    • Wählen Sie einen Microsoft Cloud Service, dessen Compliance bewertet werden soll, aus der Dropdownliste Produkt auswählen aus.

    • Wählen Sie eine Zertifizierung, für die der ausgewählte Cloud Service bewertet werden soll, aus der Dropdownliste Zertifizierung auswählen aus.

  4. Klicken Sie auf Dashboard hinzufügen, um die Bewertung zu erstellen. Die Bewertung wird dem Compliance-Manager-Dashboard als neue Kachel am Ende der Liste der vorhandenen Kacheln hinzugefügt.

    Die Kachel "Bewertung" im Compliance Manager-Dashboard zeigt die Bewertungsgruppierung, den Namen der Bewertung (automatisch als eine Kombination aus dem Dienstnamen und der ausgewählten Zertifizierung erstellt), das Datum der Erstellung und der letzten Änderung, den Compliancegesamtwert (die Summe aller zugeordneten Steuerelement-Risikowerte, die implementiert, getestet und übergeben wurden) und am unteren Rand Statusanzeigen an, die die Anzahl der Steuerelemente angeben, die bewertet wurden.

  5. Klicken Sie auf den Namen der Bewertung, um sie zu öffnen und die Details der Bewertung anzuzeigen.

  6. Klicken Sie auf das Menü Aktionen, um Ihre zugewiesenen Aktionselemente anzuzeigen, die Bewertungsgruppe umzubenennen, den Bewertungsbericht zu exportieren oder die Bewertung zu archivieren.

Compliance-Manager – Kachel "Bewertung"

Seitenanfang

Wie bereits weiter oben erläutert wurde, besteht beim Erstellen einer neuen Bewertungsgruppe die Möglichkeit, Informationen aus Bewertungen in einer vorhandenen Gruppe in die neue Bewertung in der neuen Gruppe zu kopieren. Auf diese Weise können Sie abgeschlossene Bewertungen und Tests für dieselben vom Kunden verwalteten Steuerelemente in der neuen Bewertung anwenden. Wenn Sie beispielsweise über eine Gruppe für alle DSGVO-bezogenen Bewertungen in Ihrer Organisation verfügen, können Sie beim Hinzufügen einer neuen Bewertung zur Gruppe allgemeine Informationen aus der vorhandenen Bewertung kopieren.

Sie können die folgenden Informationen aus einer Bewertung in eine neue Bewertung kopieren:

  • Benutzer der Bewertung. Ein Benutzer der Bewertung ist ein Benutzer, dem das Steuerelement zugewiesen ist.

  • Status, Testdatum und Testergebnisse.

  • Implementierungsdetails und Testplaninformationen.

Ebenso werden Informationen von gemeinsam genutzten vom Kunden verwalteten Steuerelementen in derselben Bewertungsgruppe synchronisiert. Auch Informationen in zugehörigen vom Kunden verwalteten Steuerelementen in der gleichen Bewertung werden synchronisiert.

Seitenanfang

  1. Suchen Sie nach der Bewertungskachel für die Bewertung, die Sie anzeigen möchten, und klicken Sie dann auf den Namen der Bewertung, um sie zu öffnen und die zugehörigen von Microsoft und vom Kunden verwalteten Steuerelemente sowie eine Liste der Cloud Services anzuzeigen, die zum Leistungsumfang der Bewertung gehören. Es folgt ein Beispiel der Bewertung für Office 365 und DSGVO.

    Ansicht "Compliance-Manager-Bewertung" – Vollbild mit Popups

    1. In diesem Abschnitt werden die Zusammenfassungsinformationen der Bewertung (z. B. Name der Bewertungsgruppierung, Produkt, Bewertungsname, Anzahl der Bewertungssteuerelemente) angezeigt.

    2. In diesem Abschnitt werden die Bewertungsfilter-Steuerelemente angezeigt. Eine ausführlichere Erläuterung der Bewertungsfilter-Steuerelemente finden Sie im Abschnitt Verwalten des Bewertungsprozesses.

    3. In diesem Abschnitt werden die verschiedenen Cloud Services angezeigt, die sich im Leistungsumfang der Bewertung befinden.

    4. Dieser Abschnitt enthält die von Microsoft verwalteten Steuerelemente. Verwandte Steuerelemente sind nach Steuerelementfamilien geordnet. Klicken Sie auf eine Steuerelementfamilie, um sie zu erweitern und einzelne Steuerelemente anzuzeigen.

    5. Dieser Abschnitt enthält vom Kunden verwaltete Steuerelemente, die ebenfalls nach Steuerelementfamilie angeordnet sind. Klicken Sie auf eine Steuerelementfamilie, um sie zu erweitern und einzelne Steuerelemente anzuzeigen.

    6. Zeigt die Gesamtanzahl der Steuerelemente in der Steuerelementfamilie an und wie viele dieser Steuerelemente bewertet wurden. Eine Schlüsselfunktion von Compliance Manager ist das Nachverfolgen des Fortschritts Ihrer Organisation bei der Bewertung der vom Kunden verwalteten Steuerelemente. Weitere Informationen finden Sie im Abschnitt Grundlegendes zur Compliancebewertung.

Seitenanfang

Der Ersteller einer Bewertung ist anfangs nur Benutzer der Bewertung. Für jedes vom Kunden verwaltete Steuerelement können Sie einem Benutzer in Ihrer Organisation ein Aktionselement zuweisen, sodass diese Person zu einem Benutzer der Bewertung wird, der die empfohlenen Kundenaktionen ausführen und Erkenntnisse sammeln und hochladen kann. Wenn Sie ein Aktionselement zuweisen, können Sie wählen, der Person eine E-Mail zu senden, die Details zu den empfohlenen Kundenaktionen und die Priorität des Aktionselements enthält. Die E-Mail-Benachrichtigung enthält einen Link zum Dashboard für Aktionselemente, in dem alle dieser Person zugewiesenen Aktionselemente aufgelistet werden.

Hier eine Liste der Aufgaben, die Sie mit den Workflowfeatures des Compliance Managers ausführen können.

Compliance-Manager-Bewertung – Workflow mit Popups
  1. Verwenden der Filteroptionen, um nach bestimmten Bewertungssteuerelementen zu suchen   : Compliance-Manager stellt Filteroptionen bereit, durch die Sie für die Anzeige von Bewertungssteuerelementen detailreiche Auswahlkriterien verwenden können, um bestimmte Bereiche Ihrer Compliancemaßnahmen zielgenau zu untersuchen.  

    Klicken Sie auf das Trichtersymbol auf der rechten Seite der Seite, um die Filteroptionen-Steuerelemente anzuzeigen oder auszublenden. Mit diesen Steuerelementen können Sie Filterkriterien angeben. Es werden nur die Bewertungssteuerelemente unten angezeigt, die diese Kriterien erfüllen. Filtersteuerelemente für Compliance-Manager-Bewertungen

    • Artikel: Filtert auf den Artikelnamen und gibt die Bewertungssteuerelemente zurück, die diesem Artikel zugeordnet sind. Wenn Sie z. B. "Artikel (5)" eingeben, wird eine Auswahlliste der Artikel zurückgegeben, deren Name diese Zeichenfolge enthält, also Artikel (5)(1)(a), Artikel (5)(1)(b), Artikel (5)(1)(c) usw. Wenn Sie Artikel (5)(1)(c) auswählen, werden die Artikel (5)(1)(c) zugeordneten Steuerelemente zurückgegeben. Dies ist ein Mehrfachauswahlfeld, das mehrere Werte mit einem ODER-Operator verwendet. Wenn Sie z. B. Artikel (5)(1)(a) auswählen und dann Artikel (5)(1)(c) hinzufügen, gibt der Filter Steuerelemente zurück, die entweder Artikel (5)(1)(a) oder Artikel (5)(1)(c) zugeordnet sind.

      Ansicht "Compliance-Manager-Bewertung" – Filter auf "Artikelname"

    • Steuerelemente: Gibt die Liste der Steuerelemente zurück, deren Namen mit dem Filter übereinstimmen. Wenn Sie z. B. 7.3 eingeben, wird eine Auswahlliste mit Elementen wie 7.3.1, 7.3.4, 7.3.5 usw. zurückgegeben. Dies ist ein Mehrfachauswahlfeld, das mehrere Werte mit einem ODER-Operator verwendet. Wenn Sie z. B. 7.3.1 auswählen und dann 7.3.4 hinzufügen, gibt der Filter Steuerelemente zurück, die entweder 7.3.1 oder 7.3.4 zugeordnet sind.

      Ansicht "Compliance-Manager-Bewertung" – Filtersteuerelement für Mehrfachauswahl

    • Zugewiesene Benutzer: Gibt die Liste der Steuerelemente zurück, die dem ausgewählten Benutzer zugewiesen sind.

    • Status: Gibt die Liste der Steuerelemente zurück, die den ausgewählten Status aufweisen.

    • Testergebnis: Gibt die Liste der Steuerelemente zurück, die das ausgewählte Testergebnis aufweisen.

    Wenn Sie Filterkriterien anwenden, ändert sich die Ansicht der jeweiligen Steuerelemente so, dass diese Ihren Filterkriterien entsprechen.  Erweitern Sie die Abschnitte zur Steuerelementfamilie, um die Steuerelementdetails unten anzuzeigen.  

    Ansicht "Compliance-Manager-Bewertung" – Artikelergebnisse filtern

  2. Wenn nach dem Auswählen der gewünschten Filter keine Ergebnisse angezeigt werden, bedeutet dies, dass keine Steuerelemente vorhanden sind, die den angegebenen Filterkriterien entsprechen. Wenn Sie beispielsweise einen bestimmten Zugewiesenen Benutzer und dann einen Steuerelementnamen auswählen, der dem Steuerelement entspricht, das diesem Benutzer zugewiesen ist, werden auf der Seite unten keine Bewertungen angezeigt.

  3. Zuweisen eines Aktionselements zu einem Benutzer    Sie können ein Aktionselement einer Person zuweisen, um die Anforderungen einer Zertifizierung/Vorschrift zu implementieren oder zu testen und zu verifizieren und die Implementierungsanforderungen Ihrer Organisation zu dokumentieren. Wenn Sie ein Aktionselement zuweisen, können Sie wählen, der Person eine E-Mail zu senden, die Details zu den empfohlenen Kundenaktionen und die Priorität des Aktionselements enthält. Sie können die Zuweisung eines Aktionselements auch aufheben oder dieses einer anderen Person zuweisen.

  4. Dokumente verwalten   : Von Kunden verwaltete Steuerelemente verfügen auch über eine Position zum Verwalten von Dokumenten, die mit der Durchführung von Implementierungsaufgaben zusammenhängen, und zum Ausführen von Implementierungsaufgaben und zum Durchführen von Test- und Validierungsaufgaben. Jede Person mit der Berechtigung zum Bearbeiten von Daten im Compliance-Manager kann Dokumente hochladen, indem sie auf Dokumente verwalten klickt. Nachdem ein Dokument hochgeladen wurde, können Sie auf Dokumente verwalten klicken, um Dateien anzuzeigen und herunterzuladen.

  5. Implementierungs- und Testdetails bereitstellen   : Für jedes vom Kunden verwaltete Steuerelement gibt es ein bearbeitbares Feld, in dem Benutzer Implementierungsdetails hinzufügen können, mit denen die von Ihrer Organisation unternommenen Schritte dokumentiert werden, um den Anforderungen der Zertifizierung/Vorschrift zu entsprechen, und um zu validieren und zu dokumentieren, wie Ihre Organisation diesen Anforderungen gerecht wird.

  6. Status festlegen   : Legen Sie den Status für jedes Element als Teil des Bewertungsprozesses fest. Verfügbare Statuswerte sind Implementiert, Alternative Implementierung, Geplant und Nicht im Leistungsumfang.

  7. Testdatum und Testergebnis eingeben   : Die Person in der Rolle des Compliance-Manager-Sachverständigen kann überprüfen, ob der geeignete Test ausgeführt wurde, die Implementierungsdetails, den Testplan, die Testergebnisse und alle hochgeladenen Erkenntnisse prüfen und dann das Testdatum und das Testergebnis festlegen. Verfügbare Testergebniswerte sind Erfolgreich, Erfolgreich, Fehlgeschlagen, geringes Risiko, Fehlgeschlagen, mittleres Risiko und Fehlgeschlagen, hohes Risiko.

Seitenanfang

Die in den Bewertungsprozess involvierten Personen in Ihrer Organisation können das Compliance Manager verwenden, um die vom Kunden verwendeten Steuerelemente für alle Bewertungen zu prüfen, deren Benutzer sie sind. Wenn ein Benutzer sich beim Compliance Manager anmeldet und das Dashboard für Aktionselemente öffnet, wird eine Liste der ihm zugewiesenen Aktionselemente angezeigt. Je nach der Compliance-Manager-Rolle, die dem Benutzer zugewiesen wurde, kann er Implementierungs- oder Testdetails bereitstellen, den Status hochladen oder Aktionselemente zuweisen.

Da Zertifizierungssteuerelemente im Allgemeinen durch eine Person implementiert und durch eine andere getestet werden, kann das Aktionselement des Steuerelements anfänglich einer Person für die Implementierung zugewiesen werden. Sobald dieser Vorgang abgeschlossen wurde, kann diese Person das Aktionselement des Steuerelements einer anderen Person für Steuerelementtests und das Hochladen von Nachweisen zuweisen. Diese Zuweisung/erneute Zuweisung von Steuerelementaktionen kann von jedem Benutzer ausgeführt werden, der über eine Compliance-Manager-Rolle mit entsprechenden Berechtigungen verfügt, die die zentrale Verwaltung von Steuerelementzuweisungen oder das dezentrale Weiterleiten von Steuerelement-Aktionselementen vom Implementierer zum Tester nach Bedarf ermöglichen.

So weisen Sie ein Aktionselement zu

  1. Suchen Sie im Compliance-Manager-Dashboard nach der Bewertungskachel für die Bewertung, mit der Sie arbeiten möchten, und klicken auf den Namen der Bewertung, um zur Detailseite der Bewertung zu navigieren.

  2. Klicken Sie auf die Schaltfläche Filter, und verwenden Sie die Filtersteuerelemente, um nach dem jeweiligen Bewertungssteuerelement zu suchen, das Sie zuweisen möchten.

  3. Sie können auch nach unten zum Abschnitt "Vom Kunden verwaltete Steuerelemente" scrollen, die Steuerelementfamilie erweitern und dann die Liste der Steuerelemente durchsuchen, bis Sie das Bewertungssteuerelement gefunden haben, das zugewiesen werden soll.

  4. Klicken Sie unter der Spalte Zugewiesener Benutzer auf die blaue Schaltfläche Zuweisen.

  5. Klicken Sie im Dialogfeld "Aktionselement zuweisen" auf das Feld Zuweisen zu, um die Liste der Benutzer, denen die Aktion zugewiesen werden kann, mit Daten aufzufüllen. Sie können durch die Liste scrollen, um nach dem Zielbenutzer zu suchen, oder beginnen Sie mit der Eingabe in das Feld, um nach dem Benutzernamen zu suchen.

  6. Klicken Sie auf den Benutzer, um ihm dieses Aktionselement zuzuweisen.

  7. Wenn Sie zur Information eine E-Mail-Benachrichtigung an den Benutzer senden möchten, stellen Sie sicher, dass das Kontrollkästchen E-Mail-Benachrichtigung senden aktiviert ist.

  8. Geben Sie alle Hinweise ein, die diesem Benutzer angezeigt werden sollen, und klicken Sie dann auf Zuweisen.

  9. Der Benutzer empfängt eine Benachrichtigung zu seiner Aktionselementzuweisung sowie alle Hinweise, die Sie bereitgestellt haben.

Die Hinweise, die dem Aktionselement zugeordnet sind, werden im Hinweisabschnitt persistent gespeichert, damit sie bei der nächsten Zuweisung des Aktionselements verfügbar sind. Diese Hinweise sind nicht schreibgeschützt und können von der Person, die das Aktionselement zuweist, bearbeitet, ersetzt oder entfernt werden.

Seitenanfang

Sie können eine Bewertung in eine Excel-Datei exportieren, die von Compliancemitwirkenden in Ihrer Organisation überprüft und für Auditoren und Datenschutzbehörden bereitgestellt werden kann. Dieser Bewertungsbericht ist eine Momentaufnahme der Bewertung zum Zeitpunkt (Datum und Uhrzeit) der Berichterstellung, und er enthält die Details der von Microsoft verwalteten Steuerelemente und der vom Kunden verwalteten Steuerelemente für diese Bewertung, z. B. den Implementierungsstatus des Steuerelements sowie das Testdatum und die Testergebnisse des Steuerelements. Außerdem stellt er Links zu den hochgeladenen Nachweisdokumenten bereit. Es wird empfohlen, dass Sie den Bewertungsbericht vor der Archivierung einer Bewertung exportieren, weil archivierte Bewertungen ihre Links zu hochgeladenen Dokumenten nicht beibehalten.

So exportieren Sie einen Bewertungsbericht

  1. Klicken Sie im Compliance-Manager-Dashboard auf der Kachel der Bewertung, die Sie exportieren möchten, auf den Link Aktionen, und wählen Sie dann Nach Excel exportieren aus.

  2. Wenn Sie die Seite mit den Bewertungsdetails anzeigen, können Sie auch auf die Schaltfläche Nach Excel exportieren klicken, die sich in der oberen rechten Ecke der Seite über dem Compliancewert der Bewertung befindet.

Der Bewertungsbericht wird in Ihrer Browsersitzung heruntergeladen. Wenn kein Popupfenster angezeigt wird, das Sie über diesen Vorgang informiert, sollten Sie den Ordner "Downloads" Ihres Browsers überprüfen.

Seitenanfang

Wenn Sie eine Bewertung abgeschlossen haben und diese für Compliancezwecke nicht mehr benötigen, können Sie sie archivieren. Wenn eine Bewertung archiviert wurde, wird sie aus dem Bewertungsdashboard entfernt.

Hinweis: Wenn eine Bewertung archiviert ist, kann diese Archivierung nicht aufgehoben werden, und auch ein Lese-/Schreibstatus kann nicht wiederhergestellt werden.  Beachten Sie, dass archivierte Bewertungen ihre Links zu hochgeladenen Nachweisdokumenten nicht beibehalten. Daher wird dringend empfohlen, einen Export der Bewertung vor der Archivierung auszuführen, da der exportierte Bewertungsbericht Links zu den Nachweisdokumenten enthält, sodass Sie weiterhin darauf zugreifen können.

So archivieren Sie eine Bewertung

  1. Klicken Sie auf der Dashboardkachel der gewünschten Bewertung auf die Schaltfläche Aktionen.

  2. Wählen Sie Bewertung archivieren aus.

  3. Das Dialogfeld Bewertungen archivieren wird angezeigt, und Sie werden zur Bestätigung aufgefordert, dass Sie diese Bewertung archivieren möchten.

  4. Um mit der Archivierung fortzufahren, klicken Sie auf Archivieren, oder klicken Sie andernfalls auf Abbrechen.

So zeigen Sie archivierte Bewertungen an

  1. Aktivieren Sie im Compliance-Manager-Dashboard das Kontrollkästchen Archivierte anzeigen.

  2. Die archivierten Bewertungen werden in einem neu angezeigten Abschnitt unter dem Rest der aktiven Bewertungen unter einer Leiste mit dem Titel Archivierte Bewertungen angezeigt.

  3. Klicken Sie auf den Namen der Bewertung, die Sie anzeigen möchten.

  4. Beim Anzeigen einer archivierten Bewertung ist keines der normalerweise bearbeitbaren Steuerelemente (also "Implementierung", "Testergebnisse") aktiv, und die Schaltfläche "Verwaltete Dokumente" wird nicht angezeigt.

Seitenanfang

Änderungsprotokoll zu von Kunden verwalteten Steuerelementen

Der Compliance-Manager wurde für regelmäßige Updates konzipiert, damit er mit Änderungen bei gesetzlichen Anforderungen sowie Änderungen in unseren Cloud Services Schritt halten kann. Diese Updates umfassen Änderungen an den vom Kunden verwalteten Steuerelementen. Ein Änderungsprotokoll wird bereitgestellt, das Ihnen helfen soll, die Auswirkung dieser Änderungen zu verstehen, darunter die Details der hinzugefügten oder geänderten Inhalte, und Anleitungen bieten soll, welche Auswirkung die Änderungen auf vorhandene Bewertungen haben. Im Allgemeinen gibt es zwei Arten von Änderungen:

  • Eine größere Änderung ist eine wesentliche Änderung an einer Kundenaktion, z. B. das Hinzufügen oder Entfernen eines Steuerelements oder bestimmter nummerierter Schritte, oder eine Änderung an den Richtlinien zu Verantwortlichkeiten, Empfehlungen oder Nachweisen. Für größere Änderungen empfehlen wir, dass Sie Ihre Implementierung und/oder Bewertung des betroffenen Steuerelements erneut auswerten.

  • Eine kleinere Änderung ist eine unwesentliche Änderung an einer Kundenaktion, z. B. die Korrektur eines Tippfehlers oder das Beheben von Formatierungsproblemen bzw. das Aktualisieren oder Korrigieren von Links. Bei kleineren Änderungen ist es im Allgemeinen nicht erforderlich, das Steuerelement erneut auszuwerten. Wir empfehlen jedoch, die aktualisierte Kundenaktion zu überprüfen.

 

Von Kunden verwaltete Office 365-Steuerelemente – Änderungsprotokoll für Juli 2018

Betroffenen Steuerelemente

Beschreibung der Änderung und Empfehlung

Steuerelement-ID:

Bewertung

Änderungstyp

Beschreibung der Änderung

Empfohlene Aktionen für Kunden

45 C.F.R. § 164.308(a)(7)(ii)(A)

Office 365: HIPAA

Größere Änderung

HITECH-Steuerelement zu HIPAA-Bewertung für Office 365 hinzugefügt.

Überprüfen Sie das hinzugefügte Steuerelement und die empfohlenen Kundenaktionen.

45 C.F.R. § 164.312(a)(6)(ii)

Office 365: HIPAA

Größere Änderung

HITECH-Steuerelement zu HIPAA-Bewertung für Office 365 hinzugefügt.

Überprüfen Sie das hinzugefügte Steuerelement und die empfohlenen Kundenaktionen.

45 C.F.R. § 164.312(c)(1)

Office 365: HIPAA

Größere Änderung

HITECH-Steuerelement zu HIPAA-Bewertung für Office 365 hinzugefügt.

Überprüfen Sie das hinzugefügte Steuerelement und die empfohlenen Kundenaktionen.

45 C.F.R.  § 164.316(b)(2)(iii)

Office 365: HIPAA

Größere Änderung

HITECH-Steuerelement zu HIPAA-Bewertung für Office 365 hinzugefügt.

Überprüfen Sie das hinzugefügte Steuerelement und die empfohlenen Kundenaktionen.

 

Von Kunden verwaltete Office 365-Steuerelemente – Änderungsprotokoll für April 2018

Betroffenen Steuerelemente

Beschreibung der Änderung und Empfehlung

DSGVO

HIPAA

ISO 27001

ISO 27018

NIST 800-53

NIST 800-171

Änderungstyp

Beschreibung der Änderung

Empfohlene Aktionen für Kunden

6.13.2

C.16.1.1

Größere Änderung

Zuvor nummeriert als 6.12.1.1.

Informationen zu den Empfehlungen hinzugefügt.

Erneute Bewertung des Steuerelements: Überprüfen Sie die aktualisierten Anweisungen in den Kundenaktionen, und befolgen Sie die empfohlenen Schritte zum Implementieren und Bewerten des Steuerelements.

3.1.6

Größere Änderung

Zusätzlichen Schritte zum Leitfaden hinzugefügt, z. B. zum Aktivieren der Überwachung und Durchsuchen von Überwachungsprotokollen.

Überprüfen Sie die aktualisierten Vorschläge in den Kundenaktionen.

6.8.2

A.10.2

Größere Änderung

Zuvor nummeriert als 6.7.2.9.

Aktualisierte Anleitungen mit zusätzlichen Empfehlungen und Aktionselementen.

Erneute Bewertung des Steuerelements: Überprüfen Sie die aktualisierten Anweisungen in den Kundenaktionen, und befolgen Sie die empfohlenen Schritte zum Implementieren und Bewerten des Steuerelements.

6.6.4

45 C.F.R. § 164.312(a)(2)(i)


45 C.F.R. § 164.312(d)

A.9.4.2

IA-2

3.5.1

Größere Änderung

Zuvor nummeriert als 6.5.2.3.

Aktualisierte Anleitungen mit zusätzlichen Empfehlungen und Aktionselementen.

Erneute Bewertung des Steuerelements: Überprüfen Sie die aktualisierten Anweisungen in den Kundenaktionen, und befolgen Sie die empfohlenen Schritte zum Implementieren und Bewerten des Steuerelements.

6.13.1

45 C.F.R. § 164.308(a)(1)(i)

A.16.1

C.16.1

IR-4(a)

3.6.1

Größere Änderung

Zuvor nummeriert als 6.12.1.

Aktualisierte Anleitungen mit zusätzlichen Empfehlungen und Aktionselementen.

Erneute Bewertung des Steuerelements: Überprüfen Sie die aktualisierten Anweisungen in den Kundenaktionen, und befolgen Sie die empfohlenen Schritte zum Implementieren und Bewerten des Steuerelements.

6.7

Größere Änderung

Zuvor nummeriert als 6.6.1.1.

Aktualisierte Anleitungen mit zusätzlichen Empfehlungen und Aktionselementen.

Erneute Bewertung des Steuerelements: Überprüfen Sie die aktualisierten Anweisungen in den Kundenaktionen, und befolgen Sie die empfohlenen Schritte zum Implementieren und Bewerten des Steuerelements.

6.6.5

A.10.8

IA-3

3.5.2

Größere Änderung

Zuvor nummeriert als 6.5.4.2.

Aktualisierte Anleitungen mit zusätzlichen Empfehlungen und Aktionselementen.

Erneute Bewertung des Steuerelements: Überprüfen Sie die aktualisierten Anweisungen in den Kundenaktionen, und befolgen Sie die empfohlenen Schritte zum Implementieren und Bewerten des Steuerelements.

6.15.1

Größere Änderung

Zuvor nummeriert als 6.14.1.3.

Aktualisierte Anleitungen mit zusätzlichen Empfehlungen und Aktionselementen.

Erneute Bewertung des Steuerelements: Überprüfen Sie die aktualisierten Anweisungen in den Kundenaktionen, und befolgen Sie die empfohlenen Schritte zum Implementieren und Bewerten des Steuerelements.

AC-2(h)(2)

Kleinere Änderung

Link zum Blatt "Überwachung aktivieren" hinzugefügt.

Keine Aktion erforderlich.

AC-2(7)(b)

Kleinere Änderung

Link zum Blatt "Überwachung aktivieren" hinzugefügt.

Keine Aktion erforderlich.

AC-2(h)(1)

Kleinere Änderung

Link zum Blatt "Überwachung aktivieren" hinzugefügt.

Keine Aktion erforderlich.

45 C.F.R. § 164.308(a)(5)(ii)(C)

AC-2(g)

Kleinere Änderung

Link zum Blatt "Überwachung aktivieren" hinzugefügt.

Keine Aktion erforderlich.

AC-2(12)

Kleinere Änderung

Link zum Blatt "Überwachung aktivieren" hinzugefügt.

Keine Aktion erforderlich.

45 C.F.R. § 164.312(b)

A.12.4.3

AU-2(d)

Kleinere Änderung

Link zum Blatt "Überwachung aktivieren" hinzugefügt.

Keine Aktion erforderlich.

AC-2(4)

Kleinere Änderung

Link zum Blatt "Überwachung aktivieren" hinzugefügt.

Keine Aktion erforderlich.

3.1.7

Kleinere Änderung

Link zum Blatt "Überwachung aktivieren" hinzugefügt.

Keine Aktion erforderlich.

A.16.1.7

C.12.4.2, Teil 2

Kleinere Änderung

Link zum Blatt "Überwachung aktivieren" hinzugefügt.

Keine Aktion erforderlich.

AC-2(h)(3)

Kleinere Änderung

Link zum Blatt "Überwachung aktivieren" hinzugefügt.

Keine Aktion erforderlich.

A.12.4.2

Kleinere Änderung

Link zum Blatt "Überwachung aktivieren" hinzugefügt.

Keine Aktion erforderlich.

A.7.2.8

Kleinere Änderung

Links zum Inhaltssuchblatt und DSR-Portal hinzugefügt.

Keine Aktion erforderlich.

45 C.F.R. § 164.308(a)(3)(ii)(C)

Kleinere Änderung

Links zum Blatt "Überwachung aktivieren" und zu Themen zur Unterstützung der Office 365-Administratorrolle hinzugefügt.

Keine Aktion erforderlich.

5.2.1

Kleinere Änderung

Zuvor nummeriert als 5.2.2.

Klarstellung von Kundenzuständigkeiten im Leitfaden.

Überprüfen Sie die aktualisierten Vorschläge in den Kundenaktionen.

6.11.1

45 C.F.R. § 164.312(e)(2)(ii)

A.10.1.1
A.10.1.2
A.18.1.5

C.10.1.1

SC-13

3.13.11

Kleinere Änderung

Zuvor nummeriert als 6.10.1.2.

Tippfehler korrigiert.

Keine Aktion erforderlich.

7.5.1

Kleinere Änderung

Zuvor nummeriert als 7.4.1.

Tippfehler korrigiert.

Keine Aktion erforderlich.

A.8.2.3

3.1.3

Kleinere Änderung

Zusätzlichen unnötigen Satz entfernt.

Keine Aktion erforderlich.

45 C.F.R. § 164.308(a)(4)(i)

A.6.1.2

AC-5(a)

3.1.2
3.1.4

Kleinere Änderung

Aktualisierte Anleitungen mit zusätzlichen Empfehlungen und Aktionselementen.

Überprüfen Sie die aktualisierten Vorschläge in den Kundenaktionen.

45 C.F.R. § 164.308(a)(7)(ii)(E)

RA-2(a)

Kleinere Änderung

Importdienst Hilfethemalink für die Verwendung von FWlink aktualisiert.

Keine Aktion erforderlich.

 

Referenz zu den ID-Änderungen des DSGVO-Bewertungssteuerelements – Änderungsprotokoll für Februar 2018

Vorherige Steuerelement-ID (Preview vom November 2017)

Neue Steuerelement-ID (GA-Version vom Februar 2018)

5.2.2

5.2.1

5.2.3

5.2.2

5.2.4

5.2.3

6.1.1.1

6.2

6.10.1.2

6.11.1

6.10.2.5

6.11.2

6.11.1.2

6.12

6.12.1

6.13.1

6.12.1.1

6.13.2

6.12.1.5

6.13.3

6.14.1.3

6.15.1

6.14.2.1

6.15.2

6.14.2.3

6.15.3

6.2.1.1

6.3

6.3.2.2

6.4

6.4.3.1

6.5.2

6.4.3.2

6.8.1

6.4.3.3

6.5.3

6.5.2

6.6.1

6.5.2.1

6.6.2

6.5.2.2

6.6.3

6.5.2.3

6.6.4

6.5.4.2

6.6.5

6.6.1.1

6.7

6.7.2.7

6.8.1

6.7.2.9

6.8.2

6.8.1.4

6.9.1

6.8.4.1

6.9.3

6.8.4.2

6.9.4

6.9.2.1

6.10.1

6.9.2.3

6.10.2

A.7.1.1

7.2.1

A.7.1.2

7.2.2

A.7.1.3

7.2.3

A.7.1.4

7.2.4

A.7.1.5

7.2.5

A.7.1.6

7.2.6

A.7.1.7

7.2.7

A.7.2.1

7.3.1

A.7.2.10

7.3.9

A.7.2.11

7.3.10

A.7.2.2

7.3.2

A.7.2.3

7.3.3

A.7.2.4

7.3.4

A.7.2.5

7.3.5

A.7.2.6

7.3.6

A.7.2.7

7.3.7

A.7.2.8

7.3.8

A.7.3.1

7.4.1

A.7.3.10

7.4.10

A.7.3.2

7.4.2

A.7.3.3

7.4.3

A.7.3.4

7.4.4

A.7.3.5

7.4.5

A.7.3.6

7.4.6

A.7.3.7

7.4.7

A.7.3.8

7.4.8

A.7.3.9

7.4.9

A.7.4.1

7.5.1

A.7.4.2

7.5.2

A.7.4.3

7.5.3

A.7.4.4

7.5.4

A.7.4.5

7.5.5

B.8.1.1

8.2.1

B.8.1.2

8.2.2

B.8.1.3

8.2.3

B.8.1.4

8.2.4

B.8.1.5

8.2.5

B.8.1.6

8.2.6

B.8.2.1

8.3.1

B.8.3.1

8.4.1

B.8.3.2

8.4.2

B.8.3.3

8.4.3

B.8.4.1

8.5.1

B.8.4.2

8.5.2

B.8.4.3

8.5.4

B.8.4.4

8.5.5

B.8.4.5

8.5.3

B.8.4.6

8.5.6

B.8.4.7

8.5.7

B.8.4.8

8.5.8

Seitenanfang

Siehe auch

Ihre Office-Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×