Usare Gestore conformità in Service Trust Portal - Anteprima.

Questo articolo descrive una funzionalità di anteprima che potrebbe non essere disponibile per tutti gli utenti ed è soggetta a variazione. Tenere presente che questa funzionalità di anteprima non è disponibile in Office 365 gestito da 21Vianet e Office 365 Germany.

Il nuovo Responsabile della conformità in Microsoft Service Trust Portal (STP) fornisce strumenti per tenere traccia, implementare e gestire i controlli che aiutano l'organizzazione a raggiungere la conformità agli standard di settore in materia di sicurezza o protezione dei dati rispetto ai servizi cloud Microsoft, ad esempio Office 365 e Microsoft Azure. Aiuta il responsabile della strategia di protezione dei dati dell'azienda (denominato anche responsabile della protezione dei dati) a gestire il processo di valutazione della conformità e del rischio.

Gestore conformità:

  • Combina le informazioni dettagliate fornite da Microsoft ai revisori e alle autorità normative nell'ambito di vari controlli di terze parti sui servizi cloud Microsoft rispetto a vari standard (come International Organization for Standardization 27001:2013 e ISO 27018:2014) e le informazioni che Microsoft compila internamente per la propria conformità alle normative, ad esempio il Regolamento generale sulla protezione dei dati dell'Unione Europea (GDPR), con le autovalutazioni della conformità dell'organizzazione a tali standard e regolamenti.

  • Consente di assegnare, tenere traccia e registrare le attività correlate alla conformità e alle valutazioni, che possono aiutare l'organizzazione a superare le barriere dei team per raggiungere i propri obiettivi di conformità.

  • Fornisce un repository sicuro in cui caricare e gestire le prove e altri elementi correlati alle attività di conformità.

  • Consente di creare report estremamente dettagliati in Microsoft Excel, in cui sono documentate le attività di conformità eseguite da Microsoft e dall'organizzazione, che possono essere forniti ai revisori, agli enti normativi e ad altri stakeholder.

Importante : Gestore conformità è un dashboard che offre un riepilogo dello stato relativo alla protezione dei dati e alla conformità e presenta consigli per migliorare la protezione dei dati e la conformità. Si tratta di consigli la cui efficacia deve essere valutata nell'ambiente normativo prima dell'implementazione. I consigli di Gestore conformità non devono essere interpretati come una garanzia di conformità

Sommario

Valutazioni in Gestore conformità

Accesso a Gestore conformità

Assegnazione di autorizzazioni a Gestore conformità

Aggiunta di una valutazione

Gestione del processo di valutazione

Gestione delle attività

Esportazione di informazioni da una valutazione

Archiviazione di una valutazione

Valutazioni in Gestore conformità

Il componente principale di Responsabile della conformità è denominato Valutazione. Una valutazione combina un servizio cloud Microsoft, ad esempio Office 365, con uno standard di certificazione o un regolamento per la protezione dei dati, ad esempio IISO 27001:2013 o il GDPR. Le valutazioni consentono di identificare lo stato dell'organizzazione per quanto concerne la protezione dei dati e la conformità a fronte dello standard di settore selezionato per il servizio cloud Microsoft selezionato. Le valutazioni vengono completate mediante l'implementazione dei controlli associati allo standard oggetto della valutazione.

La struttura di una valutazione si basa sulla responsabilità condivisa tra Microsoft e l'organizzazione per la valutazione dei rischi di sicurezza e conformità nel cloud e per l'implementazione delle misure di protezione dei dati specificate da uno standard di conformità, da uno standard di protezione dei dati, da un regolamento o da una legge.

  • Controlli gestiti da Microsoft   Per ogni servizio cloud, Microsoft implementa e gestisce una serie di controlli nell'ambito della sua conformità a vari standard e regolamenti. Questi controlli sono organizzati in gruppi di controlli e organizzati nel framework di controllo interno di Microsoft. Per ogni controllo gestito da Microsoft, Gestore conformità fornisce informazioni dettagliate su come è stato implementato il controllo e su come e quando l'implementazione è stata testata e convalidata da un revisore indipendente di terze parti.

    Ecco un esempio dei controlli gestiti da Microsoft nel gruppo di controlli relativi a responsabilità, audit e rischio da una valutazione di Office 365 rispetto a ISO 27001:2013.

    Dettagli dei controlli gestiti da Microsoft in Gestore conformità
    1. ID del controllo dal framework di conformità interno di Microsoft.

    2. Numero della sezione o dell'articolo dallo standard o regolamento associato all'ID di controllo Microsoft selezionato.

    3. Descrizione della sezione o dell'articolo dallo standard o regolamento associato all'ID di controllo Microsoft selezionato.  Per ogni controllo è possibile fare clic su Altro per visualizzare altre informazioni, inclusi i dettagli relativi all'implementazione del controllo da parte di Microsoft e i dettagli su come il controllo è stato testato e convalidato da un revisore indipendente di terze parti.

    4. Informazioni sullo stato di implementazione di un controllo, sulla data in cui il controllo è stato testato, su chi ha eseguito il test e sul risultato del test.

  • Controlli gestiti dal cliente   Questa raccolta include i controlli gestiti dall'organizzazione. L'organizzazione è responsabile dell'implementazione di questi controlli nell'ambito del processo di conformità per un determinato standard o regolamento. Usare i controlli gestiti dal cliente per implementare le azioni consigliate da Microsoft nell'ambito delle attività di conformità. L'organizzazione può usare le istruzioni e le azioni consigliate in ogni controllo gestito dal cliente per gestire il processo di implementazione e valutazione per quel controllo.

    I controlli gestiti dal cliente nelle valutazioni includono anche funzionalità incorporate di gestione del flusso di lavoro che consentono di gestire e tenere traccia dello stato di avanzamento della valutazione da parte dell'organizzazione. Ad esempio, un responsabile della conformità dell'organizzazione può assegnare un'azione a un amministratore IT che ha la responsabilità e le autorizzazioni necessarie per eseguire le azioni consigliate per il controllo. Al termine del lavoro, l'amministratore IT può caricare le prove delle attività di implementazione, ad esempio schermate delle impostazioni di configurazione e dei criteri, e quindi riassegnare l'attività al responsabile della conformità per valutare le prove raccolte, testare l'implementazione del controllo e registrare la data di implementazione e i risultati dei test in Gestore conformità. Per altre informazioni, vedere la sezione Gestione del processo di valutazione di questo articolo.

    Ecco un esempio dei controlli gestiti dal cliente nel gruppo di controlli relativi a identificazione e autenticazione da una valutazione di Office 365 rispetto a ISO 27001:2013.

    Dettagli dei controlli gestiti dal cliente in Gestore conformità
    1. ID del controllo dal framework di conformità interno di Microsoft e numero della sezione o dell'articolo dallo standard o regolamento associato all'ID di controllo Microsoft.

    2. Descrizione della sezione o dell'articolo dallo standard o regolamento associato all'ID di controllo Microsoft selezionato.  Quando si fa clic su Altro si ricevono le azioni cliente consigliate, oltre a campi che consentono di fornire dettagli sul piano di implementazione e test per l'organizzazione.

    3. Le attività possono essere assegnate a una persona per implementare e/o convalidare il controllo. Quando si assegna un'attività, è possibile inviare una notifica tramite posta elettronica contenente le azioni cliente consigliate, con possibilità di aggiungere note.

    4. Lo stato viene usato per tenere traccia dell'avanzamento dell'implementazione dell'organizzazione. 

    5. Data del test e Risultato del test vengono usati dagli esperti per specificare il risultato del test e la data in cui il controllo è stato testato.

Inizio pagina

Accesso a Gestore conformità

Il dashboard Gestore conformità offre gli strumenti per assegnare, tenere traccia e registrare le attività correlate alla conformità e alle valutazioni e per aiutare l'organizzazione a superare le barriere dei team per raggiungere i propri obiettivi di conformità. Gestore conformità è accessibile da STP. Per un'anteprima, chiunque disponga di un account Microsoft all'interno dell'organizzazione può accedere a Gestore conformità.

  1. Passare a https://aka.ms/STP, che rimanda a https://servicetrust.microsoft.com.

  2. Accedere con il proprio account di Office 365 o con un account utente di Azure Active Directory (Azure AD).

  3. In Service Trust Portal fare clic su Gestore conformità.

    Fare clic su Gestore conformità per apririlo.
  4. Quando viene visualizzato l'accordo di riservatezza, leggerlo e quindi fare clic su Accetto per continuare. È necessario eseguire questa operazione una sola volta e quindi viene visualizzato il dashboard Gestore conformità. Per iniziare, sono state aggiunte le valutazioni seguenti per impostazione predefinita:

    • Office 365 e GDPR (Regolamento generale sulla protezione dei dati dell'Unione Europea)

    • Office 365 e ISO 27001:2013 (standard per la sicurezza delle informazioni)

      Nota : L'anteprima di Gestore conformità consente anche di creare una valutazione per Office 365 e ISO 27018:2014 (standard per la protezione dei dati personali).

    Framework di controllo predefinito in Gestione conformità
  5. Fare clic su Icona della Guida in Gestore conformità Guida per visualizzare una breve presentazione di Gestore conformità.

  6. Fare clic sul nome della valutazione per aprirla e visualizzare i controlli gestiti da Microsoft e dal cliente associati alla valutazione, insieme a un elenco dei servizi cloud inclusi nell'ambito per la valutazione.

    Componenti di una valutazione in Gestore conformità
    1. Questa sezione illustra i singoli servizi cloud inclusi nell'ambito per la valutazione.

    2. Questa sezione contiene i controlli gestiti da Microsoft. I controlli correlati sono organizzati per gruppo di controlli. Fare clic su un gruppo di controlli per espanderlo e visualizzare i singoli controlli.

    3. Questa sezione contiene i controlli gestiti del cliente, anch'essi organizzati per gruppo di controlli. Fare clic su un gruppo di controlli per espanderlo e visualizzare i singoli controlli.

    4. Visualizza il numero totale di controlli inclusi nel gruppo di controlli e quanti di questi controlli sono stati valutati. Una funzionalità chiave di Responsabile della conformità consiste nel tenere traccia dell'avanzamento della valutazione dei controlli gestiti dal cliente da parte dell'organizzazione.

Inizio pagina

Assegnazione di autorizzazioni a Gestore conformità

Per impostazione predefinita, tutti gli utenti dell'organizzazione che hanno un account di Office 365 o di Azure AD hanno accesso a Responsabile della conformità e possono eseguire qualsiasi azione in Responsabile della conformità. Per modificare le autorizzazioni predefinite, è necessario aggiungere almeno un utente a ogni ruolo di Responsabile della conformità (vedere le istruzioni seguenti). Quando viene aggiunto un utente a un ruolo, vengono rimosse le autorizzazioni predefinite e solo gli utenti aggiunti a un ruolo potranno accedere a Responsabile della conformità ed eseguire le operazioni consentite da tale ruolo.

Nota : Per controllare chi può accedere ed eseguire azioni in Responsabile della conformità, è necessario aggiungere un utente a ogni ruolo per modificare il comportamento predefinito. Ad esempio, se si aggiunge un utente al ruolo che consente agli utenti di gestire le valutazioni, solo i membri di quel ruolo possono gestire le valutazioni. Analogamente, se non si aggiunge un utente al ruolo che consente di leggere i dati nelle valutazioni, tutti gli utenti dell'organizzazione possono accedere a Responsabile della conformità e leggere i dati in qualsiasi valutazione.

La tabella seguente descrive ogni autorizzazione di Responsabile della conformità e le azioni che consente di eseguire. La tabella indica anche il ruolo a cui viene assegnata ogni autorizzazione.

Lettore di Gestore conformità

Collaboratore di Gestore conformità

Esperto di Gestore conformità

Amministratore di Gestore conformità

Amministratore portale

Leggere i dati   Gli utenti possono leggere ma non modificare i dati.

Segno di spunta

Segno di spunta

Segno di spunta

Segno di spunta

Segno di spunta

Modificare i dati   Gli utenti possono modificare tutti i campi, tranne i campi Risultato del test e Data del test.

Segno di spunta

Segno di spunta

Segno di spunta

Segno di spunta

Modificare i risultati del test   Gli utenti possono modificare i campi Risultato del test e Data del test.

Segno di spunta

Segno di spunta

Segno di spunta

Gestire le valutazioni   Gli utenti possono creare, archiviare ed eliminare le valutazioni.

Segno di spunta

Segno di spunta

Gestire gli utenti   Gli utenti possono aggiungere altri utenti dell'organizzazione ai ruoli di lettore, collaboratore, esperto e amministratore. Solo gli utenti con il ruolo di amministratore globale dell'organizzazione possono aggiungere o rimuovere utenti dal ruolo Amministratore portale.

Segno di spunta

Per aggiungere un utente a un ruolo di Responsabile della conformità:

  1. Passare a https://servicetrust.microsoft.com.

  2. Accedere con il proprio account di Office 365 o con un account utente di Azure Active Directory.

  3. In Service Trust Portal fare clic su Impostazioni.

  4. Nell'elenco a discesa Seleziona ruolo fare clic sul ruolo a cui si vogliono aggiungere utenti.

    Fare clic su Seleziona ruolo per visualizzare un elenco dei ruoli di Gestore conformità a cui è possibile aggiungere utenti
  5. Fare clic su Icona Aggiungi Aggiungi, aggiungere un utente al ruolo e quindi fare clic su Salva.

    Gli utenti aggiunti a ogni ruolo sono elencati nella pagina Seleziona ruolo.  È possibile selezionare un utente e fare clic su Elimina per rimuoverlo dal ruolo selezionato.

Inizio pagina

Aggiunta di una valutazione

Per aggiungere una valutazione a Responsabile della conformità:

  1. Nel dashboard Responsabile della conformità fare clic su Icona Aggiungi Aggiungi valutazione.

  2. Nella pagina Aggiungi una valutazione standard scegliere un servizio cloud Microsoft di cui verificare la conformità nell'elenco a discesa Seleziona prodotto e quindi fare clic su Avanti. Tenere presente che nell'anteprima di Gestore conformità è disponibile solo Office 365.

  3. Selezionare uno o più standard/regolamenti per la valutazione.

    Le informazioni visualizzate per lo standard/regolamento selezionato saranno valide per il servizio cloud selezionato al passaggio 2. Tenere presente che nell'anteprima di Gestore conformità sono disponibili solo ISO 27001:2013, ISO 27018:2014 e il GDPR.

    Nota : L'anteprima di Gestore conformità non include i dettagli di implementazione per tutti i controlli interni di Microsoft associati al GDPR. Durante il periodo di anteprima verranno aggiunti in Gestore conformità altri dettagli di implementazione per i controlli gestiti da Microsoft associati al GDPR.

  4. Nel campo Assegna un nome alla valutazione immettere un nome univoco per la valutazione, che verrà visualizzato nel dashboard Responsabile della conformità.

  5. Fare clic su Aggiungi al dashboard per creare la valutazione.

    Quando viene visualizzata una valutazione nel dashboard Responsabile della conformità, verrà mostrato lo stato di avanzamento complessivo della valutazione, insieme a informazioni dettagliate sulla data di creazione e dell'ultima modifica.  Vengono mostrati anche gli utenti della valutazione, che includono l'utente che l'ha creata e gli altri utenti a cui sono state assegnate azioni. 

  6. Fare clic sul nome della valutazione per aprirla e visualizzare i relativi dettagli.

Inizio pagina

Gestione del processo di valutazione

L'autore di una valutazione è inizialmente l'unico utente della valutazione. Per ogni controllo gestito del cliente è possibile assegnare un'azione a una persona dell'organizzazione in modo che diventi un utente della valutazione, che può eseguire le azioni cliente consigliate e raccogliere e caricare le prova. Quando si assegna un'attività, è possibile decidere di inviare un messaggio di posta elettronica alla persona in cui sono forniti dettagli come le azioni cliente consigliate e la priorità dell'attività. La notifica tramite posta elettronica include un collegamento al dashboard Attività, in cui sono elencate tutte le attività assegnate a quella persona.

Ecco un elenco di attività che è possibile eseguire usando le funzionalità del flusso di lavoro di Responsabile della conformità.

Funzionalità di gestione del flusso di lavoro in un controllo gestito dal cliente
  1. Assegnare un'azione a un utente    È possibile assegnare un'azione a una persona per implementare i requisiti di uno standard o regolamento oppure per testare, verificare e documentare i requisiti di implementazione della propria organizzazione. Quando si assegna un'attività, è possibile decidere di inviare un messaggio di posta elettronica alla persona in cui sono forniti dettagli come le azioni cliente consigliate e la priorità dell'attività. Si può anche annullare l'assegnazione o riassegnare un'attività a un'altra persona.

  2. Gestire documenti   I controlli gestiti dal cliente includono anche un punto in cui gestire i documenti correlati all'esecuzione delle attività di implementazione e per l'esecuzione di attività di test e convalida. Chiunque abbia le autorizzazioni per modificare i dati in Gestore conformità può caricare documenti facendo clic su Gestisci documenti. Dopo avere caricato un documento, è possibile fare clic su Gestisci documenti per visualizzare e scaricare i file.

  3. Fornire dettagli di implementazione e testing   Ogni controllo gestito dal cliente include un campo modificabile in cui gli utenti possono aggiungere i dettagli dell'implementazione che documentano le misure attuate dall'organizzazione per soddisfare i requisiti dello standard o regolamento e per convalidare e documentare come l'organizzazione soddisfa quei requisiti.

  4. Impostare lo stato   Impostare lo stato di ogni attività nel processo di valutazione. I valori di stato disponibili sono Implementata, Implementazione alternativa, Pianificata e Fuori ambito.

  5. Immettere i dati del test e il risultato del test   La persona con il ruolo di Esperto di Gestore conformità può verificare che siano stati eseguiti test adeguati, rivedere i dettagli di implementazione, il piano di test, i risultati del test e tutte le prove caricate, quindi impostare Data del test e Risultato del test. I valori disponibili per il risultato del test sono Superato, Non superato - Rischio basso, Non superato - Rischio medio e Non superato - Rischio elevato.

Gestione delle attività

Le persone coinvolte nel processo di valutazione all'interno dell'organizzazione possono usare Responsabile della conformità per esaminare i controlli gestiti dal cliente da tutte le valutazioni di cui sono utenti. Quando un utente accede a Responsabile della conformità e apre il dashboard Azioni, viene visualizzato un elenco delle attività assegnate all'utente stesso. In base al ruolo di Gestore conformità assegnatogli, l'utente può fornire dettagli relativi all'implementazione o al test, aggiornare lo stato o assegnare attività.

Esportazione di informazioni da una valutazione

È possibile esportare una valutazione in un file di Excel che può essere esaminato dagli stakeholder per la conformità all'interno dell'organizzazione e consegnato a revisori ed enti normativi.

Inizio pagina

Archiviazione di una valutazione

Quando una valutazione è terminata e non è più necessaria per finalità di conformità, è possibile archiviarla. Una volta archiviata, una valutazione viene rimossa dal dashboard delle valutazioni. Se necessario, è possibile riattivarla se occorre modificarla.

Per archiviare una valutazione, fare clic su Azioni > Archivia valutazione nel riquadro Valutazione. Per visualizzare le valutazioni archiviate, selezionare la casella di controllo Mostra archiviate.

Vedere anche

Inizio pagina

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa al programma Office Insider

Queste informazioni sono risultate utili?

Grazie per i tuoi commenti e suggerimenti

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×