Microsoft 클라우드 서비스를 사용할 때 준수 관리자를 사용하면 데이터 보호 및 규제 요구 사항을 충족하는 데 도움이 됩니다.

준수 관리자는 21Vianet에서 운영하는 Office 365, Office 365 Germany, Office 365 미국 GCC High(Government Community High) 또는 Office 365 미국방부에서 사용할 수 없습니다.

Microsoft Service Trust Portal의 워크플로 기반 위험 평가 도구인 준수 관리자를 사용하면 Office 365, Dynamics 365 및 Microsoft Azure 같은 Microsoft 클라우드 서비스와 관련된 조직의 규정 준수 활동을 추적, 할당 및 확인할 수 있습니다. 준수 관리자는 다음을 수행합니다.

  • 다양한 표준(예: ISO 27001, ISO 27018 및 NIST)을 기준으로 Microsoft의 클라우드 서비스에 대해 수행하는 다양한 타사 감사의 일부로 Microsoft가 감사자 및 규제 기관에 제공하는 자세한 정보 및 Microsoft가 규정(예: HIPAA 및 EU GDPR(일반 데이터 보호 규정)) 준수를 위해 내부적으로 컴파일하는 정보를 조직의 이러한 표준 및 규정 준수 여부에 대한 자체 평가와 결합합니다.

  • 규정 준수 및 평가 관련 활동을 할당, 추적 및 기록하여 팀 장벽을 뛰어넘는 조직이 조직의 규정 준수 목표를 달성하는 데 도움을 줄 수 있습니다.

  • 준수 점수를 제공하여 진행률을 추적하고 조직의 위험에 대한 노출을 줄일 수 있는 감사 컨트롤의 우선 순위를 지정하는 데 도움을 줍니다.

  • 규정 준수 활동과 관련된 증거 및 기타 아티팩트를 업로드하여 관리할 수 있는 보안 리포지토리를 제공합니다.

  • 감사자, 규제 기관 및 기타 규정 준수 관련자에게 제공할 수 있는, Microsoft와 조직이 수행한 규정 준수 활동을 문서화하는 자세한 보고서를 Microsoft Excel로 생성합니다.

중요: 준수 관리자는 데이터 보호 및 준수 수준 요약과 데이터 보호 및 준수를 향상하기 위한 권장 사항을 제공하는 대시보드입니다. 준수 관리자에 제공된 고객 작업은 권장 사항입니다. 구현하기 전에 각 규제 환경에서 이러한 권장 사항의 효율성을 평가하는 것은 각 조직의 책임입니다. 준수 관리자의 권장 사항을 준수 보장으로 해석하면 안 됩니다.

목차

개념 항목   

준수 관리자의 평가

권한 및 역할 기반 액세스

준수 점수 이해

평가 그룹화

관리 기능   

사용자에게 준수 관리자 역할 할당

준수 관리자 사용   

준수 관리자 액세스

준수 관리자 대시보드 사용

작업 항목 보기

평가 추가

기존 평가에서 정보 복사

평가 보기

평가 프로세스 관리

작업 항목 관리

평가에서 정보 내보내기

평가 보관

고객 관리 컨트롤 변경 로그   

변경 로그

개념 항목

준수 관리자는 클라우드의 공유 책임 모델 내에서 규정 준수 관리를 지원하도록 설계된 워크플로 기반 위험 평가 도구입니다. 준수 관리자는 Microsoft의 컨트롤 구현 세부 정보 및 테스트 결과와 조직을 위한 고객 컨트롤 구현 지침 및 추적 기능이 포함된 표준, 규정 및 평가 대시보드 보기를 제공합니다. 준수 관리자는 인증 평가 컨트롤 정의, 컨트롤 구현 및 테스트 지침, 컨트롤의 위험 가중 지수, 역할 기반 액세스 관리 및 컨트롤 구현, 테스트 상태, 증거 관리를 추적하기 위한 내부 컨트롤 작업 할당 워크플로를 제공합니다. 준수 관리자를 사용하면 고객이 평가를 논리적으로 그룹화하고 동일하거나 관련된 컨트롤에 평가 컨트롤 테스트를 적용하여 여러 인증에서 동일한 컨트롤 요구 사항을 충족하는 데 필요했을 중복된 수고를 줄일 수 있으므로 준수 워크로드가 최적화됩니다.

준수 관리자의 핵심 구성 요소를 평가라고 합니다. 평가는 인증 표준 또는 데이터 보호 규정(예: ISO 27001:2013 및 GDPR)에 대한 Microsoft 클라우드 서비스(예: Office 365, Azure 또는 Microsoft Dynamics)의 평가입니다. 평가에서는 선택한 Microsoft 클라우드 서비스에 대해 선택한 산업 표준을 기준으로 조직의 데이터 보호 및 준수 환경을 구별합니다. 평가는 평가하고 있는 인증 표준에 매핑되는 컨트롤의 구현으로 완료됩니다.

평가의 구조는 클라우드에서 보안 및 준수 위험을 평가하고 준수 표준, 데이터 보호 표준, 규정 또는 법으로 지정된 데이터 보호 안전 수직을 구현하기 위해 Microsoft와 조직 간에 공유되는 책임을 기반으로 합니다.

평가는 다음과 같은 여러 구성 요소로 이루어집니다.

범위 내 서비스 범위 내 클라우드 서비스 섹션에 나열된 특정 Microsoft 클라우드 서비스 집합에 각 평가가 적용됩니다.

Microsoft 관리 컨트롤   각 클라우드 서비스에 대해 Microsoft는 Microsoft의 다양한 표준 및 규정 준수의 일부로 컨트롤 집합을 구현하고 관리합니다. 이러한 컨트롤은 평가가 정렬되는 해당 인증 또는 규정의 구조에 맞게 조정되는 컨트롤 제품군으로 구성됩니다. 각 Microsoft 관리 컨트롤에 대해 준수 관리자는 Microsoft가 컨트롤을 구현하는 방법 및 독립된 타사 감사자에 의해 해당 구현이 테스트되고 유효성 검사되는 방법 및 시기에 대한 정보를 제공합니다.

다음은 Office 365 및 GDPR의 평가에서 보안 컨트롤 제품군에 있는 세 가지 Microsoft 관리 컨트롤의 예입니다.

준수 관리자의 Microsoft 관리 컨트롤 세부 정보
  1. Microsoft 관리 컨트롤에 매핑되는 인증 또는 규정에서 다음 정보를 지정합니다.

    • 컨트롤 ID   컨트롤이 매핑되는 인증 또는 규정에서 섹션 또는 문서 번호입니다.

    • 제목   해당 인증 또는 규정의 제목입니다.

    • 문서 ID   이 필드는 해당 GDPR 문서 번호를 지정하기 때문에 GDPR 평가의 경우에만 포함됩니다.

    • 설명   선택한 Microsoft 관리 컨트롤에 매핑되는 표준 또는 규정의 텍스트입니다.

  2. 컨트롤의 준수 점수로, 각 Microsoft 관리 컨트롤과 관련된 위험(비준수 또는 컨트롤 오류로 인한 위험) 수준을 나타냅니다. 자세한 내용은 준수 점수 이해를 참조하세요. 준수 점수 범위는 1점에서 10점 사이이며 색으로 구분됩니다. 노란색은 낮은 위험 컨트롤을 나타내고, 주황색은 중간 위험 컨트롤, 빨간색은 높은 위험 컨트롤을 나타냅니다.

  3. 컨트롤의 구현 상태, 컨트롤이 테스트된 날짜, 테스트를 수행한 사람 및 테스트 결과에 대한 정보입니다.

  4. 각 컨트롤에 대해 자세히를 클릭하면 Microsoft의 컨트롤 구현에 대한 정보 및 독립된 타사 감사자에 의해 컨트롤이 테스트되고 유효성 검사된 방법에 대한 정보를 포함하여 추가 정보를 확인할 수 있습니다.

고객 관리 컨트롤   조직에서 관리하는 컨트롤 모음입니다. 조직은 지정된 표준 또는 규정에 대한 준수 프로세스의 일부로 이러한 컨트롤을 구현해야 합니다. 또한 고객 관리 컨트롤은 해당 인증 또는 규정에 대한 컨트롤 제품군으로 구성됩니다. 고객 관리 컨트롤을 사용하여 규정 준수 활동의 일부로 Microsoft가 제안한 권장 작업을 구현합니다. 조직은 각 고객 관리 컨트롤에서 규범 지침 및 권장 고객 작업을 사용하여 해당 컨트롤에 대한 구현 및 평가 프로세스를 관리할 수 있습니다.

또한 평가의 고객 관리 컨트롤에는 평가를 완료하기 위한 조직의 진행 사항을 관리하고 추적하는 데 사용할 수 있는 기본 제공 워크플로 관리 기능이 있습니다. 예를 들어, 조직의 준수 담당자는 컨트롤에 대해 권장된 작업을 수행하는 데 필요한 권한과 그에 따른 책임이 있는 IT 관리자에게 작업 항목을 할당할 수 있습니다. 해당 작업이 완료되면 IT 관리자는 해당 구현 작업의 증거(예: 구성 또는 정책 설정의 스크린샷)를 업로드한 다음 작업 항목을 준수 담당자에게 다시 할당하여 준수 관리자에서 수집된 증거를 평가하고, 컨트롤 구현을 테스트하고, 구현 날짜 및 테스트 결과를 기록할 수 있습니다. 자세한 내용은 이 문서의 평가 프로세스 관리 섹션을 참조하세요.

다음은 Office 365 및 GDPR의 평가에서 Data Protection by Design and Default(설계에 의한 데이터 보호 및 기본적인 데이터 보호) 컨트롤 제품군에 있는 고객 관리 컨트롤의 예입니다.

준수 관리자 평가 컨트롤 - 설명선
  1. 고객 관리 컨트롤에 매핑되는 인증 또는 규정에서 다음 정보를 지정합니다.

    • 컨트롤 ID   고객 관리 컨트롤이 매핑되는 표준 또는 규정의 섹션 또는 문서 번호입니다.

    • 제목   해당 표준 또는 규정의 제목입니다.

    • 문서 ID   이 필드는 해당 GDPR 문서 번호를 지정하기 때문에 GDPR 평가의 경우에만 포함됩니다.

    • 설명   선택한 Microsoft 관리 컨트롤에 매핑되는 표준 또는 규정의 텍스트입니다.

  2. 컨트롤의 준수 점수로, 각 고객 관리 컨트롤과 관련된 위험(비준수 또는 컨트롤 오류로 인한 위험) 수준을 나타냅니다. 자세한 내용은 준수 점수 이해를 참조하세요. 준수 점수 범위는 1점에서 10점 사이이며 색으로 구분됩니다. 노란색은 낮은 위험 컨트롤을 나타내고, 주황색은 중간 위험 컨트롤, 빨간색은 높은 위험 컨트롤을 나타냅니다.

  3. 인증 또는 규정에서 관련 고객 컨트롤 목록과 해당 섹션 또는 문서 번호입니다. 각 관련 컨트롤/문서를 클릭하여 관련 컨트롤에 대한 자세한 정보를 표시할 수 있습니다.

  4. 컨트롤은 컨트롤을 구현하거나 컨트롤 구현을 테스트하는 사람에게 할당할 수 있습니다. 사용자에게 컨트롤을 할당할 때 권장 고객 작업을 포함하는 전자 메일 알림을 보낼 수 있습니다. 사용자는 준수 관리자의 작업 항목 대시보드에서 할당되는 모든 고객 관리 컨트롤 목록에 액세스할 수 있습니다. 문서 관리를 클릭하여 컨트롤 구현 및 테스트와 관련된 문서를 업로드할 수도 있습니다. 평가 사용자 및 문서 관리에 대한 자세한 내용은 평가 프로세스 관리를 참조하세요.

  5. 구현 상태 및 날짜를 사용하여 조직의 구현 진행률을 추적할 수 있습니다. 가능한 상태 값으로는 구현되지 않음, 구현됨, 대체 구현, 계획됨범위에 없음이 있습니다.

  6. 테스트 날짜 및 테스트 결과 필드는 평가자가 텍스트 결과와 컨트롤이 테스트된 날짜를 지정하는 데 사용됩니다.

  7. 각 컨트롤에 대해 자세히를 클릭하면 컨트롤 구현을 위한 권장 고객 작업과 함께 구현 정보, 테스트 계획 정보 및 구현과 테스트 계획에 대한 응답을 제공할 수 있는 편집 가능한 필드가 제공됩니다.

맨 위로 이동

기본적으로 Office 365 또는 Azure AD 계정이 있는 조직의 모든 사용자는 준수 관리자에 액세스할 수 있으며 준수 관리자에서 모든 작업을 수행할 수 있습니다. 기본 권한에서 역할 기반 액세스 제어 모델로 변경하려면 각 준수 관리자 역할에 사용자를 한 명 이상 추가해야 합니다(다음 지침 참조). 사용자가 역할에 추가되고 나면 해당 역할에 할당된 작업을 수행할 수 있는 권한이 모든 사용자에게 제공되는 기본 권한 집합에서 제거되며, 역할에 프로비전된 사용자만 준수 관리자에 액세스하고 해당 역할에 허용된 작업을 수행할 수 있습니다.

역할 기반 액세스가 구현되고 나면 정의된 준수 관리자 역할에 할당되지 않은 사용자는 모두 게스트 액세스 권한을 갖습니다.

참고: 준수 관리자에 액세스하여 작업을 수행할 수 있는 사람을 관리하기 위해 역할 기반 액세스 제어를 완벽하게 구현하려면 사용자를 각 역할에 추가하여 기본 권한을 변경해야 합니다. 예를 들어 평가를 관리할 수 있는 역할에 사용자를 추가하는 경우 해당 역할의 구성원만 평가를 관리할 수 있습니다. 마찬가지로 평가의 데이터를 읽을 수 있는 역할에 사용자를 추가하지 않는 경우 조직의 모든 사용자가 준수 관리자에 액세스하여 모든 평가의 데이터를 읽을 수 있습니다.

다음 표에서는 각 준수 관리자 사용 권한 및 사용자에게 허용되는 작업에 대해 설명합니다. 또한 이 표에서는 각 사용 권한이 할당되는 역할을 보여줍니다.

준수 관리자의 독자

준수 관리자의 참가자

준수 관리자의 평가자

준수 관리자의 관리자

포털 관리자

데이터 읽기      사용자가 데이터를 읽을 수 있지만 편집할 수는 없습니다.

확인 표시

확인 표시

확인 표시

확인 표시

확인 표시

데이터 편집      사용자가 테스트 결과 및 테스트 날짜 필드를 제외한 모든 필드를 편집할 수 있습니다.

확인 표시

확인 표시

확인 표시

확인 표시

테스트 결과 편집      사용자가 테스트 결과 및 테스트 날짜 필드를 편집할 수 있습니다.

확인 표시

확인 표시

확인 표시

평가 관리      사용자가 평가를 만들고, 보관하고, 삭제할 수 있습니다.

확인 표시

확인 표시

사용자 관리      사용자가 조직의 다른 사용자를 독자, 참가자, 평가자 및 관리자 역할에 추가할 수 있습니다. 조직에서 전역 관리자 역할이 있는 사용자만 포털 관리자 역할에서 사용자를 추가하거나 제거할 수 있습니다.

확인 표시

게스트 액세스

준수 관리자 액세스가 구성되고 나면 프로비전된 역할이 없는 사용자는 기본적으로 모두 게스트 액세스 역할에 포함됩니다(개인 Microsoft 계정과 같은, 조직에서 프로비전되지 않은 계정의 경우에도 적용됨).  게스트 액세스 사용자는 모든 준수 관리자 기능에 대한 모든 권한을 갖지 않으며 조직의 준수 평가 데이터를 볼 수 없지만, 준수 관리자를 사용하여 Microsoft 준수 평가 보고서 및 Service Trust 문서를 볼 수 있습니다.  액세스할 수 있는 항목과 액세스할 수 없는 항목에 대한 설명은 아래 그림을 참조하세요. 이 그림에서 액세스할 수 있는 기능은 파란색으로 표시되고, 액세스할 수 없는 항목은 빨간색으로 표시됩니다.

준수 관리자 대시보드 - 게스트 액세스 환경

준수 관리자 - 게스트 액세스 그래픽

맨 위로 이동

대시보드에서 준수 관리자는 타일의 오른쪽 위에 각 인증 평가의 총 점수를 표시합니다.  평가 전반에 대한 총 준수 점수이며, 평가에서 지금까지 구현 및 테스트된 각 컨트롤 평가에 대해 받은 누적 점수입니다.  처음 평가를 추가할 때 총 준수 점수가 완료까지 이미 일정 부분 진행된 것을 볼 수 있습니다. Microsoft 관리 컨트롤이 성공적으로 구현되고 모든 Microsoft 클라우드 서비스에 대해 테스트되어 해당 점수가 준수 점수에 이미 적용되었기 때문입니다.

준수 관리자 대시보드 - 총 준수 점수

나머지 점수는 성공적인 고객 컨트롤 평가와 고객 관리 컨트롤의 구현 및 테스트에서 획득되며, 각각 전체 준수 점수에 기여하는 특정 가치를 갖습니다.  

각 평가에는 위험 기반 준수 점수가 표시되어 평가에서 Microsoft 관리 및 고객 관리 컨트롤을 포함한 각 컨트롤과 관련된 위험 수준(비준수 또는 컨트롤 오류로 인한 위험)을 평가하는 데 도움이 됩니다.  각 고객 관리 컨트롤에는 1부터 10까지의 가능한 점수(심각도 순위라고 함)가 할당됩니다. 여기서 컨트롤이 실패할 경우 더 높은 위험 요인과 관련된 컨트롤에 대해 더 많은 점수가 부여되고, 더 낮은 위험 컨트롤에 대해 더 적은 점수가 부여됩니다.

예를 들어 아래 표시된 사용자 액세스 관리 평가 컨트롤은 심각도 위험 순위가 매우 높으며 할당된 값이 10으로 표시됩니다.

준수 관리자 - 평가 컨트롤 상위 심각도 - 점수 10

 반면, 아래 표시된 정보 백업 평가 컨트롤은 심각도 위험 순위가 더 낮으며 할당된 값이 3으로 표시됩니다.

준수 관리자 - 평가 컨트롤 낮은 심각도 - 점수 3

준수 관리자는 기본 심각도 순위를 각 컨트롤에 할당합니다. 위험 순위는 다음 기준에 따라 계산됩니다.

  • 컨트롤이 인시던트가 발생하지 않도록 방지하는지(가장 높은 순위), 발생된 인시던트를 감지하거나 인시던트의 영향을 수정하는지(가장 낮은 순위) 여부입니다. 심각도 순위와 관련하여 위협을 방지하고 필수인 컨트롤에는 가장 높은 점수가 할당되며, 필수인지 사용자 지정인지에 관계없이 감지 또는 수정 기능이 있는 컨트롤에는 가장 낮은 점수가 할당됩니다.

  • 컨트롤이(구현된 후) 필수 컨트롤이어서 사용자가 무시할 수 없는지(예: 사용자가 암호를 재설정하여 암호 길이 및 문자 요구 사항을 충족해야 하는 경우) 또는 사용자 지정이어서 사용자가 무시할 수 있는지(예: 컴퓨터가 무인 상태일 때 사용자가 화면을 잠그도록 하는 비즈니스 규칙) 여부입니다.

  • 이러한 위험이 내부 또는 외부 위협에서 시작되는지 여부와 위협이 악의적인지 또는 실수에 의한 것인지 여부에 관계없이 데이터 기밀성, 무결성 및 가용성에 대한 위험 관련 컨트롤입니다. 예를 들어 외부 공격자가 네트워크를 침입하여 개인 식별이 가능한 정보에 액세스할 수 없도록 방지하는 컨트롤에는 직원이 네트워크 라우터 설정을 실수로 잘못 구성하여 네트워크 중단이 발생하는 것을 방지하는 작업과 관련된 컨트롤보다 더 많은 점수가 할당됩니다.

  • 각 컨트롤에 대한 계약, 규정, 공개 약정 등 법률 및 외부 드라이버와 관련된 위험.

컨트롤에 대해 표시된 준수 점수는 성공/실패에 따라 총 준수 점수에 전체적으로 적용됩니다. 컨트롤이 구현되어 후속 평가 테스트를 통과하거나, 통과하지 못할 경우 부분 구현에 대한 부분 크레딧은 없습니다.  컨트롤의 구현 상태구현됨 또는 대체 구현으로 설정되고 테스트 결과전달됨으로 설정된 경우에만 할당된 점수가 총 준수 점수에 추가됩니다.  

무엇보다도 준수 점수는 컨트롤 관련 오류가 있는 경우 잠재적 위험이 더 높은 컨트롤을 표시하여 구현을 위해 집중할 컨트롤의 우선 순위를 지정하는 데 도움이 됩니다.  위험 기반 우선 순위 지정뿐 아니라 평가 컨트롤이 동일한 평가 또는 동일한 평가 그룹화에 있는 다른 평가 내의 다른 컨트롤과 관련이 있어, 하나의 컨트롤을 성공적으로 완료하면 컨트롤 테스트 결과의 동기화를 기준으로 상당한 수고를 줄일 수 있는 경우를 확인하는 것이 좋습니다.

예를 들어 아래 그림에서 Office 365 - GDPR 평가는 현재 46% 평가되었으며, 111개 컨트롤 평가 중 51개가 완료되어 총 준수 점수는 최대 가능 점수 600점 기준 289점임을 확인할 수 있습니다.

준수 관리자 - 평가 요약

평가 내에서 GDPR 컨트롤 7.5.5는 5가지 다른 컨트롤(7.4.1, 7.4.3, 7.4.4, .7.4.8, 7.4.9)과 관련이 있으며, 각각 보통에서 높은 심각도 위험 등급 점수인 6 또는 8을 갖습니다.  평가 필터를 통해 이러한 컨트롤을 모두 선택하여 평가 보기에 표시했으며, 해당 컨트롤이 하나도 평가되지 않은 것을 아래에서 확인할 수 있습니다.    

준수 관리자 - 평가 보기 - 컨트롤 필터링, 평가된 항목 없음 이러한 6개 컨트롤은 관련이 있으므로 하나를 완료하면 해당 테스트 결과가 동일한 평가 그룹화에 있는 평가의 관련 컨트롤과 마찬가지로 이 평가 내의 관련 컨트롤에 동기화됩니다. GDPR 컨트롤 7.5.5의 구현 및 테스트를 완료하면 컨트롤 세부 정보 영역이 새로 고쳐져 6개 컨트롤이 모두 평가되었다고 표시되며, 그에 따라 평가된 컨트롤 수가 57개와 51% 평가됨으로 증가하고 총 준수 점수가 +40으로 변경됩니다.

준수 관리자 평가 보기 - 컨트롤 결과 동기화됨

이 업데이트 확인 대화 상자는 관련 컨트롤의 구현 상태를 다른 관련 컨트롤에 영향을 미치는 방식으로 변경하려는 경우에 나타납니다.

준수 관리자 평가 - 관련 컨트롤 업데이트 확인 대화 상자

참고: 현재 Office 365 클라우드 서비스에 대한 평가에만 준수 점수가 포함됩니다. Azure 및 Dynamics에 대한 평가에는 평가 상태가 표시됩니다.

맨 위로 이동

새 평가 만들면 평가를 할당할 새 그룹을 만들거나 기존 그룹에 평가를 할당하라는 메시지가 표시됩니다. 그룹을 사용하면 평가를 논리적으로 구성하고 동일하거나 관련된 고객 관리 컨트롤이 있는 평가 간에 일반 정보 및 워크플로 작업을 공유할 수 있습니다.

예를 들어, 연도나 조직 내 팀, 부서 또는 기관별로 평가를 그룹화할 수 있습니다. 다음은 그룹과 해당 그룹에 포함될 수 있는 평가의 몇 가지 예입니다.

  • GDPR 평가 - 2018

    • Office 365 + GDPR

    • Azure + GDPR

    • Dynamics + GDPR

  • Azure 평가 - 2018

    • Azure + GDPR

    • Azure + ISO 27001:2013

    • Azure + ISO 27018:2014

  • 데이터 보안 및 개인 정보 보호 평가

    • Office 365 + ISO 27001:2013

    • Office 365 + ISO 27018:2014

    • Azure + ISO 27001:2013

    • Azure + ISO 27018:2014

팁: 새 평가를 추가하기 전에 조직에 맞는 그룹화 전략을 결정하는 것이 좋습니다.

평가 그룹화를 위한 요구 사항은 다음과 같습니다.

  • 그룹 이름(그룹 ID라고도 함)은 조직 내에서 고유해야 합니다.

  • 그룹에는 동일한 인증/규정에 대한 평가가 포함될 수 있지만 각 그룹에는 특정 클라우드 서비스/인증 쌍에 대해 하나의 평가만 포함될 수 있습니다. 예를 들어, 한 그룹에 Office 365와 GDPR에 대한 평가 두 개가 포함될 수 없습니다. 마찬가지로 각 서비스에 대한 해당 인증/규정이 다른 경우 한 그룹에 동일한 클라우드 서비스에 대한 평가 여러 개가 포함될 수 있습니다.

평가가 평가 그룹화에 추가된 후에는 그룹화를 변경할 수 없습니다. 평가 그룹의 이름을 바꿀 수 있으며, 이 경우 해당 그룹과 연관된 모든 평가에서 평가 그룹화 이름이 변경됩니다. 새 평가와 새 평가 그룹을 만들고 기존 평가에서 정보를 복사할 수 있으며, 이 경우 사실상 다른 평가 그룹에 해당 평가의 복제본이 생성됩니다. 평가를 보관하면 해당 평가와 평가 그룹 간의 관계가 손상됩니다. 다른 관련 평가에 대한 추가 업데이트는 보관된 평가에 더 이상 반영되지 않습니다.

앞에서 설명한 대로 그룹 사용의 한 가지 주요 장점은 동일한 그룹에 있는 두 가지 다른 평가가 동일한 고객 관리 컨트롤을 공유하여 각 컨트롤에 대한 고객 작업이 동일한 경우 한 평가에서 작성한 구현 세부 정보, 테스트 정보 및 컨트롤 상태가 해당 그룹의 다른 모든 평가에서 동일한 컨트롤로 동기화된다는 것입니다. 즉, 평가가 동일한 컨트롤을 공유하고 해당 평가가 동일한 그룹에 있는 경우 한 평가에서만 컨트롤에 대한 평가 프로세스를 관리하면 됩니다. 해당 컨트롤에 대한 결과는 다른 평가에 자동으로 동기화됩니다. 예를 들어, ISO 27001과 ISO 27018 둘 다 암호 정책과 관련된 컨트롤이 있습니다. 두 평가가 동일한 평가 그룹에 속하는 한, 한 평가에서 컨트롤의 테스트 상태가 “통과”로 설정된 경우 다른 평가에서 컨트롤이 업데이트되어 “통과”로 표시됩니다.

이러한 예로, 각각 공용 네트워크의 데이터 암호화와 관련이 있는 두 개의 관련 평가 컨트롤(Office 365 - GDPR 평가의 컨트롤 6.10.1.2 및 Office 365 - NIST 800-53 평가의 컨트롤 SC-13)을 고려해 보세요. 관련된 평가 컨트롤이고, 서로 다른 두 평가에 있고, 둘 다 기본 그룹에 속하므로 처음에는 두 평가에서 모두 고객 컨트롤 평가가 완료되지 않았으며, 이러한 두 평가를 보여 주는 준수 관리자 대시보드에 이 내용이 표시됩니다.

준수 관리자 대시보드 - 그룹화된 평가 - 이전

Office 365 - GDPR 평가를 클릭하고 필터 컨트롤을 사용하여 GDPR 컨트롤 6.10.1.2를 보면 NIST 800-53 컨트롤 SC-13이 관련 컨트롤로 표시됩니다.

준수 관리자 평가 - 공유 컨트롤

 여기에서는 GDPR 컨트롤 6.10.1.2의 구현 및 테스트 완료를 보여 줍니다. 

준수 관리자 평가 컨트롤 GDPR 6.10.1.2 - 통과

그룹화된 평가의 관련 컨트롤로 이동하면, NIST800-53 SC-13도 추가 구현이나 테스트 없이 동일한 날짜 및 시간에 완료된 것으로 표시되었음을 확인할 수 있습니다.

준수 관리자 평가 - NIST800-53 SC(13) 완료

대시보드로 돌아가면 각 평가에서 1개 컨트롤 평가가 완료되었으며, 각 평가의 총 준수 점수가 8(해당 공유 컨트롤의 준수 점수 값)만큼 증가했음을 확인할 수 있습니다.

준수 관리자 대시보드 - 그룹화된 평가 진행 상황 동기화

맨 위로 이동

관리 기능

테넌트 관리자 계정만 사용할 수 있는 특정 관리 기능이 있으며, 전역 관리자로 로그인한 경우에만 표시됩니다.

참고: 드롭다운 목록의 제한된 문서에 대한 액세스 사용 권한은 관리자가 사용자에게 Microsoft가 Service Trust Portal에서 공유하는 제한된 문서에 대한 액세스 권한을 제공하도록 허용합니다. 제한된 문서 기능은 곧 제공될 예정입니다.

각 준수 관리자 역할마다 권한이 약간 다릅니다. Service Trust Portal에서 관리 메뉴 항목을 선택한 다음 설정을 선택하면 각 역할에 할당된 권한을 보고, 어떤 사용자가 어떤 역할에 속하는지 확인하고, 해당 역할에서 사용자를 제거할 수 있습니다.

STP 관리 메뉴 - 설정 선택됨

준수 관리자 역할에 사용자를 추가하거나 제거하려면

  1. https://servicetrust.microsoft.com으로 이동합니다.

  2. Azure Active Directory 전역 관리자 계정으로 로그인합니다.

  3. Service Trust Portal의 맨 위 메뉴 모음에서 관리를 클릭하고 설정을 선택합니다.

  4. 역할 선택 드롭다운 목록에서 관리할 역할을 클릭합니다.

  5. 각 역할에 추가한 사용자가 역할 선택 페이지에 나열됩니다.

  6. 이 역할에 사용자를 추가하려면 추가를 클릭합니다. 사용자 추가 대화 상자에서 사용자 필드를 클릭합니다. 사용 가능한 사용자 목록을 스크롤하거나, 사용자 이름 입력을 시작하여 검색어를 기준으로 목록을 필터링할 수 있습니다. 사용자 이름을 클릭해서 이 계정을 사용자 추가 목록에 추가하여 해당 역할로 프로비전되도록 합니다. 여러 사용자를 동시에 추가하려면 사용자 이름 입력을 시작하여 목록을 필터링하고 사용자를 클릭하여 목록에 추가합니다. 저장을 클릭하여 선택한 역할을 이러한 사용자에게 프로비전합니다.

    준수 관리자 - 역할 프로비전 - 사용자 추가

  7. 이 역할에서 사용자를 제거하려면 사용자를 선택하고 삭제를 클릭합니다.

    준수 관리자 - 역할 프로비전 - 사용자 제거

맨 위로 이동

준수 관리자 사용

준수 관리자는 준수 및 평가 관련 작업을 할당, 추적 및 기록하고 팀 장벽을 뛰어넘는 조직이 조직의 규정 준수 목표를 달성하는 데 도움이 되는 도구를 제공합니다.

준수 관리자 대시보드 - 맨 위 메뉴 - 업데이트된 관리 메뉴

맨 위로 이동

준수 관리자는 Service Trust Portal에서 액세스합니다. Microsoft 계정 또는 Azure Active Directory 조직 계정이 있으면 누구든지 준수 관리자에 액세스할 수 있습니다.

준수 관리자 - STP 메뉴에서 준수 관리자 액세스

  1. https://servicetrust.microsoft.com으로 이동합니다.

  2. Azure Active Directory(Azure AD) 사용자 계정으로 로그인합니다.

  3. Service Trust Portal에서 준수 관리자를 클릭합니다.

  4. 비밀 유지 계약이 표시되면 읽은 다음 동의를 클릭하여 계속합니다. 이 작업은 한 번만 수행하면 됩니다. 그러면 준수 관리자 대시보드가 표시됩니다.

  5. 시작을 위해 기본적으로 다음과 같은 평가를 추가했습니다.

    준수 관리자의 기본 평가

    HIPAA, NIST 800-53 및 NIST 800-171에 대한 평가를 만들 수도 있습니다.

    • Office 365 및 GDPR(EU 데이터 보호 규정)

    • Office 365 및 ISO 27001:2013(정보 보안 표준)

    • Office 365 및 ISO 27018:2014(PII(개인 식별이 가능한 정보)에 대한 데이터 보호)

    • Azure 및 ISO 27001:2013

    • Azure 및 ISO 27018:2014

  6. 준수 관리자의 도움말 아이콘 도움말을 클릭하여 준수 관리자를 간단하게 둘러봅니다.

맨 위로 이동

준수 관리자를 통해 할당된 모든 컨트롤 평가 작업 항목을 편리하게 볼 수 있으며, 항목에 대한 작업을 빠르고 쉽게 수행할 수도 있습니다. 모든 작업 항목을 보거나, 평가와 연관된 탭을 클릭하여 특정 인증에 해당하는 작업 항목을 선택할 수 있습니다.  예를 들어 아래 그림에서는 GDPR 탭이 선택되었으며, GDPR 평가와 관련된 컨트롤이 표시됩니다.

준수 관리자 - 작업 항목 목록 여러 탭 GDPR 선택됨

작업 항목을 보려면

  1. 준수 관리자 대시보드로 이동합니다.

  2. 작업 항목 링크를 클릭하면 페이지가 새로 고쳐지고, 사용자에게 할당된 작업 항목이 표시됩니다.

  3. 기본적으로 모든 작업 항목이 표시됩니다. 여러 인증에 대한 작업 항목이 있는 경우 평가 컨트롤 맨 위에 있는 탭에 인증 이름이 표시됩니다. 특정 인증에 대한 작업 항목을 보려면 해당 탭을 클릭합니다.

맨 위로 이동

준수 관리자에 평가를 추가하려면

  1. 준수 관리자 대시보드에서 추가 아이콘 평가 추가를 클릭합니다.

  2. 평가 추가 창에서 평가를 추가할 새 그룹을 만들거나 기존 그룹에 추가할 수 있습니다. 기본 제공 그룹의 이름은 "Initial Group"(초기 그룹)입니다. 선택하는 옵션에 따라 새 그룹의 이름을 입력하거나 드롭다운 목록에서 기존 그룹을 선택합니다. 자세한 내용은 평가 그룹화를 참조하세요.

    새 그룹을 만드는 경우 기존 그룹의 정보를 새 평가로 복사할 수도 있습니다. 즉, 복사하려는 그룹의 평가에서 고객 관리 컨트롤의 구현 세부 정보와 테스트 계획 및 관리자 응답 필드에 추가된 모든 정보가 새 평가의 동일하거나 관련된 고객 관리 컨트롤에 복사됩니다. 기존 그룹에 새 평가를 추가하는 경우 해당 그룹의 평가에서 일반적인 정보가 새 평가에 복사됩니다. 자세한 내용은 기존 평가에서 정보 복사를 참조하세요.

  3. 다음을 클릭하고 다음을 수행합니다.

    • 제품 선택 드롭다운 목록에서 준수를 평가할 Microsoft 클라우드 서비스를 선택합니다.

    • 인증서 선택 드롭다운 목록에서 선택한 클라우드 서비스를 평가할 인증서를 선택합니다.

  4. 대시보드에 추가를 클릭하여 평가를 만듭니다. 평가는 준수 관리자 대시보드의 기존 타일 목록 끝에 새 타일로 추가됩니다.

    준수 관리자 대시보드의 평가 타일에는 평가 그룹화, 평가 이름(서비스 이름과 선택된 인증의 조합으로 자동 생성됨), 만든 날짜 및 마지막으로 수정한 날짜, 총 준수 점수(구현, 테스트 및 통과된 모든 할당된 컨트롤 위험 값의 합계)가 표시됩니다. 또한 평가된 컨트롤 수를 보여 주는 진행률 표시기가 맨 아래에 표시됩니다.

  5. 평가 이름을 클릭하여 열고 평가 세부 정보를 확인합니다.

  6. 작업 메뉴를 클릭하여 할당된 작업 항목을 보거나, 평가 그룹의 이름을 바꾸거나, 평가 보고서를 내보내거나, 평가를 보관합니다.

준수 관리자 - 평가 타일

맨 위로 이동

앞에서 설명한 대로 새 평가 그룹을 만들 때 기존 그룹의 평가에서 새 그룹의 새 평가로 정보를 복사할 수 있습니다. 따라서 완료된 평가 및 테스트 작업을 새 평가의 동일한 고객 관리 컨트롤에 적용할 수 있습니다. 예를 들어, 조직에 모든 GDPR 관련 평가에 대한 그룹이 있는 경우 그룹에 새 평가를 추가할 때 기존 평가 작업에서 일반 정보를 복사할 수 있습니다.

고객의 다음 정보를 새 평가에 복사할 수 있습니다.

  • 평가 사용자. 평가 사용자는 컨트롤이 할당된 사용자입니다.

  • 상태, 테스트 날짜 및 테스트 결과.

  • 구현 세부 정보 및 테스트 계획 정보.

마찬가지로 동일한 평가 그룹 내에서 공유된 고객 관리 컨트롤의 정보가 동기화됩니다. 또한 동일한 평가 내에서 관련된 고객 관리 컨트롤의 정보도 동기화됩니다.

맨 위로 이동

  1. 보려는 평가에 해당하는 평가 타일을 찾은 다음 평가 이름을 클릭하여 열고 평가와 관련된 Microsoft 및 고객 관리 컨트롤과 함께 평가 범위에 포함된 클라우드 서비스 목록을 확인합니다. 다음은 Office 365 및 GDPR에 대한 평가의 예입니다.

    준수 관리자 평가 보기 - 설명선이 있는 전체 화면

    1. 이 섹션에서는 평가 그룹화 이름, 제품, 평가 이름, 평가 컨트롤 수 등의 평가 요약 정보를 보여 줍니다.

    2. 이 섹션에서는 평가 필터 컨트롤을 보여 줍니다. 평가 필터 컨트롤을 사용하는 방법에 대한 자세한 설명은 평가 프로세스 관리 섹션을 참조하세요.

    3. 이 섹션에서는 평가 범위에 포함된 개별 클라우드 서비스를 보여줍니다.

    4. 이 섹션에는 Microsoft 관리 컨트롤이 포함되어 있습니다. 관련 컨트롤은 컨트롤 제품군별로 구성됩니다. 컨트롤 제품군을 클릭하여 확장하고 개별 컨트롤을 표시합니다.

    5. 이 섹션에는 고객 관리 컨트롤이 포함되어 있으며, 또한 컨트롤 제품군별로 구성됩니다. 컨트롤 제품군을 클릭하여 확장하고 개별 컨트롤을 표시합니다.

    6. 컨트롤 제품군의 총 컨트롤 수와 해당 컨트롤 중 평가된 컨트롤 수를 표시합니다. 준수 관리자의 주요 기능은 고객 관리 컨트롤을 평가할 때 조직의 진행률을 추적하는 것입니다. 자세한 내용은 준수 점수 이해 섹션을 참조하세요.

맨 위로 이동

처음에는 평가의 작성자가 유일한 평가 사용자입니다. 각 고객 관리 컨트롤의 경우 작업 항목을 조직의 사용자에게 할당하여 해당 사용자가 권장 고객 작업을 수행하고 증거를 수집하여 업로드할 수 있는 평가 사용자가 되도록 할 수 있습니다. 작업 항목을 할당할 때 권장 고객 작업 및 작업 항목 우선 순위를 비롯한 세부 정보를 포함하는 전자 메일을 사용자에게 보내도록 선택할 수 있습니다. 전자 메일 알림에는 해당 사용자에게 할당된 모든 작업 항목을 나열하는 작업 항목 대시보드에 대한 링크가 포함됩니다.

다음은 준수 관리자의 워크플로 기능을 사용하여 수행할 수 있는 작업 목록입니다.

설명선이 포함된 준수 관리자 평가 워크플로
  1. 필터 옵션을 사용하여 특정 평가 컨트롤 찾기    준수 관리자는 필터 옵션을 통해 평가 컨트롤 표시를 위한 세분화된 선택 조건을 제공하고 준수 노력의 특정 영역을 정확하게 대상으로 지정할 수 있도록 지원합니다.  

    페이지 오른쪽에 있는 깔때기형 아이콘을 클릭하여 필터 옵션 컨트롤을 표시하거나 숨길 수 있습니다. 이러한 컨트롤을 통해 필터 조건을 지정할 수 있으며, 해당 조건에 맞는 평가 컨트롤만 아래에 표시됩니다. 준수 관리자 평가 필터 컨트롤

    • 문서 - 문서 이름을 기준으로 필터링하고 해당 문서와 연관된 평가 컨트롤을 반환합니다. 예를 들어 “Article (5)”를 입력하면 Article (5)(1)(a), Article (5)(1)(b), Article (5)(1)(c) 등 이름에 해당 문자열이 포함된 문서의 선택 목록이 반환됩니다. Article (5)(1)(c)를 선택하면 Article (5)(1)(c)와 연관된 컨트롤이 반환됩니다. 여러 값이 있는 경우 OR 연산자를 사용하는 다중 선택 필드입니다. 예를 들어 Article (5)(1)(a)를 선택한 다음 Article (5)(1)(c)를 추가하면 Article (5)(1)(a) 또는 Article (5)(1)(c)와 연관된 컨트롤이 필터에서 반환됩니다.

      준수 관리자 평가 보기 - 문서 이름을 기준으로 필터링

    • 컨트롤 - 이름이 필터에 맞는 컨트롤 목록을 반환합니다. 즉, 7.3을 입력하면 7.3.1, 7.3.4, 7.3.5 등과 같은 항목의 선택 목록이 반환됩니다. 여러 값이 있는 경우 OR 연산자를 사용하는 다중 선택 필드입니다. 예를 들어 7.3.1을 선택한 다음 7.3.4를 추가하면 7.3.1 또는 7.3.4와 연관된 컨트롤이 필터에서 반환됩니다.

      준수 관리자 평가 보기 - 컨트롤 필터링 다중 선택

    • 할당된 사용자 - 선택한 사용자에게 할당된 컨트롤 목록을 반환합니다.

    • 상태 - 선택한 상태의 컨트롤 목록을 반환합니다.

    • 테스트 결과 - 선택한 테스트 결과의 컨트롤 목록을 반환합니다.

    필터 조건을 적용하면 적용 가능한 컨트롤 보기가 필터 조건에 맞게 변경됩니다.  컨트롤 제품군 섹션을 확장하여 아래에 컨트롤 세부 정보를 표시합니다.  

    준수 관리자 평가 보기 - 문서 결과 필터링

  2. 원하는 필터를 선택한 후 아무 결과도 표시되지 않을 경우 지정한 필터 조건에 맞는 컨트롤이 없는 것입니다. 예를 들어 특정 할당된 사용자를 선택한 다음 이 사용자에게 할당된 컨트롤에 해당하는 컨트롤 이름을 선택하면 아래 페이지에 평가가 표시되지 않습니다.

  3. 사용자에게 작업 항목 할당    사용자에게 작업 항목을 할당하여 인증/규정의 요구 사항을 구현하거나 조직의 구현 요구 사항을 테스트, 확인 및 문서화할 수 있습니다. 작업 항목을 할당할 때 권장 고객 작업 및 작업 항목 우선 순위를 비롯한 세부 정보를 포함하는 전자 메일을 사용자에게 보내도록 선택할 수 있습니다. 또한 작업 항목을 할당 취소하거나 다른 사용자에게 다시 할당할 수도 있습니다.

  4. 문서 관리   고객 관리 컨트롤에는 구현 작업 수행과 테스트 및 유효성 검사 작업 수행과 관련된 문서를 관리할 수 있는 위치도 있습니다. 준수 관리자에서 데이터를 편집할 수 있는 권한이 있는 모든 사용자는 문서 관리를 클릭하여 문서를 업로드할 수 있습니다. 문서가 업로드된 후 문서 관리를 클릭하여 파일을 보고 다운로드할 수 있습니다.

  5. 구현 및 테스트 세부 정보 제공   모든 고객 관리 컨트롤에는 편집 가능한 필드가 있으며, 여기서 사용자는 조직이 인증/규정의 요구 사항을 충족하고 조직이 해당 요구 사항을 어떻게 충족하는지 확인하고 문서화하기 위해 수행하는 단계를 문서화할 수 있습니다.

  6. 상태 설정   평가 프로세스의 일부로 각 항목에 대한 상태를 설정합니다. 사용 가능한 상태 값은 구현됨, 대체 구현, 계획됨범위에 없음입니다.

  7. 테스트 날짜 및 테스트 결과 입력   준수 관리자의 평가자 역할이 있는 사용자는 적절한 테스트가 수행되었는지 확인하고 구현 세부 정보, 테스트 계획, 테스트 결과 및 업로드된 모든 증거를 검토한 다음 테스트 날짜 및 테스트 결과를 설정할 수 있습니다. 사용 가능한 테스트 결과 값은 통과, 실패 위험 낮음, 실패 위험 보통실패 위험 높음입니다.

맨 위로 이동

조직에서 평가 프로세스에 관련된 사용자는 준수 관리자를 사용하여 관련이 있는 모든 평가에서 고객 관리 컨트롤을 검토할 수 있습니다. 사용자가 준수 관리자에 로그인하여 작업 항목 대시보드를 열면 할당된 작업 항목 목록이 표시됩니다. 사용자에게 할당된 준수 관리자 역할에 따라 구현 또는 테스트 세부 정보를 제공하거나, 상태를 업데이트하거나, 작업 항목을 할당할 수 있습니다.

인증 컨트롤은 일반적으로 한 사람이 구현하고 다른 사람이 테스트하므로 처음에는 구현을 위해 한 사람에게 컨트롤 작업 항목을 할당하고, 구현이 완료되면 컨트롤 테스트 및 업로드를 위해 이 사람이 컨트롤 작업 항목을 다음 사람에게 다시 할당할 수 있습니다. 이러한 컨트롤 작업 할당/다시 할당은 충분한 권한을 가진 준수 관리자 역할의 모든 사용자가 수행할 수 있으므로, 필요에 따라 컨트롤 할당의 중앙 관리 또는 구현자부터 테스터까지 컨트롤 작업 항목의 분산 라우팅이 가능합니다.

작업 항목을 할당하려면

  1. 준수 관리자 대시보드에서 작업할 평가의 평가 타일을 찾은 다음 평가 이름을 클릭하여 평가 세부 정보 페이지로 이동합니다.

  2. 필터 단추를 클릭하고 필터 컨트롤을 사용하여 할당하려는 특정 평가 컨트롤을 찾을 수 있습니다. 또는

  3. 고객 관리 컨트롤 섹션으로 스크롤하고 컨트롤 제품군을 확장한 다음 할당할 평가 컨트롤을 찾을 때까지 컨트롤 목록을 스크롤합니다.

  4. 할당된 사용자 열에서 파란색 할당 단추를 클릭합니다.

  5. 작업 항목 할당 대화 상자에서 할당 대상 필드를 클릭하여 작업을 할당할 수 있는 사용자 목록을 채웁니다. 목록을 스크롤하여 대상 사용자를 찾거나 필드에 입력을 시작하여 사용자 이름을 검색할 수 있습니다.

  6. 사용자를 클릭하여 이 작업 항목을 할당합니다.

  7. 사용자에게 작업 항목을 알리는 전자 메일 알림을 보내려면 전자 메일 알림 보내기 확인란이 선택되었는지 확인합니다.

  8. 해당 사용자에게 표시할 메모를 입력하고 할당을 클릭합니다.

  9. 사용자는 작업 항목 할당 및 제공된 메모에 대한 알림을 받게 됩니다.

작업 항목과 연관된 메모는 메모 섹션에 유지되며, 다음에 작업 항목을 할당할 때 사용할 수 있습니다. 이 메모는 읽기 전용이 아니며, 작업 항목을 할당하는 사람이 편집하거나 바꾸거나 제거할 수 있습니다.

맨 위로 이동

평가를 Excel 파일로 내보내 조직의 준수 관련자가 검토하고 감사자 및 규제 기관에 제공하도록 할 수 있습니다. 이 평가 보고서는 보고서가 생성된 날짜 및 시간 기준의 평가 스냅숏이며, 컨트롤 구현 상태, 컨트롤 테스트 날짜 및 테스트 결과 등 해당 평가의 Microsoft 관리 컨트롤과 고객 관리 컨트롤 둘 다의 세부 정보를 포함하고 업로드된 증거 문서에 대한 링크를 제공합니다. 보관된 평가에는 업로드된 문서에 대한 링크가 유지되지 않으므로 평가를 보관하기 전에 평가 보고서를 내보내는 것이 좋습니다.

평가 보고서를 내보내려면

  1. 준수 관리자 대시보드에서 내보내려는 평가의 타일에 있는 작업 링크를 클릭한 다음 Excel로 내보내기를 선택합니다. 또는

  2. 평가 세부 정보 페이지를 보고 있는 경우, 페이지 오른쪽 위에서 평가 준수 점수 위에 있는 Excel로 내보내기 단추를 클릭합니다.

브라우저 세션에서 평가 보고서가 다운로드됩니다. 이를 알리는 팝업이 표시되지 않는 경우 브라우저의 다운로드 폴더를 확인하는 것이 좋습니다.

맨 위로 이동

평가를 완료했으며 준수를 위해 더 이상 필요하지 않은 경우 평가를 보관할 수 있습니다. 평가를 보관하면 평가 대시보드에서 제거됩니다.

참고: 평가가 보관되고 나면 '보관 취소'하거나 읽기-쓰기 진행 중 상태로 복원할 수 없습니다.  보관된 평가에는 업로드된 증거 문서에 대한 링크가 유지되지 않으므로 평가를 보관하기 전에 내보내는 것이 좋습니다. 내보낸 평가 보고서에는 증거 문서에 대한 링크가 포함되므로 문서를 계속 액세스할 수 있습니다.

평가를 보관하려면

  1. 원하는 평가의 대시보드 타일에서 작업 단추를 클릭합니다.

  2. 평가 보관을 선택합니다.

  3. 평가 보관 대화 상자가 팝업되고 이 평가를 보관할 것인지 확인하는 메시지가 표시됩니다.

  4. 보관을 계속 진행하려면 보관을 클릭하고, 보관하지 않으려면 취소를 클릭합니다.

보관된 평가를 보려면

  1. 준수 관리자 대시보드에서 보관된 평가 표시 확인란을 선택합니다.

  2. 보관된 평가 표시줄 아래의 나머지 활성 평가 아래에 새로 표시되는 섹션에 보관된 평가가 표시됩니다.

  3. 보려는 평가의 이름을 클릭합니다.

  4. 보관된 평가를 보는 경우 일반적으로 편집 가능한 컨트롤(예: 구현, 테스트 결과)이 활성화되지 않으며 관리되는 문서 단추가 없습니다.

맨 위로 이동

고객 관리 컨트롤 변경 로그

준수 관리자는 규정 요구 사항 변경과 클라우드 서비스 변경을 반영하기 위해 주기적으로 업데이트됩니다. 이러한 업데이트에는 고객 관리 컨트롤의 변경 내용이 포함됩니다. 추가 또는 변경되는 콘텐츠의 세부 정보와 변경이 기존 평가에 미치는 영향에 대한 지침을 포함하여 이러한 변경의 영향 이해를 돕기 위해 변경 로그가 제공됩니다. 일반적으로 다음 두 가지 유형의 변경이 있습니다.

  • 최대 변경은 번호가 지정된 특정 단계 추가 또는 제거 등의 고객 작업에 대한 중요한 변경이나 책임, 권장 사항 또는 증거와 관련된 지침 변경입니다. 최대 변경의 경우 영향을 받는 컨트롤의 구현 및/또는 평가를 다시 평가하는 것이 좋습니다.

  • 최소 변경은 오타 또는 서식 문제 해결, 하이퍼링크 업데이트 또는 수정과 같은 고객 작업에 대한 사소한 변경입니다. 최소 변경의 경우 일반적으로 컨트롤을 다시 평가하지 않아도 되지만 업데이트된 고객 작업을 검토하는 것이 좋습니다.

다음 표에서는 고객 관리 컨트롤에 대한 변경 내용의 세부 정보를 제공합니다. 

Office 365 고객 관리 컨트롤 - 변경 로그 

영향을 받는 컨트롤​​

변경 설명 및 권장 사항

GDPR

HIPAA

ISO 27001

ISO 27018

NIST 800-53

NIST 800-171

변경 유형

변경 설명

고객 권장 작업

6.13.2

C.16.1.1

최대

이전에는 6.12.1.1로 번호가 지정되었습니다.

권장 사항에 세부 정보가 추가되었습니다.

컨트롤을 다시 평가합니다. 고객 작업에서 업데이트된 지침을 검토하고 컨트롤 구현 및 평가에 권장되는 단계를 따르세요.

3.1.6

최대

감사 사용 및 감사 로그 검색을 포함하는 단계가 지침에 추가되었습니다.

고객 작업에서 업데이트된 권장 사항을 검토합니다.

6.8.2

A.10.2

최대

이전에는 6.7.2.9로 번호가 지정되었습니다.

추가 권장 사항과 작업 항목을 사용하여 지침이 업데이트되었습니다.

컨트롤을 다시 평가합니다. 고객 작업에서 업데이트된 지침을 검토하고 컨트롤 구현 및 평가에 권장되는 단계를 따르세요.

6.6.4

45 C.F.R. § 164.312(a)(2)(i)


45 C.F.R. § 164.312(d)

A.9.4.2

IA-2

3.5.1

최대

이전에는 6.5.2.3으로 번호가 지정되었습니다.

추가 권장 사항과 작업 항목을 사용하여 지침이 업데이트되었습니다.

컨트롤을 다시 평가합니다. 고객 작업에서 업데이트된 지침을 검토하고 컨트롤 구현 및 평가에 권장되는 단계를 따르세요.

6.13.1

45 C.F.R. § 164.308(a)(1)(i)

A.16.1

C.16.1

IR-4(a)

3.6.1

최대

이전에는 6.12.1로 번호가 지정되었습니다.

추가 권장 사항과 작업 항목을 사용하여 지침이 업데이트되었습니다.

컨트롤을 다시 평가합니다. 고객 작업에서 업데이트된 지침을 검토하고 컨트롤 구현 및 평가에 권장되는 단계를 따르세요.

6.7

최대

이전에는 6.6.1.1로 번호가 지정되었습니다.

추가 권장 사항과 작업 항목을 사용하여 지침이 업데이트되었습니다.

컨트롤을 다시 평가합니다. 고객 작업에서 업데이트된 지침을 검토하고 컨트롤 구현 및 평가에 권장되는 단계를 따르세요.

6.6.5

A.10.8

IA-3

3.5.2

최대

이전에는 6.5.4.2로 번호가 지정되었습니다.

추가 권장 사항과 작업 항목을 사용하여 지침이 업데이트되었습니다.

컨트롤을 다시 평가합니다. 고객 작업에서 업데이트된 지침을 검토하고 컨트롤 구현 및 평가에 권장되는 단계를 따르세요.

6.15.1

최대

이전에는 6.14.1.3으로 번호가 지정되었습니다.

추가 권장 사항과 작업 항목을 사용하여 지침이 업데이트되었습니다.

컨트롤을 다시 평가합니다. 고객 작업에서 업데이트된 지침을 검토하고 컨트롤 구현 및 평가에 권장되는 단계를 따르세요.

AC-2(h)(2)

최소

감사 사용 블레이드에 대한 링크가 추가되었습니다.

별도의 작업이 필요하지 않습니다.

AC-2(7)(b)

최소

감사 사용 블레이드에 대한 링크가 추가되었습니다.

별도의 작업이 필요하지 않습니다.

AC-2(h)(1)

최소

감사 사용 블레이드에 대한 링크가 추가되었습니다.

별도의 작업이 필요하지 않습니다.

45 C.F.R. § 164.308(a)(5)(ii)(C)

AC-2(g)

최소

감사 사용 블레이드에 대한 링크가 추가되었습니다.

별도의 작업이 필요하지 않습니다.

AC-2(12)

최소

감사 사용 블레이드에 대한 링크가 추가되었습니다.

별도의 작업이 필요하지 않습니다.

45 C.F.R. § 164.312(b)

A.12.4.3

AU-2(d)

최소

감사 사용 블레이드에 대한 링크가 추가되었습니다.

별도의 작업이 필요하지 않습니다.

AC-2(4)

최소

감사 사용 블레이드에 대한 링크가 추가되었습니다.

별도의 작업이 필요하지 않습니다.

3.1.7

최소

감사 사용 블레이드에 대한 링크가 추가되었습니다.

별도의 작업이 필요하지 않습니다.

A.16.1.7

C.12.4.2, 2부

최소

감사 사용 블레이드에 대한 링크가 추가되었습니다.

별도의 작업이 필요하지 않습니다.

AC-2(h)(3)

최소

감사 사용 블레이드에 대한 링크가 추가되었습니다.

별도의 작업이 필요하지 않습니다.

A.12.4.2

최소

감사 사용 블레이드에 대한 링크가 추가되었습니다.

별도의 작업이 필요하지 않습니다.

A.7.2.8

최소

콘텐츠 검색 블레이드 및 DSR 포털에 대한 링크가 추가되었습니다.

별도의 작업이 필요하지 않습니다.

45 C.F.R. § 164.308(a)(3)(ii)(C)

최소

감사 사용 블레이드 및 Office 365 관리자 역할 지원 항목에 대한 링크가 추가되었습니다.

별도의 작업이 필요하지 않습니다.

5.2.1

최소

이전에는 5.2.2로 번호가 지정되었습니다.

고객 책임에 대한 부연 설명이 지침에 추가되었습니다.

고객 작업에서 업데이트된 권장 사항을 검토합니다.

6.11.1

45 C.F.R. § 164.312(e)(2)(ii)

A.10.1.1
A.10.1.2
A.18.1.5

C.10.1.1

SC-13

3.13.11

최소

이전에는 6.10.1.2로 번호가 지정되었습니다.

오타가 수정되었습니다.

별도의 작업이 필요하지 않습니다.

7.5.1

최소

이전에 A.7.4.1로 번호가 지정되었습니다.

오타가 수정되었습니다.

별도의 작업이 필요하지 않습니다.

A.8.2.3

3.1.3

최소

불필요한 추가 문장이 제거되었습니다.

별도의 작업이 필요하지 않습니다.

45 C.F.R. § 164.308(a)(4)(i)

A.6.1.2

AC-5(a)

3.1.2
3.1.4

최소

추가 권장 사항과 작업 항목을 사용하여 지침이 업데이트되었습니다.

고객 작업에서 업데이트된 권장 사항을 검토합니다.

45 C.F.R. § 164.308(a)(7)(ii)(E)

RA-2(a)

최소

서비스 가져오기 도움말 항목 링크가 FWlink를 사용하도록 업데이트되었습니다.

별도의 작업이 필요하지 않습니다.

다음 표에는 준수 관리자에 대한 GDPR 평가 컨트롤 ID 변경 내용이 문서화되어 있습니다.

GDPR 평가 컨트롤 ID 변경 참조

이전 컨트롤 ID

새 컨트롤 ID

5.2.2

5.2.1

5.2.3

5.2.2

5.2.4

5.2.3

6.1.1.1

6.2

6.10.1.2

6.11.1

6.10.2.5

6.11.2

6.11.1.2

6.12

6.12.1

6.13.1

6.12.1.1

6.13.2

6.12.1.5

6.13.3

6.14.1.3

6.15.1

6.14.2.1

6.15.2

6.14.2.3

6.15.3

6.2.1.1

6.3

6.3.2.2

6.4

6.4.3.1

6.5.2

6.4.3.2

6.8.1

6.4.3.3

6.5.3

6.5.2

6.6.1

6.5.2.1

6.6.2

6.5.2.2

6.6.3

6.5.2.3

6.6.4

6.5.4.2

6.6.5

6.6.1.1

6.7

6.7.2.7

6.8.1

6.7.2.9

6.8.2

6.8.1.4

6.9.1

6.8.4.1

6.9.3

6.8.4.2

6.9.4

6.9.2.1

6.10.1

6.9.2.3

6.10.2

A.7.1.1

7.2.1

A.7.1.2

7.2.2

A.7.1.3

7.2.3

A.7.1.4

7.2.4

A.7.1.5

7.2.5

A.7.1.6

7.2.6

A.7.1.7

7.2.7

A.7.2.1

7.3.1

A.7.2.10

7.3.9

A.7.2.11

7.3.10

A.7.2.2

7.3.2

A.7.2.3

7.3.3

A.7.2.4

7.3.4

A.7.2.5

7.3.5

A.7.2.6

7.3.6

A.7.2.7

7.3.7

A.7.2.8

7.3.8

A.7.3.1

7.4.1

A.7.3.10

7.4.10

A.7.3.2

7.4.2

A.7.3.3

7.4.3

A.7.3.4

7.4.4

A.7.3.5

7.4.5

A.7.3.6

7.4.6

A.7.3.7

7.4.7

A.7.3.8

7.4.8

A.7.3.9

7.4.9

A.7.4.1

7.5.1

A.7.4.2

7.5.2

A.7.4.3

7.5.3

A.7.4.4

7.5.4

A.7.4.5

7.5.5

B.8.1.1

8.2.1

B.8.1.2

8.2.2

B.8.1.3

8.2.3

B.8.1.4

8.2.4

B.8.1.5

8.2.5

B.8.1.6

8.2.6

B.8.2.1

8.3.1

B.8.3.1

8.4.1

B.8.3.2

8.4.2

B.8.3.3

8.4.3

B.8.4.1

8.5.1

B.8.4.2

8.5.2

B.8.4.3

8.5.4

B.8.4.4

8.5.5

B.8.4.5

8.5.3

B.8.4.6

8.5.6

B.8.4.7

8.5.7

B.8.4.8

8.5.8

맨 위로 이동

참고 항목

Office 기술 확장
교육 살펴보기
새로운 기능 우선 가져오기
Office Insider 참여

이 정보가 유용한가요?

의견 주셔서 감사합니다!

피드백을 주셔서 감사합니다. Office 지원 에이전트와 연락하는 것이 도움이 될 것 같습니다.

×