Usare Gestore conformità in Service Trust Portal - Anteprima.

Nota:  Riteniamo importante fornire il contenuto della Guida più recente non appena possibile, nella lingua dell'utente. Questa pagina è stata tradotta automaticamente e potrebbe contenere errori di grammatica o imprecisioni. L'intento è quello di rendere fruibile il contenuto. Nella parte inferiore della pagina è possibile indicare se le informazioni sono risultate utili. Questo è l' articolo in lingua inglese per riferimento.

In questo articolo vengono illustrati una caratteristica di anteprima che potrebbe non essere disponibili a tutti gli utenti ed è soggetta a modifiche. Nota che questa caratteristica anteprima non è disponibile in Office 365 gestito da 21Vianet o Office 365 Germany.

Nuovo Gestore conformità nel Portale di protezione di Microsoft Service (STP) sono disponibili gli strumenti per tenere traccia, per implementare e gestire i controlli di controllo per consentire all'organizzazione di raggiungere la conformità con sicurezza o settore di protezione dei dati standard quando misurare servizi cloud Microsoft, ad esempio Office 365 e Microsoft Azure. Può essere utile la persona che controlla la strategia di protezione dei dati per l'organizzazione (a volte chiamato un responsabile della protezione dei dati) per gestire il processo di valutazione dei rischi e conformità.

Gestore conformità:

  • Combina le informazioni dettagliate fornite da Microsoft ai revisori e alle autorità normative nell'ambito di vari controlli di terze parti sui servizi cloud Microsoft rispetto a vari standard (come International Organization for Standardization 27001:2013 e ISO 27018:2014) e le informazioni che Microsoft compila internamente per la propria conformità alle normative, ad esempio il Regolamento generale sulla protezione dei dati dell'Unione Europea (GDPR), con le autovalutazioni della conformità dell'organizzazione a tali standard e regolamenti.

  • Consente di assegnare, tenere traccia e registrare le attività correlate alla conformità e alle valutazioni, che possono aiutare l'organizzazione a superare le barriere dei team per raggiungere i propri obiettivi di conformità.

  • Fornisce un repository sicuro in cui caricare e gestire le prove e altri elementi correlati alle attività di conformità.

  • Consente di creare report estremamente dettagliati in Microsoft Excel, in cui sono documentate le attività di conformità eseguite da Microsoft e dall'organizzazione, che possono essere forniti ai revisori, agli enti normativi e ad altri stakeholder.

Importante: Gestore conformità è un dashboard che offre un riepilogo dello stato relativo alla protezione dei dati e alla conformità e presenta consigli per migliorare la protezione dei dati e la conformità. Si tratta di consigli la cui efficacia deve essere valutata nell'ambiente normativo prima dell'implementazione. I consigli di Gestore conformità non devono essere interpretati come una garanzia di conformità

Sommario

Valutazioni in Gestore conformità

Accesso a Gestore conformità

Assegnazione di autorizzazioni a Gestore conformità

Aggiunta di una valutazione

Gestione del processo di valutazione

Gestione delle attività

Esportazione di informazioni da una valutazione

Archiviazione di una valutazione

Valutazioni in Gestore conformità

Il componente principale di Gestore conformità costituisce una valutazione. Una valutazione combina un servizio cloud di Microsoft (ad esempio Office 365 ) con una certificazione standard o una normativa di protezione dei dati (ad esempio ISO 27001:2013 o il PILR). Valutazioni consentono di distinguere la protezione dei dati dell'organizzazione e condizioni di conformità con lo standard selezionato per il servizio cloud Microsoft selezionato. Valutazioni vengono completate per l'esecuzione dei controlli associati a certificazione standard vengono valutati.

La struttura di una valutazione si basa sulla responsabilità condivisa tra Microsoft e l'organizzazione per la valutazione dei rischi di sicurezza e conformità nel cloud e per l'implementazione delle misure di protezione dei dati specificate da uno standard di conformità, da uno standard di protezione dei dati, da un regolamento o da una legge.

  • Controlli gestiti da Microsoft   Per ogni servizio cloud, Microsoft implementa e gestisce una serie di controlli nell'ambito della sua conformità a vari standard e regolamenti. Questi controlli sono organizzati in gruppi di controlli e organizzati nel framework di controllo interno di Microsoft. Per ogni controllo gestito da Microsoft, Gestore conformità fornisce informazioni dettagliate su come è stato implementato il controllo e su come e quando l'implementazione è stata testata e convalidata da un revisore indipendente di terze parti.

    Ecco un esempio dei controlli gestiti da Microsoft nel gruppo di controlli relativi a responsabilità, audit e rischio da una valutazione di Office 365 rispetto a ISO 27001:2013.

    1. ID del controllo dal framework di conformità interno di Microsoft.

    2. Numero della sezione o dell'articolo dallo standard o regolamento associato all'ID di controllo Microsoft selezionato.

    3. Una descrizione della sezione o articolo dal standard o normativa mappato a ID controllo MS selezionato.  Per ogni controllo, è possibile fare clic su altro per visualizzare ulteriori informazioni, inclusi i dettagli sull'implementazione di controllo di Microsoft e informazioni dettagliate su come il controllo è stato testato e convalidato da un revisore di terze parti.

    4. Informazioni sullo stato di implementazione di un controllo, sulla data in cui il controllo è stato testato, su chi ha eseguito il test e sul risultato del test.

  • Controlli gestiti dal cliente   Questa raccolta include i controlli gestiti dall'organizzazione. L'organizzazione è responsabile dell'implementazione di questi controlli nell'ambito del processo di conformità per un determinato standard o regolamento. Usare i controlli gestiti dal cliente per implementare le azioni consigliate da Microsoft nell'ambito delle attività di conformità. L'organizzazione può usare le istruzioni e le azioni consigliate in ogni controllo gestito dal cliente per gestire il processo di implementazione e valutazione per quel controllo.

    I controlli gestiti dal cliente nelle valutazioni includono anche funzionalità incorporate di gestione del flusso di lavoro che consentono di gestire e tenere traccia dello stato di avanzamento della valutazione da parte dell'organizzazione. Ad esempio, un responsabile della conformità dell'organizzazione può assegnare un'azione a un amministratore IT che ha la responsabilità e le autorizzazioni necessarie per eseguire le azioni consigliate per il controllo. Al termine del lavoro, l'amministratore IT può caricare le prove delle attività di implementazione, ad esempio schermate delle impostazioni di configurazione e dei criteri, e quindi riassegnare l'attività al responsabile della conformità per valutare le prove raccolte, testare l'implementazione del controllo e registrare la data di implementazione e i risultati dei test in Gestore conformità. Per altre informazioni, vedere la sezione Gestione del processo di valutazione di questo articolo.

    Ecco un esempio dei controlli gestiti dal cliente nel gruppo di controlli relativi a identificazione e autenticazione da una valutazione di Office 365 rispetto a ISO 27001:2013.

    1. ID del controllo dal framework di conformità interno di Microsoft e numero della sezione o dell'articolo dallo standard o regolamento associato all'ID di controllo Microsoft.

    2. Una descrizione della sezione o articolo dal standard o normativa mappato a ID controllo MS selezionato.  Quando si fa clic su altro, viene fornito con le azioni consigliate cliente, insieme ai campi che consentono di per specificare l'implementazione e testare i dettagli del piano per l'organizzazione.

    3. Le attività possono essere assegnate a una persona per implementare e/o convalidare il controllo. Quando si assegna un'attività, è possibile inviare una notifica tramite posta elettronica contenente le azioni cliente consigliate, con possibilità di aggiungere note.

    4. Lo stato viene usato per tenere traccia dell'avanzamento dell'implementazione dell'organizzazione. 

    5. Data del test e Risultato del test vengono usati dagli esperti per specificare il risultato del test e la data in cui il controllo è stato testato.

Inizio pagina

Accesso a Gestore conformità

Il dashboard Gestore conformità offre gli strumenti per assegnare, tenere traccia e registrare le attività correlate alla conformità e alle valutazioni e per aiutare l'organizzazione a superare le barriere dei team per raggiungere i propri obiettivi di conformità. Gestore conformità è accessibile da STP. Per un'anteprima, chiunque disponga di un account Microsoft all'interno dell'organizzazione può accedere a Gestore conformità.

  1. Passare a https://aka.ms/STP, che rimanda a https://servicetrust.microsoft.com.

  2. Accedere con il proprio account di Office 365 o con un account utente di Azure Active Directory (Azure AD).

  3. Nel portale di protezione del servizio, fare clic su Gestione conformità.

  4. Quando viene visualizzato il contratto di riservatezza, leggerlo e quindi fare clic su Accetto per continuare. È necessario farlo una volta e quindi viene visualizzato nel dashboard di gestione di conformità. Per iniziare, abbiamo creato le verifiche seguenti per impostazione predefinita:

    • Office 365 e GDPR (Regolamento generale sulla protezione dei dati dell'Unione Europea)

    • Office 365 e ISO 27001:2013 (standard per la sicurezza delle informazioni)

      Nota: L'anteprima di Gestore conformità consente anche di creare una valutazione per Office 365 e ISO 27018:2014 (standard per la protezione dei dati personali).

  5. Fare clic su Icona della Guida in Gestore conformità aiutare a scrivere una breve panoramica di Gestione conformità.

  6. Fare clic sul nome della valutazione per aprirla e visualizzare i controlli gestiti da Microsoft e dal cliente associati alla valutazione, insieme a un elenco dei servizi cloud inclusi nell'ambito per la valutazione.

    1. Questa sezione illustra i singoli servizi cloud inclusi nell'ambito per la valutazione.

    2. Questa sezione contiene i controlli gestiti da Microsoft. I controlli correlati sono organizzati per gruppo di controlli. Fare clic su un gruppo di controlli per espanderlo e visualizzare i singoli controlli.

    3. Questa sezione contiene i controlli gestiti del cliente, anch'essi organizzati per gruppo di controlli. Fare clic su un gruppo di controlli per espanderlo e visualizzare i singoli controlli.

    4. Visualizza il numero totale di controlli inclusi nel gruppo di controlli e quanti di questi controlli sono stati valutati. Una funzionalità chiave di Gestore conformità consiste nel tenere traccia dell'avanzamento della valutazione dei controlli gestiti dal cliente da parte dell'organizzazione.

Inizio pagina

Assegnazione di autorizzazioni a Gestore conformità

Per impostazione predefinita, tutti gli utenti dell'organizzazione che hanno un account di Office 365 o di Azure AD hanno accesso a Gestore conformità e possono eseguire qualsiasi azione in Gestore conformità. Per modificare le autorizzazioni predefinite, è necessario aggiungere almeno un utente a ogni ruolo di Gestore conformità (vedere le istruzioni seguenti). Quando viene aggiunto un utente a un ruolo, vengono rimosse le autorizzazioni predefinite e solo gli utenti aggiunti a un ruolo potranno accedere a Gestore conformità ed eseguire le operazioni consentite da tale ruolo.

Nota: Per controllare chi può accedere ed eseguire azioni in Gestore conformità, è necessario aggiungere un utente a ogni ruolo per modificare il comportamento predefinito. Ad esempio, se si aggiunge un utente al ruolo che consente agli utenti di gestire le valutazioni, solo i membri di quel ruolo possono gestire le valutazioni. Analogamente, se non si aggiunge un utente al ruolo che consente di leggere i dati nelle valutazioni, tutti gli utenti dell'organizzazione possono accedere a Gestore conformità e leggere i dati in qualsiasi valutazione.

La tabella seguente descrive ogni autorizzazione di Gestore conformità e le azioni che consente di eseguire. La tabella indica anche il ruolo a cui viene assegnata ogni autorizzazione.

Lettore di Gestore conformità

Collaboratore di Gestore conformità

Esperto di Gestore conformità

Amministratore di Gestore conformità

Amministratore portale

Leggere i dati   Gli utenti possono leggere ma non modificare i dati.

Segno di spunta

Segno di spunta

Segno di spunta

Segno di spunta

Segno di spunta

Modificare i dati   Gli utenti possono modificare tutti i campi, tranne i campi Risultato del test e Data del test.

Segno di spunta

Segno di spunta

Segno di spunta

Segno di spunta

Modificare i risultati del test   Gli utenti possono modificare i campi Risultato del test e Data del test.

Segno di spunta

Segno di spunta

Segno di spunta

Gestire le valutazioni   Gli utenti possono creare, archiviare ed eliminare le valutazioni.

Segno di spunta

Segno di spunta

Gestire gli utenti   Gli utenti possono aggiungere altri utenti dell'organizzazione ai ruoli di lettore, collaboratore, esperto e amministratore. Solo gli utenti con il ruolo di amministratore globale dell'organizzazione possono aggiungere o rimuovere utenti dal ruolo Amministratore portale.

Segno di spunta

Per aggiungere un utente a un ruolo di Gestore conformità:

  1. Passare a https://servicetrust.microsoft.com.

  2. Accedere con il proprio account di Office 365 o con un account utente di Azure Active Directory.

  3. Nel portale di protezione del servizio fare clic su Impostazioni.

  4. Nell'elenco a discesa Selezionare ruolo fare clic sul ruolo che si desidera aggiungere gli utenti.

  5. Fare clic su Icona Aggiungi Aggiungi, aggiungere un utente al ruolo e quindi fare clic su Salva.

    Gli utenti aggiunti a ogni ruolo sono elencati nella pagina Selezionare ruolo .  È possibile selezionare un utente e fare clic su Elimina per rimuoverli dal ruolo selezionato.

Inizio pagina

Aggiunta di una valutazione

Per aggiungere una valutazione a Gestore conformità:

  1. Nel dashboard Gestore conformità fare clic su Icona Aggiungi Aggiungere valutazione.

  2. Nella pagina Aggiungi una valutazione Standard , scegliere un servizio cloud di Microsoft per valutare per la conformità dall'elenco a discesa Selezionare prodotto e quindi fare clic su Avanti. Si noti che solo Office 365 è disponibile in Gestione conformità Preview.

  3. Selezionare uno o più standard/regolamenti per la valutazione.

    Le informazioni visualizzate per lo standard/regolamento selezionato saranno valide per il servizio cloud selezionato al passaggio 2. Tenere presente che nell'anteprima di Gestore conformità sono disponibili solo ISO 27001:2013, ISO 27018:2014 e il GDPR.

    Nota: L'anteprima di Gestore conformità non include i dettagli di implementazione per tutti i controlli interni di Microsoft associati al GDPR. Durante il periodo di anteprima verranno aggiunti in Gestore conformità altri dettagli di implementazione per i controlli gestiti da Microsoft associati al GDPR.

  4. In nome campo valutazione, immettere un nome univoco per la valutazione, verrà visualizzato nel dashboard di Gestore conformità.

  5. Fare clic su Aggiungi a Dashboard per creare la valutazione.

    Quando viene visualizzata una valutazione nel dashboard Gestore conformità, verrà mostrato lo stato di avanzamento complessivo della valutazione, insieme a informazioni dettagliate sulla data di creazione e dell'ultima modifica.  Vengono mostrati anche gli utenti della valutazione, che includono l'utente che l'ha creata e gli altri utenti a cui sono state assegnate azioni. 

  6. Fare clic sul nome della valutazione per aprirla e visualizzare i relativi dettagli.

Inizio pagina

Gestione del processo di valutazione

Creazione di una valutazione è l'unico utente di valutazione. Per ogni controllo del cliente, è possibile assegnare un'azione a una persona all'interno dell'organizzazione in modo che tale persona diventa un utente di valutazione che può eseguire le azioni consigliate cliente e raccogliere e caricare l'evidenza. Quando si assegna un'azione, è possibile inviare un messaggio di posta elettronica alla persona che contiene i dettagli tra cui il cliente le azioni consigliate e la priorità di azione. Notifica tramite posta elettronica include un collegamento al dashboard di Azioni , in cui sono elencati tutti gli elementi di azione assegnata a tale persona.

Ecco un elenco di attività che è possibile eseguire usando le funzionalità del flusso di lavoro di Gestore conformità.

  1. Assegnare un'azione a un utente    È possibile assegnare un'azione a una persona per implementare i requisiti di uno standard o regolamento oppure per testare, verificare e documentare i requisiti di implementazione della propria organizzazione. Quando si assegna un'attività, è possibile decidere di inviare un messaggio di posta elettronica alla persona in cui sono forniti dettagli come le azioni cliente consigliate e la priorità dell'attività. Si può anche annullare l'assegnazione o riassegnare un'attività a un'altra persona.

  2. Gestire documenti    Cliente gestite controlli dispongono anche di una posizione per gestire i documenti correlati all'esecuzione di attività di implementazione e per l'esecuzione di test e convalida attività. Chiunque disponga delle autorizzazioni per modificare i dati in Gestione conformità consente di caricare documenti, fare clic su Gestione documenti. Dopo che è stata caricata una documentazione, è possibile fare clic su Gestione documenti per visualizzare e scaricare file.

  3. Fornire dettagli di implementazione e testing   Ogni controllo gestito dal cliente include un campo modificabile in cui gli utenti possono aggiungere i dettagli dell'implementazione che documentano le misure attuate dall'organizzazione per soddisfare i requisiti dello standard o regolamento e per convalidare e documentare come l'organizzazione soddisfa quei requisiti.

  4. Impostare lo stato   Impostare lo stato di ogni attività nel processo di valutazione. I valori di stato disponibili sono Implementata, Implementazione alternativa, Pianificata e Fuori ambito.

  5. Immettere i dati del test e il risultato del test   La persona con il ruolo di Esperto di Gestore conformità può verificare che siano stati eseguiti test adeguati, rivedere i dettagli di implementazione, il piano di test, i risultati del test e tutte le prove caricate, quindi impostare Data del test e Risultato del test. I valori disponibili per il risultato del test sono Superato, Non superato - Rischio basso, Non superato - Rischio medio e Non superato - Rischio elevato.

Gestione delle attività

Le persone coinvolte nel processo di valutazione all'interno dell'organizzazione possono utilizzare Gestore conformità per esaminare i controlli del cliente da tutte le valutazioni per le quali sono gli utenti. Quando un utente accede a Gestore conformità e apre il dashboard di Azioni , viene visualizzato un elenco delle attività loro assegnate. In base al ruolo di Manager conformità assegnato all'utente, vengono fornire implementazione o dettagli test, aggiornare lo stato o assegnare le azioni.

Esportazione di informazioni da una valutazione

È possibile esportare una valutazione in un file di Excel che può essere esaminato dagli stakeholder per la conformità all'interno dell'organizzazione e consegnato a revisori ed enti normativi.

Inizio pagina

Archiviazione di una valutazione

Quando una valutazione è terminata e non è più necessaria per finalità di conformità, è possibile archiviarla. Una volta archiviata, una valutazione viene rimossa dal dashboard delle valutazioni. Se necessario, è possibile riattivarla se occorre modificarla.

Per archiviare una valutazione, fare clic su Azioni > archivio valutazione sul riquadro dei rischi. Per visualizzare le valutazioni archiviate, selezionare la casella di controllo Mostra archiviato .

Vedere anche

Torna all'inizio,

Amplia le tue competenze su Office
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa al programma Office Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×