Usare Compliance Manager per soddisfare i requisiti normativi e di protezione dei dati quando si usano i servizi cloud Microsoft

Compliance Manager non è disponibile in Office 365 gestito da 21Vianet, Office 365 Germany, Office 365 U.S. Government Community High (GCC High) o Office 365 Department of Defense.

Compliance Manager, uno strumento per la valutazione dei rischi basato sul flusso di lavoro in Microsoft Service Trust Portal, consente di tenere traccia, assegnare e verificare le attività di conformità alle normative effettuate dall'organizzazione in relazione ai servizi professionali Microsoft e ai servizi cloud Microsoft, come Microsoft Office 365, Microsoft Dynamics 365 e Microsoft Azure. Compliance Manager:

  • Combina le informazioni dettagliate fornite da Microsoft ai revisori e agli enti normativi nell'ambito di vari controlli di terze parti sui servizi cloud Microsoft rispetto a vari standard (come ISO 27001, ISO 27018 e NIST) e le informazioni che Microsoft compila internamente per la propria conformità alle normative, ad esempio HIPAA e il Regolamento generale sulla protezione dei dati dell'Unione Europea (GDPR), con le autovalutazioni della conformità dell'organizzazione a tali standard e regolamenti.

  • Consente di assegnare, tenere traccia e registrare le attività correlate alla conformità e alle valutazioni, che possono aiutare l'organizzazione a superare le barriere dei team per raggiungere i propri obiettivi di conformità.

  • Fornisce un punteggio di conformità che agevola il monitoraggio dell'avanzamento e la definizione delle priorità per i controlli di audit, riducendo così l'esposizione al rischio dell'organizzazione.

  • Fornisce un repository sicuro in cui caricare e gestire le prove e altri elementi correlati alle attività di conformità.

  • Consente di creare report estremamente dettagliati in Microsoft Excel, in cui sono documentate le attività di conformità eseguite da Microsoft e dall'organizzazione, che possono essere forniti ai revisori, agli enti normativi e ad altri stakeholder.

Importante: Compliance Manager è una dashboard che offre un riepilogo dello stato relativo alla conformità e alla protezione dei dati e presenta consigli per migliorarle. Le azioni cliente indicate in Compliance Manager sono consigli, la cui efficacia deve essere valutata nell'ambiente normativo di ogni azienda prima dell'implementazione. I consigli di Compliance Manager non devono essere interpretati come una garanzia di conformità.

Sommario

Argomenti concettuali   

Usare le funzionalità di ricerca

Supporto alla localizzazione

Valutazioni in Compliance Manager

Autorizzazioni e accesso basato sui ruoli

Informazioni sul punteggio di conformità

Metodologia per il punteggio di conformità

Raggruppamento delle valutazioni

Funzioni amministrative   

Assegnazione dei ruoli di Compliance Manager agli utenti

Impostazioni privacy dell'utente

Uso di Compliance Manager   

Accesso a Compliance Manager

Uso della dashboard di Compliance Manager

Visualizzazione delle attività

Aggiunta di una valutazione

Copia di informazioni da valutazioni esistenti

Visualizzazione delle valutazioni

Gestione del processo di valutazione

Gestione delle attività

Esportazione di informazioni da una valutazione

Archiviazione di una valutazione

Log delle modifiche in un controllo gestito dal cliente   

Log delle modifiche

Argomenti concettuali

Compliance Manager è uno strumento per la valutazione dei rischi basato sul flusso di lavoro concepito per gestire la conformità alle normative nell'ambito del modello di responsabilità condivisa del cloud. Compliance Manager offre una visualizzazione dashboard di standard, normative e valutazioni che contengono le informazioni sull'implementazione dei controlli di Microsoft, i risultati dei test, le indicazioni per l'implementazione dei controlli dei clienti e i dati di monitoraggio immessi dall'organizzazione. Compliance Manager fornisce le definizioni per il controllo delle valutazioni per le certificazioni, indicazioni sull'implementazione e la verifica dei controlli, il punteggio dei controlli calcolato in base ai rischi, la gestione dell'accesso basato sui ruoli e un flusso di lavoro delle assegnazioni di azioni di controllo sul posto per monitorare l'implementazione dei controlli, lo stato dei test e la gestione delle prove. Compliance Manager ottimizza il carico di lavoro per la conformità consentendo ai clienti di raggruppare le valutazioni in modo logico e di applicare test di controllo delle valutazioni a controlli identici o correlati, riducendo la duplicazione di attività che altrimenti potrebbero rendersi necessarie per soddisfare requisiti di controllo identici nelle varie certificazioni.

Service Trust Portal - campo di ricerca

Fare clic sulla lente di ingrandimento nell'angolo in alto a destra della pagina per espandere il campo di ricerca, immettere i termini da cercare e premere INVIO.  Verrà visualizzato il controllo di ricerca, con il termine di ricerca nel campo del riquadro di ricerca, e sotto verranno visualizzati i risultati.

Per impostazione predefinita, la ricerca restituisce i documenti che contengono i termini di ricerca e consente di usare gli elenchi a discesa di filtro per ridefinire la lista di documenti visualizzati, aggiungere o rimuovere risultati della ricerca dalla visualizzazione. È possibile usare più attributi di filtro contemporaneamente per fare in modo che vengano restituiti solo i documenti che riguardano specifici servizi cloud, categorie di procedure di conformità o di sicurezza, aree geografiche o settori. Fare clic sul collegamento con il nome del documento per scaricarlo.

Service Trust Portal - ricerca di documenti con filtro applicato

Fare clic sul collegamento di Compliance Manager per visualizzare i risultati della ricerca per i controlli di valutazione di Compliance Manager. I risultati della ricerca nell'elenco visualizzata la data di creazione della valutazione, il nome della valutazione del raggruppamento, il servizio cloud applicabile, e se i controlli Microsoft o dei clienti gestiti.

Service Trust Portal - ricerca nei controlli di Compliance Manager

Nota: I report e i documenti di Service Trust Portal sono disponibili per il download per almeno 12 mesi dalla pubblicazione o finché non viene resa disponibile una nuova versione del documento.

Inizio pagina

Security Trust Portal consente di visualizzare il contenuto della pagina in diverse lingue.  Per cambiare la lingua della pagina, basta fare clic sull'icona a forma di globo nell'angolo in basso a sinistra della pagina e selezionare la lingua desiderata. 

Service Trust Portal - opzioni contenuto localizzato

Inizio pagina

Il componente principale di Compliance Manager è denominato Valutazione. Una valutazione valuta un servizio Microsoft in base a uno standard di certificazione o a una normativa per la protezione dei dati, come ISO 27001:2013 e il GDPR. Le valutazioni consentono di identificare lo stato dell'organizzazione per quanto concerne la protezione dei dati e la conformità a fronte dello standard di settore specificato per il servizio cloud Microsoft selezionato. Le valutazioni vengono completate con l'implementazione dei controlli associati allo standard di certificazione oggetto della valutazione.

La struttura di una valutazione si basa sulla responsabilità condivisa tra Microsoft e l'organizzazione per la valutazione dei rischi di sicurezza e conformità nel cloud e per l'implementazione delle misure di protezione dei dati specificate da uno standard di conformità, da uno standard di protezione dei dati, da un regolamento o da una legge.

Una valutazione è costituita da diversi componenti, ossia:

Servizi in ambito Ogni valutazione è applicata a uno specifico set di servizi Microsoft, elencati nella sezione dei servizi in ambito.

Controlli gestiti da Microsoft    Per ogni servizio cloud, Microsoft implementa e gestisce una serie di controlli nell'ambito della sua conformità a vari standard e regolamenti. Questi controlli sono organizzati in gruppi di controlli in linea con la struttura della certificazione o normativa corrispondente a cui è allineata la valutazione. Per ogni controllo gestito da Microsoft, Compliance Manager fornisce informazioni dettagliate su come è stato implementato il controllo e su come e quando l'implementazione è stata testata e convalidata da un revisore indipendente di terze parti.

Ecco un esempio di tre controlli gestiti da Microsoft nel gruppo di controlli Sicurezza da una valutazione di Office 365 e GDPR.

Dettagli dei controlli gestiti da Microsoft in Compliance Manager
  1. Specifica le informazioni seguenti dalla certificazione o normativa associata al controllo gestito da Microsoft.

    • ID controllo   Numero di sezione o articolo della certificazione o normativa a cui è associato il controllo.

    • Titolo   Titolo della certificazione o normativa corrispondente.

    • ID articolo   Questo campo è incluso solo per le valutazioni GDPR perché specifica il numero di articolo corrispondente del GDPR.

    • Descrizione   Testo dello standard o della normativa associata al controllo gestito da Microsoft selezionato.

  2. Il punteggio di conformità per il controllo, che indica il livello di rischio (per mancata conformità o insuccesso di un controllo) associato a ogni controllo gestito da Microsoft. Per altre informazioni, vedere Informazioni sul punteggio di conformità. I punteggi di conformità vanno da 1 a 10 e sono contraddistinti da colori. Il giallo indica i controlli a basso rischio, l'arancione indica i controlli a medio rischio e il rosso indica i controlli a rischio elevato.

  3. Informazioni sullo stato di implementazione di un controllo, sulla data in cui il controllo è stato testato, su chi ha eseguito il test e sul risultato del test.

  4. Per ogni controllo è possibile fare clic su Altro per visualizzare altre informazioni, inclusi i dettagli relativi all'implementazione del controllo da parte di Microsoft e i dettagli su come il controllo è stato testato e convalidato da un revisore indipendente di terze parti.

Controlli gestiti dal cliente    Questa raccolta include i controlli gestiti dall'organizzazione. L'organizzazione è responsabile dell'implementazione di questi controlli nell'ambito del processo di conformità per un determinato standard o regolamento. Anche i controlli gestiti dal cliente sono organizzati in gruppi in base alla certificazione o normativa corrispondente. Usare i controlli gestiti dal cliente per implementare le azioni consigliate da Microsoft nell'ambito delle attività di conformità. L'organizzazione può usare le istruzioni e le azioni consigliate in ogni controllo gestito dal cliente per gestire il processo di implementazione e valutazione per quel controllo.

I controlli gestiti dal cliente nelle valutazioni includono anche funzionalità incorporate di gestione del flusso di lavoro che consentono di gestire e tenere traccia dello stato di avanzamento della valutazione da parte dell'organizzazione. Ad esempio, un responsabile della conformità dell'organizzazione può assegnare un'attività a un amministratore IT che ha la responsabilità e le autorizzazioni necessarie per eseguire le azioni consigliate per il controllo. Al termine del lavoro, l'amministratore IT può caricare le prove delle attività di implementazione, ad esempio schermate delle impostazioni di configurazione o dei criteri, e quindi riassegnare l'attività al responsabile della conformità per valutare le prove raccolte, testare l'implementazione del controllo e registrare la data di implementazione e i risultati dei test in Compliance Manager. Per altre informazioni, vedere la sezione Gestione del processo di valutazione di questo articolo.

Inizio pagina

Per impostazione predefinita, tutti gli utenti dell'organizzazione che hanno un account di Office 365 o di Azure AD hanno accesso a Compliance Manager e possono eseguire qualsiasi azione in Compliance Manager. Per passare dalle autorizzazioni predefinite al modello di controllo dell'accesso basato sui ruoli, è necessario aggiungere almeno un utente a ogni ruolo di Compliance Manager (vedere le istruzioni seguenti). Quando viene aggiunto un utente a un ruolo, le autorizzazioni per eseguire le azioni assegnate a quel ruolo vengono rimosse dal set di autorizzazioni predefinite disponibili a tutti gli utenti e solo gli utenti aggiunti a quel ruolo potranno accedere a Compliance Manager ed eseguire le operazioni consentite da tale ruolo.

Dopo aver implementato l'accesso basato sui ruoli, tutti gli utenti non assegnati a un ruolo di Compliance Manager definito avranno un accesso di tipo Guest.

Nota: Per implementare completamente il controllo dell'accesso basato sui ruoli in modo da controllare chi può accedere ed eseguire azioni in Compliance Manager, è necessario aggiungere un utente a ogni ruolo per modificare le autorizzazioni predefinite. Ad esempio, se si aggiunge un utente al ruolo che consente agli utenti di gestire le valutazioni, solo i membri di quel ruolo possono gestire le valutazioni. Analogamente, se non si aggiunge un utente al ruolo che consente di leggere i dati nelle valutazioni, tutti gli utenti dell'organizzazione possono accedere a Compliance Manager e leggere i dati in qualsiasi valutazione.

La tabella seguente descrive ogni autorizzazione di Compliance Manager e le azioni che consente di eseguire. La tabella indica anche il ruolo a cui viene assegnata ogni autorizzazione.

Lettore di Compliance Manager

Collaboratore di Compliance Manager

Esperto di Compliance Manager

Amministratore di Compliance Manager

Amministratore portale

Leggere i dati      Gli utenti possono leggere ma non modificare i dati.

Segno di spunta

Segno di spunta

Segno di spunta

Segno di spunta

Segno di spunta

Modificare i dati      Gli utenti possono modificare tutti i campi, tranne i campi Risultato del test e Data del test.

Segno di spunta

Segno di spunta

Segno di spunta

Segno di spunta

Modificare i risultati del test      Gli utenti possono modificare i campi Risultato del test e Data del test.

Segno di spunta

Segno di spunta

Segno di spunta

Gestire le valutazioni      Gli utenti possono creare, archiviare ed eliminare le valutazioni.

Segno di spunta

Segno di spunta

Gestire gli utenti      Gli utenti possono aggiungere altri utenti dell'organizzazione ai ruoli di lettore, collaboratore, esperto e amministratore. Solo gli utenti con il ruolo di amministratore globale dell'organizzazione possono aggiungere o rimuovere utenti dal ruolo Amministratore portale.

Segno di spunta

Accesso Guest

Dopo aver configurato l'accesso a Compliance Manager, tutti gli utenti che non hanno un ruolo assegnato vengono aggiunti al ruolo dell'accesso Guest per impostazione predefinita. Questo ruolo viene assegnato anche ad account non correlati a organizzazioni, ad esempio gli account Microsoft personali.  Gli utenti con l'accesso Guest non hanno accesso completo a tutte le funzionalità di Gestione conformità e non possono vedere i dati di valutazione della conformità dell'organizzazione, ma possono usare Compliance Manager per visualizzare i report di valutazione della compatibilità di Microsoft e i documenti Service Trust.  Per un esempio delle funzionalità accessibili e non accessibili, vedere le immagini seguenti in cui le funzionalità accessibili sono contrassegnate in blu e quelle non accessibili in rosso.

Dashboard di Compliance Manager - Accesso guest

Compliance Manager - Grafico dell'accesso guest

Inizio pagina

Nella dashboard, Compliance Manager visualizza un punteggio totale per le valutazione di Office 365 nell'angolo in alto a destra del riquadro. Si tratta del punteggio di conformità totale per la valutazione ed equivale alla somma dei punti ricevuti per la valutazione di ogni controllo contrassegnato come implementato e testato in una valutazione. Quando si aggiunge una valutazione, il punteggio di conformità viene già visualizzato vicino al completamento perché i punti per i controlli gestiti da Microsoft che sono stati implementati da Microsoft e testati da terze parti indipendenti sono già applicati.

Dashboard di Compliance Manager - Punteggio di conformità totale

I punti rimanenti provengono dalla valutazione dei controlli dei clienti con esito positivo, ovvero dall'implementazione e dai test dei controlli gestiti dal cliente, ognuno dei quali corrisponde a un valore specifico che contribuisce al punteggio di conformità complessivo.  

Ogni valutazione mostra un punteggio di conformità basato sul rischio che agevola la valutazione del livello di rischio (per mancata conformità o insuccesso di un controllo) associato a ogni controllo (inclusi sia i controlli gestiti da Microsoft che i controlli gestiti dal cliente) in una valutazione.  A ogni controllo gestito dal cliente viene assegnato un numero di punti (denominato classificazione di gravità) su una scala da 1 a 10, in cui vengono assegnati più punti per i controlli associati a un fattore di rischio maggiore in caso di insuccesso del controllo e meno punti per i controlli a basso rischio.

Ad esempio, il controllo della valutazione Gestione dell'accesso degli utenti mostrato di seguito ha una classificazione di gravità del rischio molto elevata e ha assegnato un valore di 10.

Compliance Manager - Controllo delle valutazioni con gravità elevata - Punteggio 10

 Il controllo della valutazione Backup delle informazioni mostrato di seguito, invece, ha una classificazione di gravità del rischio minore e ha assegnato un valore di 3.

Compliance Manager - Controllo delle valutazioni con gravità bassa - Punteggio 3

Compliance Manager assegna una classificazione di gravità predefinita a ogni controllo. Le classificazioni di rischio vengono calcolate in base ai criteri seguenti:

  • Se un controllo impedisce che si verifichino incidenti (classificazione più alta), rileva gli incidenti che sono avvenuti o corregge l'impatto di un incidente (classificazione più bassa). In termini di classificazione di gravità, a un controllo che impedisce una minaccia ed è obbligatorio viene assegnato il numero massimo di punti, mentre ai controlli rilevatori o correttivi (indipendentemente dal fatto che siano obbligatori o discrezionali) viene assegnato il numero minimo di punti.

  • Se un controllo, una volta implementato, è obbligatorio e quindi non può essere ignorato dagli utenti (ad esempio con l'obbligo di reimpostare la password e di rispettare i requisiti di lunghezza e caratteri delle password da parte degli utenti) oppure discrezionale e può essere ignorato dagli utenti (ad esempio con regole aziendali che impongono agli utenti di bloccare gli schermi quando si allontanano dai computer).

  • Controlli correlati a rischi per la riservatezza, l'integrità e la disponibilità dei dati, che i rischi provengano da minacce interne o esterne o che la minaccia sia intenzionale o accidentale. Ad esempio, ai controlli che impedirebbero a un utente esterno malintenzionato di violare la rete e ottenere l'accesso ai dati personali verrebbe assegnato un numero di punti più alto rispetto a un controllo mirante a evitare che un dipendente configuri accidentalmente in modo errato un'impostazione del router di rete tale da determinare un'interruzione della rete.

  • Rischi correlati a fattori legali ed esterni, come contratti, normative e dichiarazioni pubbliche di impegno, per ogni controllo.

I valori del punteggio di conformità visualizzati per il controllo vengono applicati per intero al punteggio di conformità totale, in base a due scenari alternativi: il controllo viene implementato e supera il test di valutazione successivo oppure l'esito è negativo. Non è prevista l'assegnazione di un credito parziale per un'implementazione parziale.  Solo quando il controllo ha lo stato di implementazione impostato su Implementata o Implementazione alternativa e Risultato del test è impostato su Superata i punti assegnati vengono aggiunti al punteggio di conformità totale.  

E soprattutto, il punteggio di conformità consente di stabilire priorità in merito ai controlli su cui concentrarsi per l'implementazione indicando quali controlli hanno un rischio potenziale più alto in caso di insuccesso.  Oltre alla definizione delle priorità basata sui rischi, vale la pena notare che, quando i controlli della valutazione sono correlati ad altri controlli (all'interno della stessa valutazione o in un'altra valutazione nello stesso gruppo), il corretto completamento di un singolo controllo può snellire significativamente la procedura grazie alla sincronizzazione dei risultati dei test di controllo.

Ad esempio, nell'immagine seguente Office 365 - Valutazione GDPR è attualmente al 46%, con 51 valutazioni dei controlli su 111 completate per un punteggio di conformità totale di 289 su un massimo di 600.

Compliance Manager - Riepilogo delle valutazioni

Nella valutazione, il controllo GDPR 7.5.5 è correlato a 5 altri controlli (7.4.1, 7.4.3, 7.4.4,.7.4.8 e 7.4.9), ognuno con un punteggio di 6 o 8 per la classificazione di gravità del rischio da moderata a molto elevata.  Usando il filtro delle valutazioni sono stati selezionati e resi visibili tutti questi controlli nella visualizzazione di valutazione e, come si può vedere di seguito, nessuno di essi è stato valutato.    

Compliance Manager - Visualizzazione delle valutazioni - Controlli di filtro, nessuna valutazione Questi sei controlli sono correlati, quindi il completamento di uno di essi comporta una sincronizzazione dei risultati dei test in tutti i controlli correlati all'interno della valutazione, come avviene per qualsiasi controllo correlato in una valutazione nello stesso gruppo. Dopo aver completato l'implementazione e i test del controllo GDPR 7.5.5, l'area di dettaglio del controllo viene aggiornata per mostrare che tutti e sei i controlli sono stati valutati, con un corrispondente aumento del numero di controlli valutati a 57, della percentuale di valutazione al 51% e la modifica al punteggio di conformità totale di +40.

Visualizzazione delle valutazioni di Compliance Manager - Risultati del controllo sincronizzati

La finestra di dialogo Conferma aggiornamento viene visualizzata se si sta per cambiare lo stato di implementazione di un controllo correlato in un modo che potrebbe influire sugli altri controlli correlati.

Valutazioni di Compliance Manager - Finestra di dialogo di conferma per gli aggiornamenti dei controlli correlati

Nota: Attualmente solo le valutazioni per i servizi cloud di Office 365 includono un punteggio di conformità. Le valutazioni per Azure e Dynamics mostrano uno stato della valutazione.

Inizio pagina

Il punteggio di conformità, come Microsoft Secure Score, è simile ad altri sistemi di assegnazione del punteggio basati sul comportamento. L'organizzazione può aumentare il proprio punteggio di conformità eseguendo attività correlate alla sicurezza, alla privacy e alla protezione dei dati.

Nota: Il punteggio di conformità non esprime una misura assoluta della conformità dell'organizzazione a una particolare normativa o standard. Rappresenta il livello di adozione di controlli che possono ridurre i rischi per la privacy e i dati personali. Nessun servizio può garantire la conformità a uno standard o a una normativa e il punteggio di conformità non deve essere considerato come una garanzia in tal senso.

Le valutazioni in Compliance Manager sono basate sul modello di responsabilità condivisa per il cloud computing. Nel modello di responsabilità condivisa, Microsoft e il singolo cliente condividono la responsabilità della protezione dei dati dei clienti quando questi dati vengono archiviati nel cloud.

Come illustrato nella valutazione GDPR di Office 365 seguente, Microsoft e i clienti sono responsabili dell'esecuzione di una serie di azioni ideate per soddisfare i requisiti dello standard o della normativa in fase di valutazione. Per razionalizzare e comprendere le azioni richieste in un'ampia gamma di standard e normative, Compliance Manager considera tutte le normative e gli standard come se fossero framework di controllo. Quindi, le azioni eseguite da Microsoft e dai clienti per ogni valutazione includono l'implementazione e la convalida di vari controlli.

Compliance Manager - Valutazione GDPR

Il flusso di lavoro di base per un'azione tipica è il seguente:

  1. Il responsabile per la conformità, il rischio, la privacy e/o la protezione dei dati di un'organizzazione assegna l'attività a un utente dell'organizzazione per implementare un controllo. Questa persona può essere:

    1. il proprietario di un criterio aziendale,

    2. un responsabile per l'implementazione IT o

    3. un'altra persona dell'organizzazione che ha la responsabilità dell'esecuzione dell'attività.

  2. Questa persona esegue le operazioni necessarie per implementare il controllo, carica le prove dell'implementazione in Compliance Manager e contrassegna i controlli collegati all'azione come implementati. Dopo aver completato queste operazioni, l'azione viene assegnata a un esperto per la convalida. Gli esperti possono essere:

    1. esperti interni che eseguono la convalida dei controlli all'interno di un'organizzazione o

    2. esperti esterni che esaminano, verificano e certificano la conformità, ad esempio organizzazioni indipendenti di terze parti che controllano i servizi cloud Microsoft.

  3. L'esperto convalida il controllo, esamina le prove, contrassegna i controlli come valutati e infine fornisce i risultati, ad esempio valutazione passata.

Quando tutti i controlli associati a una valutazione sono stati valutati, la valutazione è considerata completata.

Ogni valutazione in Compliance Manager viene pre-caricata con le informazioni dettagliate sulle azioni eseguite da Microsoft per soddisfare i requisiti dei controlli di cui Microsoft è responsabile. Queste informazioni includono dettagli su come Microsoft ha implementato ogni controllo e su come e quando l'implementazione di Microsoft è stata valutata e verificata da un controllore di terze parti. Per questo motivo, i controlli gestiti da Microsoft per ogni valutazione sono contrassegnati come valutati e sono già compresi nel punteggio di conformità per la valutazione.

Ogni valutazione include un punteggio di conformità totale basato sul modello di responsabilità condivisa. L'implementazione e il testing effettuati da Microsoft sui controlli per Office 365 forniscono una parte dei punti totali associati a una valutazione GDPR. Quando il cliente implementa e verifica le singole azioni cliente, il punteggio di conformità per la valutazione aumenta del valore assegnato al controllo.

Metodologia per il punteggio basata sul rischio

Compliance Manager usa una metodologia per il punteggio basata sul rischio con una scala da 1 a 10 che assegna un valore maggiore ai controlli che comportano un rischio maggiore nel caso in cui il controllo non riesce o non è conforme. Il sistema di punteggio usato dal punteggio di conformità dipende da diversi fattori principali, ad esempio:

  1. La natura del controllo,

  2. Il livello di rischio del controllo in base ai tipi di minacce e

  3. I fattori esterni per il controllo.

Compliance Manager - Metodologia per il punteggio di conformità

Natura del controllo

La natura del controllo dipende dalle sue caratteristiche: se è Obbligatorio o Discrezionale e se è Preventivo, Rilevatore o Correttivo.

Obbligatorio o Discrezionale

I controlli obbligatori non possono essere ignorati intenzionalmente o accidentalmente. Un esempio tipico di controllo obbligatorio è un criterio password gestito centralmente che imposta i requisiti per la lunghezza della password, la complessità e la scadenza. Gli utenti devono rispettare i requisiti per poter accedere al sistema.

I controlli discrezionali dipendono dalla capacità degli utenti di comprendere i criteri e di agire di conseguenza. Ad esempio, un criterio che richiede agli utenti di bloccare il computer quando vanno via è un controllo discrezionale perché dipende dall'utente.

Preventivo, Rilevatore o Correttivo

I controlli preventivi sono quelli che impediscono rischi specifici. Ad esempio, la protezione delle informazioni archiviate con la crittografia è un controllo preventivo contro attacchi, violazioni e così via. La separazione dei compiti è un controllo preventivo per gestire i conflitti di interesse e per prevenire le frodi.

I controlli rilevatori sono quelli che monitorano attivamente i sistemi per individuare condizioni irregolari o comportamenti a rischio oppure quelli che possono essere usati per rilevare eventuali intrusioni o determinare se si è verificata una violazione. Il controllo degli accessi al sistema e il controllo delle attività amministrative con privilegi sono tipi di controlli per il monitoraggio di rilevazione. I controlli di conformità alle normative sono un tipo di controllo di rilevazione usato per individuare i problemi di processo.

I controlli correttivi sono quelli che provano a ridurre al minimo gli effetti negativi di un incidente di sicurezza, intraprendere azioni correttive per ridurre l'effetto immediato e annullare il danno, se possibile. La risposta a un incidente relativo alla privacy è un controllo correttivo per limitare i danni e ripristinare i sistemi a uno stato operativo dopo una violazione.

Valutando i singoli controlli con questi fattori, si determina la natura del controllo e si assegna un valore relativo al rischio che rappresenta.

Minaccia

Obbligatorio

Discrezionale

Preventivo

Alto rischio

Medio rischio

Rilevatore

Medio rischio

Rischio basso

Correttivo

Medio rischio

Rischio basso

Minaccia fa riferimento a tutto ciò che può mettere a rischio lo standard di sicurezza fondamentale e universalmente accettato noto come triade CIA (Confidentiality, Integrity and Availability) dei dati: Riservatezza, integrità e disponibilità:

  • Riservatezza significa che le informazioni possono essere lette e comprese solo da parti attendibili e autorizzate.

  • Integrità significa che le informazioni non sono state modificate o eliminate da parti non autorizzate.

  • Disponibilità significa che le informazioni sono facilmente accessibili con un elevato livello di qualità del servizio.

Se una di queste caratteristiche non è rispettata, viene considerata come una violazione del sistema nel suo complesso. Le minacce possono provenire da origini interne ed esterne e le finalità dell'autore possono essere intenzionali o accidentali. Questi fattori vengono valutati con una matrice di minacce che assegna livelli di rischio Alto, Medio o Basso per ogni combinazione di scenari.

Interna

Esterna

Intenzionale

Accidentale

Intenzionale

Accidentale

Riservatezza

(A, M o B)

(A, M o B)

(A, M o B)

(A, M o B)

Integrità

(A, M o B)

(A, M o B)

(A, M o B)

(A, M o B)

Disponibilità

(A, M o B)

(A, M o B)

(A, M o B)

(A, M o B)

Fattori esterni

Contratti

Normative

Impegni pubblici

(A, M o B)

(A, M o B)

(A, M o B)

I fattori esterni, ad esempio regolamenti, contratti e impegni pubblici applicabili, possono influire sui controlli ideati per proteggere ed evitare le violazioni dei dati e a ognuno di questi fattori vengono assegnati valori di rischio Alto, Medio o Basso.

Il numero stimato di occorrenze dei valori di rischio Alto, Medio e Basso tra i 15 possibili scenari di rischio rappresentati in CIA/Minaccia e in Fattori legali/esterni si combina per offrire una classificazione del rischio, che considera significativo un determinato valore calcolato su probabilità e numero di occorrenze dei rischi e che viene preso in considerazione quando si calcola la classificazione di gravità del controllo.

In base alla classificazione di gravità del controllo, a questo viene assegnato il relativo valore del punteggio di conformità, un numero compreso tra 1 (basso) e 10 (alto), raggruppato nelle categorie di rischio seguenti:

Livello di rischio

Valore del controllo

Basso

1-3

Moderato

6

Alto

8

Grave

10

Assegnando priorità ai controlli di valutazione con i valori di punteggio di conformità più alti, l'organizzazione si concentra sugli elementi più rischiosi e riceve un feedback proporzionalmente migliore sotto forma di un maggior numero di punti aggiunto al punteggio di conformità totale per la valutazione di ogni controllo completata.

Riepilogo

Il punteggio di conformità è un componente fondamentale della procedura con cui Compliance Manager aiuta le organizzazioni a comprendere e gestire la conformità. Il punteggio di conformità per una valutazione è un'espressione della conformità dell'azienda a un dato standard o normativa sotto forma di numero, in cui un punteggio più alto (fino al numero massimo di punti assegnati per la valutazione) corrisponde a un migliore approccio alla conformità. Comprendere la metodologia per il punteggio di conformità in cui ai controlli di valutazione vengono assegnati valori per la gravità del rischio compresi tra 1 e 10 (da basso ad alto) e in che modo le valutazioni dei controlli completate vengono aggiunte al punteggio di conformità totale è fondamentale per definire la priorità delle azioni per le organizzazioni.

Inizio pagina

Quando si crea una nuova valutazione, viene chiesto di creare un nuovo gruppo a cui assegnare la valutazione oppure di assegnare la valutazione a un gruppo esistente. I gruppi consentono di organizzare le valutazioni in modo logico e condividere le informazioni e le attività del flusso di lavoro comuni tra le valutazioni che hanno controlli gestiti dal cliente uguali o correlati.

Ad esempio, si possono raggruppare le valutazioni per anno o per team, reparto o agenzia dell'organizzazione. Ecco alcuni esempi di gruppi e le valutazioni che possono includere.

  • Valutazioni GDPR - 2018

    • Office 365 + GDPR

    • Azure + GDPR

    • Dynamics + GDPR

  • Valutazioni Azure - 2018

    • Azure + GDPR

    • Azure + ISO 27001:2013

    • Azure + ISO 27018:2014

  • Valutazioni di privacy e sicurezza dei dati

    • Office 365 + ISO 27001:2013

    • Office 365 + ISO 27018:2014

    • Azure + ISO 27001:2013

    • Azure + ISO 27018:2014

Suggerimento: È consigliabile stabilire una strategia di raggruppamento per l'organizzazione prima di iniziare ad aggiungere nuove valutazioni.

Questi sono i requisiti per il raggruppamento delle valutazione:

  • I nomi dei gruppi (detti anche ID gruppo) devono essere univoci all'interno dell'organizzazione.

  • I gruppi possono contenere le valutazioni per una stessa certificazione/normativa, ma ogni gruppo può contenere una sola valutazione per una specifica coppia servizio cloud/certificazione. Ad esempio, un gruppo non può contenere due valutazioni per Office 365 e GDPR. Allo stesso modo, un gruppo può contenere più valutazioni per uno stesso servizio cloud, purché la certificazione/normativa corrispondente per ognuna di esse sia diversa.

Dopo l'aggiunta di una valutazione a un gruppo di valutazioni, il gruppo non può essere modificato. È possibile rinominare il gruppo di valutazioni, modificando così il nome del gruppo per tutte le valutazioni associate al gruppo. È possibile creare una nuova valutazione e un nuovo gruppo di valutazioni, quindi copiare le informazioni da una valutazione esistente, creando così un duplicato della valutazione in un gruppo di valutazione diverso in modo facile e veloce. L'archiviazione di una valutazione interrompe la relazione tra la valutazione e il gruppo di valutazioni. I futuri aggiornamenti alle altre valutazioni correlate non vengono più riportati nella valutazione archiviata.

Come indicato in precedenza, un vantaggio importante dell'uso dei gruppi è che, quando due diverse valutazioni nello stesso gruppo condividono lo stesso controllo gestito dal cliente (e quindi le azioni cliente sarebbero le stesse per ogni controllo), il completamento dei dettagli dell'implementazione, delle informazioni sul test e dello stato del controllo in una valutazione viene sincronizzato con lo stesso controllo in altre valutazioni del gruppo. In altre parole, se le valutazioni condividono lo stesso controllo e si trovano nello stesso gruppo, è sufficiente gestire il processo di valutazione per il controllo in una sola verifica. I risultati per il controllo verranno sincronizzati automaticamente con le altre valutazioni. Ad esempio, ISO 27001 e ISO 27018 hanno entrambi un controllo correlato ai criteri relativi alle password. Se lo stato di test per il controllo è impostato su "Superato" in una valutazione, il controllo verrà aggiornato (e contrassegnato come "Superato") nell'altra valutazione, visto che entrambe le valutazioni fanno parte dello stesso gruppo di valutazioni.

Per un esempio, si prendano questi due controlli delle valutazioni correlati, ognuno associato alla crittografia dei dati su reti pubbliche, controllo 6.10.1.2 in Office 365, valutazione GDPR e controllo SC-13 in Office 365, valutazione NIST 800-53. Si tratta di controlli delle valutazioni correlati, in due valutazioni diverse, entrambi nel gruppo predefinito. Inizialmente, nessuna valutazione ha completato le valutazioni di controllo dei clienti, come visualizzato nella dashboard di Compliance Manager che mostra le due valutazioni.

Dashboard di Compliance Manager - Valutazioni raggruppate - Prima

Facendo clic su Office 365 - Valutazione GDPR con i controlli Filtro per visualizzare il controllo GDPR 6.10.1.2, si vede che il controllo NIST 800-53 SC-13 è elencato come controllo correlato.

Valutazione di Compliance Manager - Controlli condivisi

 Qui viene mostrato il completamento dell'implementazione e dei test del controllo GDPR 6.10.1.2. 

Controllo delle valutazioni di Compliance Manager GDPR 6.10.1.2 - Passato

Passando al controllo correlato nella valutazione raggruppata, si vede che anche NIST 800-53 SC-13 è stato contrassegnato come completato con la stessa data e ora, senza altre azioni di implementazione o test.

Valutazione di Compliance Manager - NIST 800-53 SC(13) completato

Di nuovo nella dashboard, si vede che ogni valutazione ha una valutazione del controllo completata e che il punteggio di conformità totale per ogni valutazione è aumentato di 8 (il valore del punteggio di conformità di quel controllo condiviso).

Dashboard di Compliance Manager - Sincronizzazione dell'avanzamento per le valutazioni raggruppate

Inizio pagina

Funzioni amministrative

Alcune funzioni amministrative sono disponibili solo per l'account di amministratore del tenant e sono visibili solo quando si è connessi come amministratori globali.

Nota: L'autorizzazione Accesso a documenti con restrizioni nell'elenco a discesa consente agli amministratori di concedere agli utenti l'accesso ai documenti con restrizioni condivisi da Microsoft in Service Trust Portal. La funzionalità Documenti con restrizioni non è disponibile ma lo sarà a breve.

Ogni ruolo di Compliance Manager contiene autorizzazioni leggermente diverse. È possibile visualizzare le autorizzazioni assegnate a ogni ruolo, vedere i ruoli assegnati ai singoli utenti e aggiungere o rimuovere utenti da uno specifico ruolo con Service Trust Portal selezionando la voce di menu Amministratore e scegliendo impostazioni .

Menu Amministratore STP - Impostazioni selezionato

Per aggiungere o rimuovere utenti dai ruoli di Compliance Manager.

  1. Passare a https://servicetrust.microsoft.com.

  2. Accedere con l'account di amministratore globale di Azure Active Directory.

  3. Nella barra dei menu superiore di Service Trust Portal fare clic su Amministratore, quindi scegliere Impostazioni.

  4. Nell'elenco a discesa Seleziona ruolo fare clic sul ruolo da gestire.

  5. Gli utenti aggiunti a ciascun ruolo sono elencati nella pagina Seleziona ruolo.

  6. Per aggiungere utenti al ruolo, fare clic su Aggiungi. Nella finestra di dialogo Aggiungi utenti fare clic sul campo dell'utente. È possibile scorrere l'elenco di utenti disponibili o iniziare a digitare il nome utente per filtrare l'elenco in base al termine di ricerca. Fare clic sul nome utente per aggiungere l'account all'elenco Aggiungi utenti e procedere con l'assegnazione del ruolo. Per aggiungere più utenti contemporaneamente, iniziare a digitare il nome utente per filtrare l'elenco e fare clic sull'utente per aggiungerlo all'elenco. Fare clic su Salva per assegnare il ruolo selezionato a questi utenti.

    Compliance Manager - Ruoli provisioning - Aggiunta di utenti

  7. Per rimuovere utenti da questo ruolo, selezionare gli utenti e fare clic su Elimina.

    Compliance Manager - Ruoli provisioning - Rimozione dell'utente

Inizio pagina

Alcune normative richiedono che i dati della cronologia degli utenti debbano poter essere rimossi. A tale scopo, Compliance Manager offre le funzioni Impostazioni privacy dell'utente che consentono agli amministratori di:

Amministratore di Compliance Manager - Funzioni Impostazioni privacy dell'utente

Cercare un account utente

Per cercare un account utente:

  1. Immettere l'indirizzo di posta elettronica dell'utente digitando l'alias, ovvero le informazioni a sinistra del simbolo @, e scegliendo il nome di dominio dall'elenco dei suffissi di dominio sulla destra.  Se si tratta di un tenant con più domini registrati, è possibile controllare il suffisso del nome di dominio dell'indirizzo di posta elettronica per assicurarsi che sia corretto.

  2. Dopo aver immesso correttamente il nome utente, fare clic sul pulsante Cerca.    

  3. Se l'account utente non viene trovato, nella pagina viene visualizzato il messaggio di errore "Utente non trovato".  Controllare le informazioni dell'indirizzo di posta elettronica dell'utente, apportare le correzioni necessarie e fare clic su Cerca per provare di nuovo.

  4. Se viene rilevato l'account utente, il testo del pulsante cambierà da Cerca a Cancella, che indica che l'account utente restituito è il contesto operativo per le altre funzioni visualizzate di seguito e che l'esecuzione di queste funzioni avverrà nell'ambito di questo account utente.

  5. Per cancellare i risultati della ricerca e cercare un altro utente, fare clic sul pulsante Cancella.

Esportare un report della cronologia dei dati dell'account

Dopo aver individuato l'account utente, si può generare un report delle dipendenze collegate all'account.  Queste informazioni consentono di riassegnare le attività aperte o di garantire l'accesso a prove già caricate.  

Per generare ed esportare il report:   

  1. Fare clic su Esporta per generare e scaricare un report delle attività di controllo di Compliance Manager attualmente assegnate all'account utente restituito, nonché l'elenco dei documenti caricati dall'utente.  Se non ci sono azioni assegnate o documenti caricati, un messaggio di errore indicherà che non ci sono dati per l'utente.

  2. Il report viene scaricato in background nella finestra del browser attiva. Se non viene visualizzata una finestra popup di download, verificare la cronologia di download del browser.

  3. Aprire il documento per rivedere i dati del report.

Nota: Non si tratta di un report cronologico che conserva e visualizza le variazioni di stato nella cronologia delle assegnazioni delle attività.  Il report generato è uno snapshot delle attività di controllo assegnate al momento dell'esecuzione del report (indicatore di data e ora scritto nel report).  Ad esempio, le successive riassegnazioni delle attività produrranno dati diversi del report snapshot se il report viene generato di nuovo per lo stesso utente. 

Riassegnare le attività

Questa funzione consente all'organizzazione di rimuovere le dipendenze attive o in sospeso dell'account utente riassegnando tutte le proprietà delle attività, incluse tutte le attività attive e completate, dall'account utente restituito a un nuovo utente selezionato di seguito.  Questa azione non modifica la cronologia di caricamento dei documenti per l'account utente restituito. 

Per riassegnare le attività a un altro utente:   

  1. Fare clic sulla casella di input per trovare e selezionare un altro utente all'interno dell'organizzazione a cui assegnare le attività dell'utente restituito.

  2. Selezionare Sostituisci per riassegnare tutte le attività di controllo dell'utente restituito all'utente selezionato.

  3. Viene visualizzata una finestra di dialogo di conferma che indica "Tutte le attività di controllo verranno riassegnate dall'utente corrente all'utente selezionato.  L'azione non può essere annullata.  Continuare?"

  4. Per continuare, fare clic su OK, altrimenti scegliere Annulla.

Nota: Tutte le attività (attive e completate) verranno assegnate all'utente appena selezionato.  Tuttavia, questa azione non influisce sulla cronologia di caricamento dei documenti. Tutti i documenti caricati dall'utente precedentemente assegnato continueranno a visualizzare la data/ora e il nome dell'utente precedente.  

La modifica della cronologia di caricamento dei documenti per rimuovere l'utente precedentemente assegnato dovrà essere eseguita come processo manuale.  In questo caso, l'amministratore dovrà:

1)      Aprire il report di esportazione scaricato in precedenza.

2)      Identificare e passare all'attività di controllo desiderata.

3)      Fare clic su Gestisci documenti per spostarsi nel repository delle prove del controllo selezionato.

4)      Scaricare il documento.

5)      Eliminare il documento nel repository delle prove.

6)      Ricaricare il documento.  Il documento ora conterrà una nuova data e ora di caricamento e il nome dell'utente di Caricato da.  

Eliminare la cronologia dei dati utente

Imposta le attività di controllo su "non assegnate" per tutte le attività assegnate all'utente restituito.  Imposta anche il valore di Aggiornato da su "rimosso dall'utente" per tutti i documenti caricati dall'utente restituito

Per eliminare l'attività dell'account utente e la cronologia di caricamento dei documenti:   

  1. Fare clic sul pulsante Elimina.

  2. Viene visualizzata una finestra di dialogo di conferma che indica "Tutte le assegnazioni delle attività di controllo e la cronologia di caricamento dei documenti per l'utente selezionato verranno rimosse.  L'azione non può essere annullata.  Continuare?"

  3. Per continuare, fare clic su OK, altrimenti scegliere Annulla.

Inizio pagina

Uso di Compliance Manager

Compliance Manager offre gli strumenti per assegnare, tenere traccia e registrare le attività correlate alla conformità e alle valutazioni e per aiutare l'organizzazione a superare le barriere dei team per raggiungere i propri obiettivi di conformità.

Dashboard di Compliance Manager - Menu superiore - Menu Amministratore aggiornato

Inizio pagina

Compliance Manager è accessibile da Service Trust Portal. Tutti gli utenti con un account Microsoft o un account aziendale di Azure Active Directory possono accedere a Compliance Manager.

Compliance Manager - Accesso a Compliance Manager dal menu STP

  1. Passare a https://servicetrust.microsoft.com.

  2. Accedere con il proprio account utente di Azure Active Directory (Azure AD).

  3. In Service Trust Portal fare clic su Compliance Manager.

  4. Quando viene visualizzato l'accordo di riservatezza, leggerlo e quindi fare clic su Accetto per continuare. È necessario eseguire questa operazione una sola volta e viene visualizzata la dashboard di Compliance Manager.

  5. Per iniziare, sono state aggiunte le valutazioni seguenti per impostazione predefinita:

    Valutazioni predefinite in Compliance Manager
  6. Fare clic su Icona della Guida in Compliance Manager Guida per visualizzare una breve presentazione di Compliance Manager.

Inizio pagina

Compliance Manager fornisce una visualizzazione semplice di tutte le attività di valutazione dei controlli assegnate e consente di intervenire in modo facile e tempestivo. È possibile visualizzare tutte le attività o selezionare quelle che corrispondono a una determinata certificazione facendo clic sulla scheda associata alla valutazione desiderata.  Ad esempio, nell'immagine seguente, la scheda GDPR è selezionata e mostra i controlli correlati alla valutazione GDPR.

Compliance Manager - Elenco Attività con più schede e GDPR selezionato

Per visualizzare le attività personali

  1. Passare alla dashboard di Compliance Manager

  2. Fare clic sul collegamento Attività e la pagina verrà aggiornata per mostrare le attività assegnate all'utente.

  3. Per impostazione predefinita, vengono visualizzate tutte le attività. Se si hanno attività in più certificazioni, i nomi delle certificazioni verranno elencati nelle schede nella parte superiore del controllo della valutazione. Per visualizzare le attività per un certificato specifico, fare clic sulla scheda.

Inizio pagina

Per aggiungere una valutazione a Compliance Manager:

  1. Nella dashboard Compliance Manager fare clic su Icona Aggiungi Aggiungi valutazione.

  2. Nella finestra Aggiungi valutazione è possibile creare un nuovo gruppo a cui aggiungere la valutazione oppure aggiungerla a un gruppo esistente (il gruppo predefinito è denominato "Gruppo iniziale"). A seconda dell'opzione scelta, digitare il nome di un nuovo gruppo o selezionare un gruppo esistente nell'elenco a discesa. Per altre informazioni, vedere Raggruppamento delle valutazioni.

    Se si crea un nuovo gruppo, è anche possibile copiare informazioni da un gruppo esistente nella nuova valutazione. Ciò significa che le informazioni aggiunte ai campi Dettagli sull'implementazione e Piano di test e risposta del management dei controlli gestiti dal cliente dalle valutazioni nel gruppo da cui si copia vengono copiate negli stessi controlli (o nei controlli correlati) gestiti dal cliente nella nuova valutazione. Se si aggiunge una nuova valutazione a un gruppo esistente, le informazioni comuni dalle valutazioni in tale gruppo verranno copiate nella nuova valutazione. Per altre informazioni, vedere Copia di informazioni da valutazioni esistenti.

  3. Fare clic su Avanti, quindi eseguire una delle operazioni seguenti:

    • Nell'elenco a discesa Seleziona un prodotto scegliere un servizio cloud Microsoft per la verifica della conformità.

    • Nell'elenco Seleziona una certificazione scegliere una certificazione rispetto alla quale verificare il servizio cloud selezionato.

  4. Fare clic su Aggiungi alla dashboard per creare la valutazione, che verrà aggiunta alla dashboard di Compliance Manager come nuovo riquadro alla fine dell'elenco dei riquadri esistenti.

    Il riquadro di valutazione nella dashboard di Compliance Manager visualizza il gruppo di valutazioni, il nome della valutazione (creato automaticamente da una combinazione del nome del servizio e della certificazione selezionata), la data di creazione e dell'ultima modifica, il punteggio di conformità totale (ovvero la somma di tutti i valori di rischio dei controlli assegnati che sono stati implementati, testati e superati) e gli indicatori di stato nella parte inferiore che mostrano il numero di controlli valutati.

  5. Fare clic sul nome della valutazione per aprirla e visualizzare i relativi dettagli.

  6. Fare clic sul menu Azioni menu per visualizzare le attività assegnate, rinominare il gruppo di valutazioni, esportare il report della valutazione o archiviare la valutazione.

Compliance Manager - Riquadro di valutazione

Inizio pagina

Come spiegato in precedenza, quando si crea un nuovo gruppo di valutazioni, è possibile copiare informazioni dalle valutazioni in un gruppo esistente alla nuova valutazione nel nuovo gruppo. In questo modo, le attività di valutazione e test già completate possono essere applicate agli stessi controlli gestiti dal cliente nella nuova valutazione. Se ad esempio si ha un gruppo con tutte le valutazioni correlate al GDPR all'interno dell'organizzazione, è possibile copiare le informazioni comuni dall'attività di valutazione esistente quando si aggiunge una nuova valutazione al gruppo.

È possibile copiare le informazioni seguenti dal cliente a una nuova valutazione:

  • Utenti valutazione. Un utente della valutazione è un utente a cui è assegnato il controllo.

  • Stato, Data del test e Risultati del test.

  • Dettagli dell'implementazione e informazioni sul piano di test.

Analogamente vengono sincronizzate le informazioni dai controlli gestiti dal cliente condivisi all'interno dello stesso gruppo di valutazioni. Vengono sincronizzate anche le informazioni dai controlli gestiti dal cliente correlati all'interno della stessa valutazione.

Inizio pagina

  1. Trovare il riquadro di valutazione corrispondente alla valutazione da visualizzare, quindi fare clic sul nome della valutazione per aprirla e visualizzare i controlli gestiti da Microsoft e dal cliente associati alla valutazione, insieme a un elenco dei servizi cloud inclusi nell'ambito per la valutazione. Ecco un esempio di valutazione per Office 365 e il GDPR.

    Visualizzazione delle valutazioni di Compliance Manager - Schermo intero con callout

    1. Questa sezione mostra le informazioni di riepilogo sulla valutazione, compreso il nome del gruppo di valutazioni, il prodotto, il nome della valutazione e il numero di controlli valutati

    2. Questa sezione mostra i controlli del filtro delle valutazioni. Per altre informazioni su come usare i controlli del filtro delle valutazioni, vedere la sezione Gestione del processo di valutazione.

    3. Questa sezione illustra i singoli servizi cloud inclusi nell'ambito per la valutazione.

    4. Questa sezione contiene i controlli gestiti da Microsoft. I controlli correlati sono organizzati per gruppo di controlli. Fare clic su un gruppo di controlli per espanderlo e visualizzare i singoli controlli.

    5. Questa sezione contiene i controlli gestiti del cliente, anch'essi organizzati per gruppo di controlli. Fare clic su un gruppo di controlli per espanderlo e visualizzare i singoli controlli.

    6. Visualizza il numero totale di controlli inclusi nel gruppo di controlli e quanti di essi sono stati valutati. Una funzionalità chiave di Compliance Manager consiste nel tenere traccia dell'avanzamento della valutazione dei controlli gestiti dal cliente da parte dell'organizzazione. Per altre informazioni, vedere la sezione Informazioni sul punteggio di conformità.

Inizio pagina

L'autore di una valutazione è inizialmente l'unico utente della valutazione. Per ogni controllo gestito del cliente è possibile assegnare un'azione a una persona dell'organizzazione in modo che diventi un utente della valutazione, che può eseguire le azioni cliente consigliate e raccogliere e caricare le prova. Quando si assegna un'attività, è possibile decidere di inviare un messaggio di posta elettronica alla persona in cui sono forniti dettagli come le azioni cliente consigliate e la priorità dell'attività. La notifica tramite posta elettronica include un collegamento al dashboard Attività, in cui sono elencate tutte le attività assegnate a quella persona.

Ecco un elenco di attività che è possibile eseguire usando le funzionalità del flusso di lavoro di Compliance Manager.

Flusso di lavoro per le valutazioni di Compliance Manager con callout
  1. Usare le opzioni di filtro per trovare controlli delle valutazioni specifici    Gestione conformità fornisce le Opzioni filtro che offrono criteri di selezione con granularità più elevata per la visualizzazione dei controlli delle valutazioni. Ciò consente di concentrare gli interventi per la conformità su aree specifiche con una maggiore precisione.  

    Fare clic sull'icona a forma di imbuto sul lato destro della pagina per visualizzare o nascondere i controlli Opzioni filtro. Questi controlli consentono di specificare i criteri di filtro. Solo i controlli delle valutazioni che soddisfano i criteri specificati verranno visualizzati. Controlli di filtro delle valutazioni di Compliance Manager

    • Articoli: filtra in base al nome dell'articolo e restituisce i controlli delle valutazioni associati all'articolo specificato. Ad esempio, se si digita "Articolo (5)", viene restituito un elenco di articoli il cui nome include la stringa digitata, ad esempio Articolo (5)(1)(a), Articolo (5)(1)(b), Articolo (5)(1)(c) e così via. Se si seleziona l'articolo (5)(1)(c), vengono restituiti i controlli associati all'articolo (5)(1)(c). Si tratta di un campo a selezione multipla che usa un operatore OR con più valori. Ad esempio, se si seleziona Articolo (5)(1)(a) e si aggiunge Articolo (5)(1)(c), il filtro restituisce i controlli associati all'Articolo (5)(1)(a) oppure all'Articolo (5)(1)(c).

      Visualizzazione delle valutazioni di Compliance Manager - Filtro sul nome articolo

    • Controlli: restituisce l'elenco dei controlli i cui nomi soddisfano i criteri del filtro, ad esempio se si digita 7.3, viene restituito un elenco di elementi simile a 7.3.1, 7.3.4 7.3.5 e così via. Si tratta di un campo a selezione multipla che usa un operatore OR con più valori. Ad esempio, se si seleziona 7.3.1 e si aggiunge 7.3.4, il filtro restituisce i controlli associati a 7.3.1 oppure a 7.3.4.

      Visualizzazione delle valutazioni di Compliance Manager - Controllo di filtro con selezione multipla

    • Utenti assegnati:restituisce l'elenco dei controlli assegnati all'utente selezionato.

    • Stato: restituisce l'elenco dei controlli con lo stato selezionato.

    • Risultato del test: restituisce l'elenco dei controlli con il risultato del test selezionato.

    Quando si applicano le condizioni di filtro, la visualizzazione dei controlli cambia per riflettere tali condizioni.  Espandere le sezioni del gruppo di controlli per visualizzare i dettagli dei controlli seguenti.  

    Visualizzazione delle valutazioni di Compliance Manager - Risultati per filtro articoli

  2. Se, dopo aver selezionato i filtri desiderati, non vengono visualizzati risultati, non sono presenti controlli che corrispondono alle condizioni di filtro specificate. Ad esempio, se si seleziona un determinato utente assegnato e si sceglie il nome di un controllo che corrisponde al controllo assegnato all'utente, non vengono visualizzate valutazioni nella pagina seguente.

  3. Assegnare un'attività a un utente     È possibile assegnare un'attività a una persona per implementare i requisiti di una certificazione/normativa oppure per testare, verificare e documentare i requisiti di implementazione della propria organizzazione. Quando si assegna un'attività, è possibile decidere di inviare un messaggio di posta elettronica alla persona in cui sono forniti dettagli come le azioni cliente consigliate e la priorità dell'attività. Si può anche annullare l'assegnazione o riassegnare un'attività a un'altra persona.

  4. Gestire documenti    I controlli gestiti dal cliente includono anche un punto in cui gestire i documenti correlati all'esecuzione delle attività di implementazione e per l'esecuzione di attività di test e convalida. Chiunque abbia le autorizzazioni per modificare i dati in Compliance Manager può caricare documenti facendo clic su Gestisci documenti. Dopo avere caricato un documento, è possibile fare clic su Gestisci documenti per visualizzare e scaricare i file.

  5. Fornire dettagli di implementazione e testing    Ogni controllo gestito dal cliente include un campo modificabile in cui gli utenti possono aggiungere i dettagli dell'implementazione che documentano le misure attuate dall'organizzazione per soddisfare i requisiti della certificazione/normativa e per convalidare e documentare come l'organizzazione soddisfa quei requisiti.

  6. Impostare lo stato    Impostare lo stato di ogni attività nel processo di valutazione. I valori di stato disponibili sono Implementata, Implementazione alternativa, Pianificata e Fuori ambito.

  7. Immettere i dati del test e il risultato del test    La persona con il ruolo di Esperto di Compliance Manager può verificare che siano stati eseguiti test adeguati, rivedere i dettagli di implementazione, il piano di test, i risultati del test e tutte le prove caricate, quindi impostare Data del test e Risultato del test. I valori disponibili per il risultato del test sono Superato, Non superato - Rischio basso, Non superato - Rischio medio e Non superato - Rischio elevato.

Inizio pagina

Le persone coinvolte nel processo di valutazione all'interno dell'organizzazione possono usare Compliance Manager per esaminare i controlli gestiti dal cliente da tutte le valutazioni di cui sono utenti. Quando un utente accede a Compliance Manager e apre la dashboard Azioni, viene visualizzato un elenco delle attività assegnate all'utente stesso. In base al ruolo di Compliance Manager assegnatogli, l'utente può fornire dettagli relativi all'implementazione o al test, aggiornare lo stato o assegnare attività.

I controlli per la certificazione in genere vengono implementati da una persona e verificati da un'altra, quindi l'attività di controllo può essere inizialmente assegnata a una persona per l'implementazione e, una volta completata, quella persona può assegnare l'attività di controllo alla persona successiva per la verifica dei controlli e il caricamento delle prove. Questa assegnazione/riassegnazione delle azioni di controllo può essere eseguita da qualsiasi utente con un ruolo di Compliance Manager con autorizzazioni sufficienti, che consentano la gestione centralizzata delle assegnazioni di controlli o il reindirizzamento decentralizzato delle attività di controllo, dall'implementatore al tester, in base alle esigenze.

Per assegnare un'attività

  1. Nella dashboard di Compliance Manager trovare il riquadro della valutazione su cui lavorare e fare clic sul nome della valutazione per passare alla pagina di dettagli della valutazione.

  2. È possibile fare clic sul pulsante Filtro e usare i controlli di filtro per trovare lo specifico controllo della valutazione da assegnare o

  3. Scorrere fino alla sezione Controlli gestiti dal cliente, espandere il gruppo di controlli e scorrere l'elenco di controlli finché non si trova il controllo della valutazione da assegnare

  4. Nella colonna Utente assegnato fare clic sul pulsante blu Assegna.

  5. Nella finestra di dialogo Assegna attività fare clic sul campo Assegna a per popolare l'elenco di utenti a cui può essere assegnata l'attività. È possibile scorrere l'elenco per trovare l'utente di destinazione o iniziare a digitare nel campo per cercare il nome utente.

  6. Fare clic sull'utente per assegnare l'attività.

  7. Per inviare una notifica all'utente, verificare che la casella di controllo Invia notifica tramite posta elettronica sia selezionata.

  8. Digitare le note da inviare all'utente e fare clic su Assegna.

  9. L'utente riceverà una notifica relativa all'assegnazione dell'attività ed eventuali altre note.

Le note associate all'attività vengono conservate nella sezione Note e restano disponibili per la successiva assegnazione dell'attività. Le note non sono di sola lettura, possono essere modificate, sostituite o rimosse dalla persona che assegna l'attività.

Inizio pagina

È possibile esportare una valutazione in un file di Excel che può essere esaminato dagli stakeholder per la conformità all'interno dell'organizzazione e consegnato a revisori ed enti normativi. Questo report di valutazione fornisce un quadro della valutazione alla data e ora di creazione del report e contiene i dettagli sia dei controlli gestiti da Microsoft che di quelli gestiti dal cliente per la valutazione, tra cui lo stato di implementazione dei controlli, la data e i risultati dei test dei controlli e i collegamenti ai documenti di prova caricati. Si consiglia di esportare il report di valutazione prima di archiviare una valutazione perché le valutazioni archiviate non conservano i collegamenti ai documenti caricati.

Per esportare un report di valutazione

  1. Nella dashboard di Compliance Manager fare clic sul collegamento Azioni nel riquadro della valutazione da esportare, quindi scegliere Esporta in Excel o

  2. Se si sta visualizzando la pagina dei dettagli della valutazione, fare clic sul pulsante Esporta in Excel nell'angolo in alto a destra della pagina sopra il punteggio di conformità della valutazione.

Il report di valutazione verrà scaricato nella sessione del browser. Se non viene visualizzata una finestra popup che informa l'utente del download, è consigliabile controllare la cartella di download del browser.

Inizio pagina

Quando una valutazione è terminata e non è più necessaria per finalità di conformità, è possibile archiviarla. Una volta archiviata, la valutazione viene rimossa dalla dashboard delle valutazioni.

Nota: Non è possibile annullare l'archiviazione di una valutazione o ripristinarla su uno stato di lettura-scrittura.  Tenere presente che le valutazioni archiviate non conservano i collegamenti ai documenti di prova caricati, quindi è consigliabile eseguire un'esportazione della valutazione prima di archiviarla, perché il report di valutazione esportato conterrà i collegamenti ai documenti di prova e consentirà di continuare ad accedervi.

Per archiviare una valutazione

  1. Nel riquadro della dashboard della valutazione desiderata fare clic sul pulsante Azioni.

  2. Selezionare Archivia valutazione.

  3. Si apre la finestra di dialogo Archivia valutazione in cui viene chiesto di confermare l'archiviazione della valutazione.

  4. Per continuare l'archiviazione, fare clic su Archivia, altrimenti scegliere Annulla.

Per visualizzare le valutazioni archiviate

  1. Nella dashboard di Compliance Manager selezionare la casella di controllo Mostra archiviate.

  2. Le valutazioni archiviate vengono visualizzate in una sezione visibile sotto il resto delle valutazioni attive e sotto la barra denominata Valutazioni archiviate.

  3. Fare clic sul nome della valutazione da visualizzare.

  4. Quando si visualizza una valutazione archiviata, i controlli generalmente modificabili, ad esempio Implementazione o Risultati test, non saranno attivi e il pulsante Documenti gestiti non sarà presente.

Inizio pagina

Log delle modifiche in un controllo gestito dal cliente

Compliance Manager è progettato in modo da aggiornarsi regolarmente per tenere il passo con tutte le modifiche ai requisiti normativi e ai servizi cloud Microsoft. Questi aggiornamenti includono le modifiche apportate ai controlli gestiti dal cliente. È disponibile un log delle modifiche che consente di comprendere l'impatto delle modifiche, inclusi i dettagli del contenuto aggiunto o modificato e indicazioni per stabilire gli effetti delle modifiche sulle valutazioni esistenti. In generale, esistono due tipi di modifiche:

  • Per modifica Principale si intende un cambiamento significativo a un'azione del cliente, ad esempio l'aggiunta o la rimozione di un controllo o di passaggi numerati specifici, oppure una modifica alle istruzioni su responsabilità, consigli o prove. Per le modifiche principali si consiglia di riesaminare l'implementazione e/o la valutazione del controllo interessato.

  • Per modifica Secondaria si intende un cambiamento non significativo a un'azione del cliente, ad esempio la correzione di un errore di digitazione o di problemi di formattazione oppure l'aggiornamento o la correzione di collegamenti ipertestuali. Le modifiche secondarie in genere non richiedono il riesame del controllo, tuttavia, è consigliabile rivedere l'azione del cliente aggiornata.

 

Log delle modifiche di luglio 2018 - Controlli gestiti dal cliente di Office 365

Controlli interessati

Descrizione della modifica e consigli

ID controllo

Valutazione

Tipo di modifica

Descrizione della modifica

Azioni consigliate per i clienti

45 C.F.R. § 164.308(a)(7)(ii)(A)

Office 365: HIPAA

Principale

Aggiunto controllo HITECH alla valutazione HIPAA per Office 365.

Esaminare il controllo aggiunto e le azioni cliente consigliate.

45 C.F.R. § 164.312(a)(6)(ii)

Office 365: HIPAA

Principale

Aggiunto controllo HITECH alla valutazione HIPAA per Office 365.

Esaminare il controllo aggiunto e le azioni cliente consigliate.

45 C.F.R. § 164.312(c)(1)

Office 365: HIPAA

Principale

Aggiunto controllo HITECH alla valutazione HIPAA per Office 365.

Esaminare il controllo aggiunto e le azioni cliente consigliate.

45 C.F.R.  § 164.316(b)(2)(iii)

Office 365: HIPAA

Principale

Aggiunto controllo HITECH alla valutazione HIPAA per Office 365.

Esaminare il controllo aggiunto e le azioni cliente consigliate.

 

Log delle modifiche di aprile 2018 - Controlli gestiti dal cliente di Office 365

Controlli interessati

Descrizione della modifica e consigli

GDPR

HIPAA

ISO 27001

ISO 27018

NIST 800-53

NIST 800-171

Tipo di modifica

Descrizione della modifica

Azioni consigliate per i clienti

6.13.2

C.16.1.1

Principale

In precedenza numerato: 6.12.1.1.

Aggiunti dettagli ai consigli.

Valutare nuovamente il controllo: Esaminare le indicazioni aggiornate in Azioni clienti e seguire la procedura consigliata per l'implementazione e la valutazione del controllo.

3.1.6

Principale

Aggiunti passaggi alle indicazioni, che includono l'abilitazione del controllo e la ricerca nei log di controllo.

Esaminare i consigli aggiornati in Azioni clienti.

6.8.2

A.10.2

Principale

In precedenza numerato: 6.7.2.9.

Indicazioni aggiornate con altri consigli e attività.

Valutare nuovamente il controllo: Esaminare le indicazioni aggiornate in Azioni clienti e seguire la procedura consigliata per l'implementazione e la valutazione del controllo.

6.6.4

45 C.F.R. § 164.312(a)(2)(i)


45 C.F.R. § 164.312(d)

A.9.4.2

IA-2

3.5.1

Principale

In precedenza numerato: 6.5.2.3.

Indicazioni aggiornate con altri consigli e attività.

Valutare nuovamente il controllo: Esaminare le indicazioni aggiornate in Azioni clienti e seguire la procedura consigliata per l'implementazione e la valutazione del controllo.

6.13.1

45 C.F.R. § 164.308(a)(1)(i)

A.16.1

C.16.1

IR-4(a)

3.6.1

Principale

In precedenza numerato: 6.12.1.

Indicazioni aggiornate con altri consigli e attività.

Valutare nuovamente il controllo: Esaminare le indicazioni aggiornate in Azioni clienti e seguire la procedura consigliata per l'implementazione e la valutazione del controllo.

6.7

Principale

In precedenza numerato: 6.6.1.1.

Indicazioni aggiornate con altri consigli e attività.

Valutare nuovamente il controllo: Esaminare le indicazioni aggiornate in Azioni clienti e seguire la procedura consigliata per l'implementazione e la valutazione del controllo.

6.6.5

A.10.8

IA-3

3.5.2

Principale

In precedenza numerato: 6.5.4.2.

Indicazioni aggiornate con altri consigli e attività.

Valutare nuovamente il controllo: Esaminare le indicazioni aggiornate in Azioni clienti e seguire la procedura consigliata per l'implementazione e la valutazione del controllo.

6.15.1

Principale

In precedenza numerato: 6.14.1.3.

Indicazioni aggiornate con altri consigli e attività.

Valutare nuovamente il controllo: Esaminare le indicazioni aggiornate in Azioni clienti e seguire la procedura consigliata per l'implementazione e la valutazione del controllo.

AC-2(h)(2)

Secondario

Aggiunto un collegamento al blade Abilita controllo.

Nessuna azione necessaria.

AC-2(7)(b)

Secondario

Aggiunto un collegamento al blade Abilita controllo.

Nessuna azione necessaria.

AC-2(h)(1)

Secondario

Aggiunto un collegamento al blade Abilita controllo.

Nessuna azione necessaria.

45 C.F.R. § 164.308(a)(5)(ii)(C)

AC-2(g)

Secondario

Aggiunto un collegamento al blade Abilita controllo.

Nessuna azione necessaria.

AC-2(12)

Secondario

Aggiunto un collegamento al blade Abilita controllo.

Nessuna azione necessaria.

45 C.F.R. § 164.312(b)

A.12.4.3

AU-2(d)

Secondario

Aggiunto un collegamento al blade Abilita controllo.

Nessuna azione necessaria.

AC-2(4)

Secondario

Aggiunto un collegamento al blade Abilita controllo.

Nessuna azione necessaria.

3.1.7

Secondario

Aggiunto un collegamento al blade Abilita controllo.

Nessuna azione necessaria.

A.16.1.7

C.12.4.2, Part 2

Secondario

Aggiunto un collegamento al blade Abilita controllo.

Nessuna azione necessaria.

AC-2(h)(3)

Secondario

Aggiunto un collegamento al blade Abilita controllo.

Nessuna azione necessaria.

A.12.4.2

Secondario

Aggiunto un collegamento al blade Abilita controllo.

Nessuna azione necessaria.

A.7.2.8

Secondario

Aggiunti collegamenti al blade Ricerca contenuto e al portale DSR.

Nessuna azione necessaria.

45 C.F.R. § 164.308(a)(3)(ii)(C)

Secondario

Aggiunti collegamenti al blade Abilita controllo e agli argomenti di supporto per il ruolo di amministratore di Office 365.

Nessuna azione necessaria.

5.2.1

Secondario

In precedenza numerato: 5.2.2.

Chiarite le responsabilità del cliente all'interno delle istruzioni.

Esaminare i consigli aggiornati in Azioni clienti.

6.11.1

45 C.F.R. § 164.312(e)(2)(ii)

A.10.1.1
A.10.1.2
A.18.1.5

C.10.1.1

SC-13

3.13.11

Secondario

In precedenza numerato: 6.10.1.2.

Errore ortografico risolto.

Nessuna azione necessaria.

7.5.1

Secondario

In precedenza numerato: A.7.4.1.

Errore ortografico risolto.

Nessuna azione necessaria.

A.8.2.3

3.1.3

Secondario

Rimossa una frase superflua.

Nessuna azione necessaria.

45 C.F.R. § 164.308(a)(4)(i)

A.6.1.2

AC-5(a)

3.1.2
3.1.4

Secondario

Indicazioni aggiornate con altri consigli e attività.

Esaminare i consigli aggiornati in Azioni clienti.

45 C.F.R. § 164.308(a)(7)(ii)(E)

RA-2(a)

Secondario

Aggiornato il collegamento all'argomento della Guida sul servizio di importazione per usare FWlink.

Nessuna azione necessaria.

 

Riferimento per la modifica all'ID del controllo della valutazione GDPR - Log delle modifiche di febbraio 2018

ID controllo precedente (anteprima novembre 2017)

Nuovo ID di controllo (versione GA febbraio 2018)

5.2.2

5.2.1

5.2.3

5.2.2

5.2.4

5.2.3

6.1.1.1

6.2

6.10.1.2

6.11.1

6.10.2.5

6.11.2

6.11.1.2

6.12

6.12.1

6.13.1

6.12.1.1

6.13.2

6.12.1.5

6.13.3

6.14.1.3

6.15.1

6.14.2.1

6.15.2

6.14.2.3

6.15.3

6.2.1.1

6.3

6.3.2.2

6.4

6.4.3.1

6.5.2

6.4.3.2

6.8.1

6.4.3.3

6.5.3

6.5.2

6.6.1

6.5.2.1

6.6.2

6.5.2.2

6.6.3

6.5.2.3

6.6.4

6.5.4.2

6.6.5

6.6.1.1

6.7

6.7.2.7

6.8.1

6.7.2.9

6.8.2

6.8.1.4

6.9.1

6.8.4.1

6.9.3

6.8.4.2

6.9.4

6.9.2.1

6.10.1

6.9.2.3

6.10.2

A.7.1.1

7.2.1

A.7.1.2

7.2.2

A.7.1.3

7.2.3

A.7.1.4

7.2.4

A.7.1.5

7.2.5

A.7.1.6

7.2.6

A.7.1.7

7.2.7

A.7.2.1

7.3.1

A.7.2.10

7.3.9

A.7.2.11

7.3.10

A.7.2.2

7.3.2

A.7.2.3

7.3.3

A.7.2.4

7.3.4

A.7.2.5

7.3.5

A.7.2.6

7.3.6

A.7.2.7

7.3.7

A.7.2.8

7.3.8

A.7.3.1

7.4.1

A.7.3.10

7.4.10

A.7.3.2

7.4.2

A.7.3.3

7.4.3

A.7.3.4

7.4.4

A.7.3.5

7.4.5

A.7.3.6

7.4.6

A.7.3.7

7.4.7

A.7.3.8

7.4.8

A.7.3.9

7.4.9

A.7.4.1

7.5.1

A.7.4.2

7.5.2

A.7.4.3

7.5.3

A.7.4.4

7.5.4

A.7.4.5

7.5.5

B.8.1.1

8.2.1

B.8.1.2

8.2.2

B.8.1.3

8.2.3

B.8.1.4

8.2.4

B.8.1.5

8.2.5

B.8.1.6

8.2.6

B.8.2.1

8.3.1

B.8.3.1

8.4.1

B.8.3.2

8.4.2

B.8.3.3

8.4.3

B.8.4.1

8.5.1

B.8.4.2

8.5.2

B.8.4.3

8.5.4

B.8.4.4

8.5.5

B.8.4.5

8.5.3

B.8.4.6

8.5.6

B.8.4.7

8.5.7

B.8.4.8

8.5.8

Inizio pagina

Vedere anche

Amplia le tue competenze su Office
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa al programma Office Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×