Use o Gerenciador de Conformidade para ajudar a atender às exigências regulatórias e de proteção de dados ao usar os serviços em nuvem da Microsoft.

O Gerenciador de Conformidade não está disponível para o Office 365 operado pela 21Vianet, Office 365 Germany, Office 365Government Community High (GCC High) dos EUA ou para o Office 365 Department of Defense.

O Gerenciador de Conformidade , uma ferramenta de avaliação de risco baseada no fluxo de trabalho do Portal de Confiança do Serviço da Microsoft, possibilita rastrear, atribuir e verificar as atividades de conformidade regulamentar da sua empresa relacionadas aos Serviços Profissionais da Microsoft e aos serviços em nuvem da Microsoft, como o Microsoft Office 365, o Microsoft Dynamics 365 e o Microsoft Azure. Gerenciador de Conformidade:

  • Combina as informações detalhadas fornecidas pela Microsoft para auditores e reguladores como parte de auditorias de terceiros dos serviços em nuvem da Microsoft em relação a vários padrões (como ISO 27001, ISO 27018 e NIST, por exemplo) e as informações que a Microsoft compila internamente para a própria conformidade com regulamentações (como a HIPAA e a Regulamentação Geral de Proteção de Dados ou RGPD da UE) com a sua própria autoavaliação da conformidade da sua organização com esses padrões e regulamentações.

  • Permite atribuir, controlar e registrar as atividades relacionadas à avaliação, que podem ajudar sua organização a vencer barreiras de equipes para alcançar as metas de conformidade da sua organização.

  • Oferece uma Pontuação de Conformidade para ajudar a rastrear o andamento e a priorizar os controles de auditoria que ajudam a reduzir a exposição da sua organização ao risco.

  • Oferece um repositório seguro para carregar e gerenciar evidências e outros artefatos relacionados às suas atividades de conformidade.

  • Produz relatórios ricamente detalhados no Microsoft Excel que documentam as atividades de conformidade executadas pela Microsoft e sua organização, e podem ser fornecidos para auditores, reguladores e outros interessados na conformidade.

Importante: O Gerenciador de Conformidade é um painel que fornece um resumo dos status de conformidade e de proteção de dados, com recomendações para melhorá-los. As Ações do Cliente fornecidas no Gerenciador de Conformidade são apenas recomendações. Cabe a cada organização avaliar a eficácia dessas recomendações face aos próprios quadros regulatórios antes da implementação. As recomendações encontradas no Gerenciador de Conformidade não devem ser interpretadas como garantia de conformidade.

Sumário

Tópicos conceituais   

Usar a pesquisa

Suporte de localização

Avaliações no Gerenciador de Conformidade

Permissões e acesso baseado na função

Noções básicas sobre a Pontuação de Conformidade

Metodologia de pontuação de conformidade

Agrupamento de Avaliações

Funções administrativas   

Atribuir funções do Gerenciador de Conformidade aos usuários

Configurações de Privacidade do Usuário

Usar o Gerenciador de Conformidade   

Acessar o Gerenciador de Conformidade

Usar o painel do Gerenciador de Conformidade

Exibir itens de ação

Adicionar uma Avaliação

Copiar informações de Avaliações existentes

Exibir Avaliações

Gerenciar o processo de avaliação

Gerenciar Itens de Ação

Exportar informações de uma Avaliação

Arquivar uma Avaliação

Log de alterações do controle gerenciado pelo cliente   

Log de alterações

Tópicos conceituais

O Gerenciador de Conformidade é uma ferramenta de avaliação de risco baseada no fluxo de trabalho projetada para ajudar você a gerenciar a conformidade regulamentar no modelo de responsabilidade compartilhada da nuvem. O Gerenciador de Conformidade oferece um modo de exibição do painel de padrões, regulamentações e avaliações que contêm os detalhes da implementação de controles e os resultados de testes da Microsoft, além da orientação e acompanhamento da implementação de controles do cliente que sua organização deverá fornecer. O Gerenciador de Conformidade fornece definições de controles de avaliação de certificação, orientações sobre a implementação e testes de controles, a classificação de controles ponderada por risco, o gerenciamento de acesso baseado na função e um fluxo de trabalho de atribuição de controle in-loco para controlar a implementação de controles, o status de testes e o gerenciamento de evidências. O Gerenciador de Conformidade otimiza a carga de trabalho da conformidade, permitindo que os clientes agrupem as avaliações logicamente e apliquem os testes de controle de avaliação a controles idênticos ou relacionados, reduzindo a duplicação de esforços que seriam necessários para atender aos requisitos de controle idênticos em certificações diferentes.

Portal de Confiança do Serviço - campo de entrada de pesquisas

Clique na lupa no canto superior direito da página para abrir o campo de entrada Pesquisar, insira os termos de pesquisa e pressione Enter.  O controle da pesquisa aparecerá, com o termo de pesquisa no campo de entrada do painel de pesquisa, e os resultados da pesquisa aparecerão abaixo.

Como padrão, a Pesquisa retorna resultados em Documento, e você pode usar os menus suspensos Filtrar por para refinar a lista de documentos exibida e adicionar ou remover resultados de pesquisa da visualização. Use vários atributos de filtro ao mesmo tempo para restringir os documentos retornados a serviços em nuvem, categorias de práticas de segurança ou conformidade, regiões do mundo ou setores específicos. Clique no link do nome do documento para baixá-lo.

Portal de Confiança do Serviço - pesquisa em documentos com filtro aplicado

Clique no link Gerenciador de Conformidade para exibir os resultados de Pesquisa para controles de gerenciamento do Gerenciador de Conformidade. Os resultados da pesquisa listados mostram a data em que a avaliação foi criada, o nome da do agrupamento de avaliação, o serviço de nuvem aplicável, e se os controles são da Microsoft ou gerenciados pelo cliente.

Portal de Confiança do Serviço - pesquisa em controles de gerenciamento de conformidade

Observação: Os relatórios e documentos do Portal de Confiança do Serviço ficam disponíveis para download por pelo menos doze meses após a publicação, ou até que uma nova versão do documento fique disponível.

Voltar ao início

O Portal de Confiança do Serviço permite visualizar o conteúdo da página em diferentes idiomas.  Para alterar o idioma da página, basta clicar no ícone do globo no canto inferior esquerdo da página e selecionar o idioma desejado. 

Portal de Confiança do Serviço - opções de conteúdo localizado

Voltar ao início

O principal componente do Gerenciador de Conformidade é a Avaliação. Uma Avaliação é uma análise de um serviço da Microsoft em relação a uma certificação ou regulamentação padrão de proteção de dados (como ISO 27001:2013 e RGPD). Avaliações ajudam a discernir a postura de conformidade e de proteção de dados da sua organização em relação ao padrão do setor selecionado para o serviço em nuvem da Microsoft selecionado. As Avaliações são concluídas pela implementação dos controles que fazem o mapeamento para o padrão de certificação que será avaliado.

A estrutura de uma Avaliação tem como base a responsabilidade compartilhada entre a Microsoft e sua organização para avaliar os riscos à segurança e à conformidade na nuvem e para implementar salvaguardas de proteção de dados especificadas por um padrão de conformidade, um padrão de proteção de dados, uma regulamentação ou uma lei.

Uma Avaliação é composta por vários componentes, que são:

Serviços dentro do Escopo  Cada avaliação se aplica a um conjunto específico de serviços da Microsoft que são listados na seção de serviços dentro do Escopo.

Controles Gerenciados pela Microsoft   Para cada serviço em nuvem, a Microsoft implementa e gerencia um conjunto de controles como parte da conformidade da Microsoft com vários padrões e regulamentações. Esses controles são organizados em famílias de controles que se alinham com a estrutura de certificação ou regulamentação correspondente à qual a Avaliação está alinhada. Para cada controle gerenciado pela Microsoft, o Gerenciador de Conformidade oferece detalhes sobre como a Microsoft implementou o controle, além de como e quando essa implementação foi testada e validada por um auditor independente terceirizado.

Veja um exemplo de três controles gerenciados pela Microsoft na família de controles Segurança de uma Avaliação do Office 365 e do RGPD.

Detalhes dos controles gerenciados da Microsoft no Gerenciador de Conformidade
  1. Especifica as seguintes informações da certificação ou regulamentação que mapeiam para o controle gerenciado da Microsoft.

    • ID do Controle   O número do artigo ou da seção da certificação ou da regulamentação para o qual o controle mapeia.

    • Título   O título da regulamentação ou certificação correspondente.

    • ID do Artigo   Este campo é incluído somente para as avaliações do RGPD. Ele especifica o número correspondente ao artigo do RGPD.

    • Descrição   Texto do padrão ou da regulamentação que mapeia para o controle gerenciado pela Microsoft selecionado.

  2. A Pontuação de Conformidade do controle, que indica o nível de risco (devido a falhas de controle ou não conformidade) associado a cada controle gerenciado da Microsoft. Saiba mais em Noções básicas sobre a Pontuação de Conformidade. As Pontuações de Conformidade são classificadas de 1 a 10 e identificadas por cores. Amarelo indica controles de baixo risco, laranja indica controles de médio risco e vermelho indica controles de alto risco.

  3. Informações sobre o status de implementação de um controle, a data em que o controle foi testado, quem executou o teste e o resultado do teste.

  4. Para cada controle, clique em Mais para ver mais informações, como detalhes sobre a implementação do controle pela Microsoft e detalhes sobre como o controle foi testado e validado por um auditor independente terceirizado.

Controles Gerenciados pelo Cliente   Este é o conjunto de controles gerenciados pela sua organização. Ela é responsável por implementá-los como parte do processo de conformidade com um determinado padrão ou regulamentação. Os controles gerenciados pelo cliente também são organizados em famílias de controles para a regulamentação ou a certificação correspondente. Use os controles gerenciados pelo cliente para implementar as ações recomendadas que a Microsoft sugeriu como parte das suas atividades de conformidade. Sua organização pode usar a orientação prescritiva e as Ações do Cliente recomendadas em cada controle gerenciado pelo cliente para gerenciar o processo de implementação e avaliação desse controle.

Os controles gerenciados pelo cliente em avaliações também têm a funcionalidade interna de gerenciamento de fluxo de trabalho que você pode usar para gerenciar e acompanhar o andamento da organização para concluir a Avaliação. Por exemplo, um responsável pela conformidade na sua organização pode atribuir um Item de Ação a um administrador de TI que tem a responsabilidade e as permissões necessárias para executar as ações recomendadas para o controle. Após a conclusão do trabalho, o administrador de TI pode carregar as evidências das próprias tarefas de implementação (por exemplo, capturas de tela da configuração ou definição de políticas) e depois reatribuir os Itens de Ação ao responsável pela conformidade para ele avaliar as evidências coletadas, testar a implementação do controle e registrar a data da implementação e os resultados do teste no Gerenciador de Conformidade. Saiba mais na seção Gerenciar o processo de avaliação do artigo.

Voltar ao início

Por padrão, todos em sua organização com uma conta do Office 365 ou do Azure AD têm acesso ao Gerenciador de Conformidade e podem executar qualquer ação no Gerenciador de Conformidade . Para alterar de permissões padrão para o modelo de controle de acesso baseado na função, pelo menos um usuário deve ser adicionado a cada função do Gerenciador de Conformidade (confira as instruções a seguir). Depois que um usuário é adicionado a uma função, as permissões que realizam as ações atribuídas à função são removidas e somente os usuários que foram adicionados a essa função poderão acessar o Gerenciador de Conformidade e executar as ações permitidas por essa função.

Após a implementação do acesso baseado na função, os usuários que não estiverem atribuídos a uma função definida do Gerenciador de Conformidade terão Acesso de Convidado.

Observação: Para implementar totalmente o controle de acesso baseado na função para controlar quem pode acessar e executar ações no Gerenciador de Conformidade , é necessário adicionar um usuário a cada função para alterar as permissões padrão. Por exemplo, se você adicionar um usuário a uma função que permite que os usuários gerenciem Avaliações, somente os membros dessa função poderão gerenciar Avaliações. Da mesma forma, se você não adicionar um usuário à função que permite que os usuários leiam os dados das Avaliações, então todos os usuários da sua organização poderão acessar o Gerenciador de Conformidade e ler os dados de qualquer Avaliação.

A tabela a seguir descreve cada permissão do Gerenciador de Conformidade e o que cada usuário pode fazer. A tabela também indica a função à qual cada permissão é atribuída.

Leitor do Gerenciador de Conformidade

Colaborador do Gerenciador de Conformidade

Avaliador do Gerenciador de Conformidade

Administrador do Gerenciador de Conformidade

Administrador do Portal

Ler dados    Os usuários podem ler, mas não editar os dados.

Marca de seleção

Marca de seleção

Marca de seleção

Marca de seleção

Marca de seleção

Editar dados    Os usuários podem editar todos os campos, exceto os campos Data do teste e Resultado do teste.

Marca de seleção

Marca de seleção

Marca de seleção

Marca de seleção

Editar os resultados do teste    Os usuários podem editar os campos Data do teste e Resultado do teste.

Marca de seleção

Marca de seleção

Marca de seleção

Gerenciar avaliações    Os usuários podem criar, arquivar e excluir Avaliações.

Marca de seleção

Marca de seleção

Gerenciar usuários    Os usuários podem adicionar outros usuários da organização às funções de Leitor, Colaborador, Avaliador e Administrador. Somente os usuários da sua organização com a função de Administrador Global podem adicionar ou remover usuários da função de Administrador do Portal.

Marca de seleção

Acesso de Convidado

Após configurar o acesso ao Gerenciador de Conformidade, os usuários que não tiverem uma função provisionada serão apresentados na função Acesso de Convidado por padrão (o mesmo acontece com todas as contas que não são provisionadas pela organização como as Contas da Microsoft pessoais).  Os usuários com Acesso de Convidado não têm acesso total a todos os recursos do Gerenciador de Conformidade e não podem ver os dados da avaliação de conformidade da organização. No entanto, esses usuários podem usar o Gerenciador de Conformidade para exibir os relatórios das avaliações de conformidade e os documentos da Confiança do Serviço da Microsoft.  Para ilustrar o que poderá ou não ser acessado, confira as imagens abaixo e observe os recursos acessíveis, organizados em azul, e os inacessíveis, em vermelho.

Painel do Gerenciador de Conformidade – experiência de acesso de convidados

Gerenciador de Conformidade – gráfico de acesso do convidado

Voltar ao início

No Painel, o Gerenciador de Conformidade exibe uma pontuação total para as avaliações do Office 365 no canto superior direito do bloco. Esta é a Pontuação de Conformidade total geral da Avaliação e representa o acúmulo de pontos recebidos de cada avaliação de controle que foi implementada e testada em uma Avaliação. Ao adicionar uma Avaliação, você verá que a Pontuação de Conformidade total já representa uma determinada fração do percurso até a conclusão porque os pontos dos controles gerenciados pela Microsoft que foram implementados pela Microsoft e testados por terceiras partes independentes já foram aplicados.

Painel do Gerenciador de Conformidade – Pontuação Conformidade Total

Os demais pontos são provenientes da avaliação bem-sucedida dos controles do cliente, da implementação e testes dos controles de gerenciamento de clientes, cada uma com um valor específico que contribui para a pontuação de conformidade geral.  

Cada Avaliação exibe uma Pontuação de Conformidade com base em risco para ajudá-lo a avaliar o nível de risco (devido a reprovação por falta de conformidade ou controle) associado a cada controle (inclusive os controles gerenciados pela Microsoft e pelo cliente) em uma Avaliação.  A cada controle gerenciado pelo cliente é atribuído a um número de pontos possíveis (chamados de classificação da gravidade), em uma escala de 1 a 10, onde mais pontos serão concedidos para controles associados a um fator de risco mais alto se o controle falhar e menos pontos serão concedidos para controles de risco menores.

Por exemplo, o controle de avaliação do Gerenciamento de Acesso do Usuário mostrado abaixo tem uma classificação de risco de gravidade muito alta e exibe um valor atribuído de 10.

Gerenciador de Conformidade – Alta severidade do controle de avaliação – pontuação 10

 Se comparados, o controle de avaliação do Backup de Informações mostrado abaixo tem uma classificação de risco de gravidade mais baixa e exibe um valor atribuído de 3.

Gerenciador de Conformidade – Baixa severidade do controle de avaliação – pontuação 3

O Gerenciador de Conformidade atribui uma classificação de gravidade padrão para cada controle. As classificações de risco são calculadas com base nos seguintes critérios:

  • Se um controle impede que incidentes aconteçam (classificação mais alta), detecta incidentes que aconteceram ou corrige o impacto de um incidente (classificação mais baixa). Em termos de classificação de gravidade, um controle que impede uma ameaça e é obrigatório recebe o maior número de pontos; controles de detecção ou corretivos (independentemente de serem obrigatórios e opcionais) recebem o menor número de pontos.

  • Se um controle (depois de ser implementado) for obrigatório e, portanto, não puder ser ignorado por usuários (por exemplo, os usuários precisam redefinir suas senhas, atendendo aos requisitos de comprimento e caracteres) ou se for opcional e puder ser ignorado pelo usuário (por exemplo, regras de negócios que exigem que os usuários bloqueiem suas telas quando os computadores estão sem supervisão).

  • Controles relacionados a riscos à confidencialidade, integridade e disponibilidade de dados, quer esses riscos venham de ameaças internas ou externas, sejam as ameaças mal-intencionadas ou acidentais. Por exemplo, mais pontos seriam atribuídos a controles que possam ajudar a impedir que um invasor externo viole a rede e obtenha acesso a informações de identificação pessoal do que outro controle relacionado a evitar que um funcionário acidentalmente configure de forma incorreta um roteador de rede que resulte em uma interrupção de rede.

  • Riscos relacionados a drivers legais e externos, como contratos, regulamentos e compromissos públicos, para cada controle.

Os valores exibidos da Pontuação de Conformidade do controle são aplicados na totalidade à Pontuação Total de Conformidade com base na aprovação/reprovação, se o controle foi implementado e aprovado, ou não, no teste de avaliação subsequente. Não serão aplicados créditos parciais a uma implementação parcial.   Os pontos atribuídos serão adicionados à Pontuação Total de Conformidade somente quando o controle tiver seu Status de Implementação definido como Implementado ou Implementação Alternativa e o Resultado do Teste estiver definido como Aprovado.  

O mais importante é que a Pontuação de Conformidade pode ajudar a priorizar em quais controles você deve se concentrar na implementação porque ela indica os controles cujo potencial de risco é maior, caso ocorra uma falha relacionada a um controle.  Além da priorização baseada no risco, vale a pena observar que, nos locais onde os controles de avaliação estão relacionados a outros controles (seja na mesma avaliação ou em outra avaliação que esteja no mesmo agrupamento de avaliações), concluir um único controle com sucesso pode resultar em uma redução significativa do esforço baseado na sincronização dos resultados de testes de controle.

Por exemplo, na imagem abaixo vemos que, atualmente, a 46% da Avaliação RGPD – Office 365 já foi concluída, com 51 das 111 avaliações de controle concluídas para uma Pontuação Total de Conformidade de 289 em 600 possíveis.

Gerenciador de Conformidade – Resumo da Avaliação

No controle do RGPD de avaliação, 7.5.5 está relacionado a outros 5 controles (7.4.1, 7.4.3, 7.4.4, 7.4.8 e 7.4.9) com uma pontuação de classificação de gravidade de risco de moderada a alta, 6 ou 8 pontos).  Por meio do filtro de avaliação, marcamos todos esses controles, tornando-os visíveis no modo de exibição de avaliação e podemos ver abaixo que nenhum deles foi avaliado.    

Gerenciador de Conformidade – Exibição da Avaliação – Controles de filtragem, nenhum selecionado Como esses 6 controles estão relacionados, a conclusão de qualquer um deles resultará em uma sincronização dos resultados do teste nos controles relacionados dentro dessa avaliação (como ocorrerá para todos os controles relacionados em uma avaliação que esteja no mesmo agrupamento de avaliações). Após a conclusão da implementação e do teste do controle de RGPD 7.5.5, a área de detalhes do controle será atualizada para mostrar que todos os 6 controles foram avaliados, com um aumento correspondente no número de controles avaliados para 57 e 51% avaliados, e uma mudança na Pontuação Total de Conformidade de mais de 40.

Exibição da Avaliação do Gerenciador de Conformidade – resultados de controle sincronizados

Essa caixa de diálogo de atualização de confirmação será exibida se você estiver prestes a alterar o Status de Implementação de um controle relacionado de forma a impactar os demais controles relacionados.

Avaliação do Gerenciador de Conformidade – caixa de diálogo de confirmação de atualização de controles relacionados

Observação: Atualmente, apenas as Avaliações de serviços em nuvem do Office 365 incluem uma Pontuação de Conformidade. As Avaliações do Azure e do Dynamics mostram um status de avaliação.

Voltar ao início

A Pontuação de Conformidade, assim como a Classificação de Segurança da Microsoft, se assemelha a outros sistemas de pontuação com base em comportamentos. A atividade da sua organização pode aumentar a Pontuação de Conformidade com a execução de ações relacionadas a segurança, privacidade e proteção de dados.

Observação: A Pontuação de Conformidade não representa uma medida absoluta de conformidade organizacional com qualquer regulamentação ou padrão específico. O que ela mostra é até que ponto os controles adotados são capazes de reduzir riscos a dados pessoais e à privacidade individual. Nenhum serviço pode garantir conformidade com um padrão ou uma regulamentação, e a Pontuação de Conformidade não deve ser interpretada de forma alguma como garantia.

As avaliações na Pontuação de Conformidade se baseiam no modelo de responsabilidade compartilhada para a computação em nuvem. No modelo de responsabilidade compartilhada, a Microsoft e cada cliente compartilham a responsabilidade pela proteção dos dados do cliente quando esses dados são armazenados em nossa nuvem.

Como se vê na Avaliação de RGPD do Office 365 abaixo, tanto a Microsoft como os clientes são responsáveis por executar diversas Ações projetadas para atender aos requisitos do padrão ou da regulamentação em avaliação. O Gerenciador de Conformidade trata todos os padrões e regulamentações como se fossem estruturas de controle, a fim de racionalizar e compreender as Ações exigidas. Desse modo, as Ações realizadas pela Microsoft e pelos clientes para cada Avaliação envolvem a implementação e a validação de diversos controles.

Gerenciador de Conformidade – Avaliação RGPD

O fluxo de trabalho básico de uma Ação comum é o seguinte:

  1. O diretor de conformidade, riscos, privacidade e/ou proteção de dados de uma organização atribui a tarefa de implementar um controle a uma pessoa da organização. Essa pessoa pode ser:

    1. um proprietário da política comercial;

    2. um implementador de TI; ou

    3. outra pessoa na organização com a responsabilidade de executar a tarefa.

  2. Essa pessoa executa as tarefas necessárias para implementar o controle, carrega as evidências de implementação no Gerenciador de Conformidade e marca o(s) controle(s) associado(s) à Ação como implementados. Depois de concluídas as tarefas, a Ação é atribuída a um Assistente para validação. Os Assistentes podem ser:

    1. assistentes internos que executam a validação de controles na organização; ou

    2. assistentes externos que examinam, verificam e certificam a conformidade, como organizações independentes externas que fazem auditoria nos serviços em nuvem da Microsoft.

  3. O Assistente valida o controle e examina as evidências, marcando o(s) controle(s) como avaliado(s) e os resultados da avaliação (por exemplo, aprovado).

Depois de todos os controles associados a uma Avaliação serem avaliados, ela é considerada concluída.

No Gerenciador de Conformidade, toda Avaliação vem previamente carregada com informações que fornecem detalhes sobre as Ações que a Microsoft tomou para atender aos requisitos de controles pelos quais ela é responsável. Essas informações incluem detalhes sobre como a Microsoft implementou cada controle e como e quando a implementação da Microsoft foi avaliada e verificada por um auditor externo. Por esse motivo, os Controles Gerenciados da Microsoft para cada Avaliação são marcados como Avaliado, e a Pontuação de Conformidade da Avaliação reflete isso.

Toda Avaliação inclui uma Pontuação de Conformidade total com base no modelo de responsabilidade compartilhada. A implementação e os testes de controle do Office 365 da Microsoft fornecem parte dos pontos totais possíveis associados a uma avaliação de RGPD. À medida que o cliente implementa e testa cada uma das Ações do cliente, a Pontuação de Conformidade da Avaliação aumenta de acordo com o valor atribuído ao controle.

Metodologia de pontuação baseada em risco

O Gerenciador de Conformidade usa uma metodologia de pontuação com base em risco com uma escala de 1 a 10, que atribui um valor maior aos controles que representam maior risco no caso de falha do controle ou de falta de conformidade. O sistema de pontuação usado pela Pontuação de Conformidade se baseia em diversos fatores importantes, como:

  1. a essência do controle;

  2. o nível de risco do controle com base nos tipos de ameaça; e

  3. os drivers externos para o controle.

Gerenciador de Conformidade – Metodologia de Pontuação de Conformidade

A essência do controle

A essência do controle se baseia em se o controle é Obrigatório ou Opcional e se é de Prevenção, Detecção ou Correção.

Obrigatórios ou Opcionais

Os controles Obrigatórios não podem ser ignorados intencional ou acidentalmente. Um exemplo de controle obrigatório comum é uma política de senha gerenciada centralmente que define os requisitos de tamanho, complexidade e caducidade da senha. Os usuários precisam atender a essas exigências para acessar o sistema.

Os controles Opcionais dependem da compreensão da política pelos usuários para agir adequadamente. Por exemplo, uma política que exige o bloqueio do computador pelo usuário quando ele se ausenta é um controle opcional porque depende do usuário.

Prevenção, Detecção ou Correção

Os Controles de Prevenção são os que impedem riscos específicos. Por exemplo, a proteção de informações em repouso com uso de criptografia é um controle de prevenção contra ataques, invasões, etc. A separação de funções é um controle de prevenção no gerenciamento de conflitos de interesses e na proteção contra fraudes.

Os Controles de Detecção monitoram ativamente os sistemas para identificar condições ou comportamentos irregulares que representem riscos ou que possam ser usados para detectar invasões ou determinar se ocorreu uma violação. A auditoria de acessos ao sistema e a auditoria de medidas administrativas com privilégio são tipos de controles de monitoramento de detecção. As auditorias de conformidade regulatória são um tipo de controle de detecção usado para encontrar problemas de processo.

Os Controles de Correção tentam mitigar os efeitos negativos de um incidente de segurança, tomar ações corretivas para reduzir o efeito imediato e reverter os danos, se possível. A resposta de incidente de privacidade é um controle de correção para limitar os danos e restaurar os sistemas a um estado operacional após uma invasão.

Avaliando cada controle com o uso desses fatores, é possível determinar a essência dele e atribuir um valor a ele em relação ao risco representado.

Ameaça

Obrigatório

Opcional

Prevenção

Risco alto

Risco médio

Detecção

Risco médio

Risco baixo

Correção

Risco médio

Risco baixo

Ameaça é tudo o que representa um risco ao padrão fundamental de segurança universalmente aceito, conhecido como a tríade CID dos dados: Confidencialidade, Integridade e Disponibilidade:

  • Confidencialidade significa que as informações podem ser lidas e compreendidas apenas pelas partes autorizadas e confiáveis.

  • Integridade significa que as informações não foram modificadas ou destruídas por pessoas não autorizadas.

  • Disponibilidade significa que as informações podem ser acessadas facilmente com um alto nível de qualidade do serviço.

Uma falha em quaisquer dessas características é tida como um comprometimento do sistema como um todo. As ameaças podem vir de fontes internas e externas, e a intenção do agente pode ser acidental ou mal-intencionada. Esses fatores são estimados em uma matriz de ameaças que atribui níveis de ameaça Alto, Moderado ou Baixo a cada combinação de cenários.

Interna

Externa

Mal-intencionado

Acidental

Mal-intencionado

Acidental

Confidencialidade

(A, M ou B)

(A, M ou B)

(A, M ou B)

(A, M ou B)

Integridade

(A, M ou B)

(A, M ou B)

(A, M ou B)

(A, M ou B)

Disponibilidade

(A, M ou B)

(A, M ou B)

(A, M ou B)

(A, M ou B)

Drivers externos

Contratos

Regulamentos

Compromissos públicos

(A, M ou B)

(A, M ou B)

(A, M ou B)

Fatores externos como regulamentos, contratos e compromissos públicos podem influenciar os controles desenvolvidos para proteger dados e evitar as violações de dados. Cada um desses fatores recebe uma atribuição de valor de risco Alto, Moderado ou Baixo.

A quantidade de ocorrências estimada dos valores de risco Alto, Moderado ou Baixo nos 15 possíveis cenários de risco representados na Ameaça/CID e nos Drivers Jurídicos/Externos se combinam para fornecer um peso de riscos. Esse peso considera se a probabilidade e a quantidade de ocorrências de riscos em um determinado valor são significativas, além de ser considerado no cálculo de classificação de gravidade do controle.

O controle recebe uma atribuição de valor de pontuação de conformidade com base na classificação de gravidade: um número entre 1 (baixo) e 10 (alto), agrupado nas seguintes categorias de risco:

Nível de risco

Valor do controle

Baixo

1 a 3

Moderado

6

Alto

8

Grave

10

Com a priorização dos controles de avaliação nos valores mais altos de pontuação de conformidade, a organização se concentra nos itens de maior risco e recebe comentários positivos proporcionalmente mais altos na forma de mais pontos adicionados à pontuação total de conformidade para a avaliação por cada avaliação de controle concluída.

Resumo

A Pontuação de Conformidade é fundamental na maneira com que o Gerenciador de Conformidade ajuda as organizações a entender e gerenciar a conformidade. A Pontuação de Conformidade de uma avaliação representa a conformidade da empresa a um determinado padrão ou regulamentação em forma de número, em que quanto maior a pontuação (até a quantidade máxima de pontos alocados para a Avaliação), melhor a postura de conformidade da empresa. É fundamental para a priorização de ações das organizações o entendimento da metodologia de pontuação de conformidade, em que os controles de avaliação recebem valores de gravidade de risco que vão de 1 a 10 (baixo para alto), e de como a conclusão das avaliações de controle contribuem para a pontuação total de conformidade.

Voltar ao início

Ao criar uma nova Avaliação, você deve criar um novo grupo ao qual ela será atribuída ou atribua a Avaliação a um grupo existente. Grupos permitem organizar Avaliações de forma lógica e compartilhar informações comuns e tarefas de fluxo de trabalho entre Avaliações com os controles gerenciados pelo cliente iguais ou relacionados.

Por exemplo, é possível agrupar avaliações por ano ou equipes, departamentos ou agências na sua organização e depois agrupá-las por ano. Veja alguns exemplos de grupos e as Avaliações que eles podem conter.

  • Avaliações de RGPD – 2018

    • Office 365 + RGPD

    • Azure + RGPD

    • Dynamics + RGPD

  • Avaliações de Azure – 2018

    • Azure + RGPD

    • Azure + ISO 27001:2013

    • Azure + ISO 27018:2014

  • Avaliações de Privacidade e Segurança de Dados

    • Office 365 + ISO 27001:2013

    • Office 365 + ISO 27018:2014

    • Azure + ISO 27001:2013

    • Azure + ISO 27018:2014

Dica: Recomendamos determinar uma estratégia de agrupamento para sua organização antes de começar a adicionar novas avaliações.

Veja os requisitos para agrupar avaliações:

  • Os nomes de grupo (também chamados de IDs do Grupo) devem ser exclusivos na sua organização.

  • Os grupos podem conter Avaliações para a mesma certificação/regulamentação, mas cada grupo só pode conter uma Avaliação para um par certificação/serviços em nuvem específico. Por exemplo, um grupo não pode conter duas Avaliações para o Office 365 e o RGPD. Da mesma forma, um grupo pode conter várias Avaliações no mesmo serviço de nuvem desde que a certificação/regulamentação correspondente para cada uma delas seja diferente.

Após uma avaliação ser adicionada a um agrupamento de avaliações, o agrupamento não poderá ser alterado. Você pode renomear o grupo de avaliação, mas isso alterará o nome do agrupamento de avaliações de todas as avaliações associadas a esse grupo. Você pode criar uma nova avaliação e um novo grupo de avaliação e copiar informações de uma avaliação existente, o que efetivamente criará uma duplicata dessa avaliação em um grupo de avaliação diferente. Arquivar uma avaliação quebra a relação entre essa avaliação e o grupo de avaliação. Quaisquer outras atualizações realizadas em outras avaliações relacionadas já não serão refletidas na avaliação arquivada.

Como explicado anteriormente, a principal vantagem de usar grupos é que, quando duas Avaliações diferentes do mesmo grupo compartilharem o mesmo controle gerenciado pelo cliente (e, portanto, as ações do cliente seriam as mesmas para cada controle), então a conclusão dos detalhes da implementação, as informações do teste e os status do controle de uma Avaliação serão sincronizados para o mesmo controle em qualquer outra Avaliação do grupo. Em outras palavras, se essas Avaliações compartilham o mesmo controle e estão no mesmo grupo, você só precisa gerenciar o processo de avaliação desse controle em uma Avaliação. Os resultados desse controle serão sincronizados automaticamente com outras Avaliações. Por exemplo, ISO 27001 e ISO 27018 têm um controle relacionado a políticas de senha. Se o Status do Teste do controle de uma avaliação estiver definido como “Aprovado”, o controle será atualizado (e marcado como “Aprovado”) na outra Avaliação, desde que ambas as avaliações façam parte do mesmo Grupo de Avaliação.

Como um exemplo disso, considere esses dois controles de avaliação relacionados, cada um relacionado à criptografia de dados em redes públicas, controle 6.10.1.2 na avaliação RGPD – Office 365 e controle SC-13 na avaliação Office 365 – NIST 800–53. Estes são os controles de avaliação relacionados, em duas avaliações diferentes, ambas no Grupo Padrão. Inicialmente, nenhuma avaliação concluiu as avaliações de controle do cliente, conforme exibido no Painel do Gerenciador de Conformidade que mostra uma dessas duas Avaliações.

Gerenciador de Conformidade – avaliações agrupadas – antes

Ao clicar na avaliação Office 365 – RGPD, usando os controles de filtro para exibir o controle RGPD 6.10.1.2, podemos ver que o controle SC 13 na NIST 800-53 está listado como um controle relacionado.

Avaliação do Gerenciador de Conformidade – controles compartilhados

 Aqui mostramos a conclusão da implementação e dos testes do controle de RGPD 6.10.1.2. 

Controle da Avaliação do Gerenciador de Conformidade GDPR 6.10.1.2 – aprovado

Ao navegar para o controle relacionado na avaliação agrupada, vemos que o NIST 800-53 SC-13 também foi marcado como concluído com a mesma data e hora, sem implementação adicional ou esforço de teste.

Avaliação do Gerenciador de Conformidade – NIST 800-53 SC(13) concluído

De volta ao Painel, podemos ver que cada avaliação tem 1 avaliação de controle concluída e que a Pontuação Total de Conformidade para cada avaliação aumentou em 8 (o valor da pontuação de conformidade desse controle compartilhado).

Painel do Gerenciador de Conformidade – sincronização de progresso de avaliações agrupadas

Voltar ao início

Funções Administrativas

Existem funções administrativas específicas que estão disponíveis apenas para a conta de administrador do locatário e só estarão visíveis quando estiverem conectadas como administrador global.

Observação: A permissão Acesso a Documentos Restritos na lista suspensa permite que os administradores concedam aos usuários acesso a documentos restritos que a Microsoft compartilha no Portal de Confiança do Serviço. O recurso Documentos Restritos não está disponível, mas estará em breve.

Cada função do Gerenciador de Conformidade tem permissões um pouco diferentes. Você pode exibir as permissões atribuídas a cada função, ver quais usuários estão em quais funções e adicionar ou remover usuários dessa função por meio do Portal de Confiança do Serviço marcando o item de menu Administração e, em seguida, escolhendo Configurações .

Menu de Administração do STP – Configurações selecionadas

Para adicionar ou remover usuários das funções do Gerenciador de Conformidade.

  1. Acesse https://servicetrust.microsoft.com.

  2. Entre com sua conta de administrador global do Azure Active Directory.

  3. Na barra de menus superior do Portal de Confiança do Serviço, clique em Administração e, em seguida, escolha Configurações.

  4. Na lista suspensa Selecionar Função, clique na função à qual você deseja adicionar usuários.

  5. Os usuários adicionados a cada função aparecerão na página Selecionar Função.

  6. Para adicionar usuários a essa função, clique em Adicionar. Na caixa de diálogo Adicionar Usuários, clique no campo do usuário. Você pode percorrer a lista de usuários disponíveis ou começar a digitar o nome de usuário para filtrar a lista com base em seu termo de pesquisa. Clique no nome de usuário para adicionar essa conta à lista Adicionar Usuários que será provisionada com essa função. Se você quiser adicionar vários usuários ao mesmo tempo, comece a digitar em nome de usuário para filtrar a lista e clique no usuário para adicioná-lo à lista. Clique em Salvar para provisionar a função escolhida para esses usuários.

    Gerenciador de Conformidade – funções de provisionamento – adicionar usuários

  7. Para remover usuários dessa função, escolha os usuários e clique em Excluir.

    Gerenciador de Conformidade – Funções de Provisionamento – remover usuários

Voltar ao início

Alguns regulamentos exigem que os dados de histórico do usuário possam ser removidos. Para permitir isso, o Gerenciador de Conformidade oferece as funções de Configurações de Privacidade do Usuário que deixa os administradores:

Administrador do Gerenciador de Conformidade – Funções de configurações de privacidade do usuário

Buscar uma conta de usuário

Como buscar uma conta de usuário:

  1. Insira o endereço de email do usuário digitando o alias (isto é, a informação que fica à esquerda do símbolo @) e escolhendo o nome do domínio clicando na lista de sufixos de domínios à direita.  Se o locatário tiver vários domínios registrados, verifique novamente o sufixo do nome de domínio do endereço de email para garantir que é o correto.

  2. Após inserir corretamente o nome de usuário, clique no botão Pesquisar.    

  3. Se a conta do usuário não for encontrada, a página exibirá a mensagem de erro “Usuário não encontrado”.  Verifique as informações de endereço de email do usuário, faça as correções necessárias e clique novamente em Pesquisar.

  4. Se a conta do usuário for encontrada, o texto do botão passará de Pesquisar para Limpar, indicando que a conta do usuário retornada é o contexto operacional para as outras funções que serão exibidas abaixo, que serão aplicadas ao executá-las na conta desse usuário.

  5. Para limpar os resultados da pesquisa e buscar outro usuário, clique no botão Limpar.

Exportar um relatório do histórico de dados da conta

Depois de identificar a conta do usuário, convém gerar um relatório das dependências vinculadas a essa conta.  Essa informação permitirá reatribuir itens de ação abertos ou garantir o acesso a evidências carregadas anteriormente.  

Como gerar e exportar o relatório:   

  1. Clique em Exportar para gerar e baixar um relatório dos itens de ação de controle do Gerenciador de Conformidade atribuídos atualmente à conta do usuário retornada, além da lista de documentos carregados pelo usuário.  Se não surgirem ações atribuídas ou documentos carregados, uma mensagem de erro informará “Não há dados para esse usuário”.

  2. O relatório será baixado no segundo plano da janela do navegador ativa. Caso não veja um pop-up de download, verifique o histórico de downloads do navegador.

  3. Abra o documento para verificar os dados do relatório.

Observação: este relatório não é um histórico que guarda e exibe as alterações de estado do histórico de atribuição dos itens de ação.  Ele é um instantâneo dos itens de ação de controle atribuídos no momento em que o relatório é executado (carimbo de data e hora gravado no relatório).  Por exemplo, toda reatribuição posterior dos itens de ação resultará em um instantâneo diferente dos dados do relatório se este for gerado novamente para o mesmo usuário. 

Reatribuir itens de ação

Esta função permite à organização remover toda dependência ativa ou pendente na conta do usuário, reatribuindo todas as propriedades de itens de ação (que inclui os itens de ação ativos e concluídos) da conta do usuário retornada a um novo usuário selecionado abaixo.  Essa ação não altera o histórico de carregamento do documento da conta do usuário retornada. 

Como reatribuir itens de ação a outro usuário:   

  1. Clique na caixa de entrada para procurar e selecionar outro usuário na organização a quem os itens de ação do usuário retornado devem ser atribuídos.

  2. Selecione Substituir para reatribuir ao novo usuário selecionado todos os itens de ação de controle do usuário retornado.

  3. Surgirá uma caixa de diálogo de confirmação com a mensagem “Isto reatribuirá todos os itens de ação de controle do usuário atual ao usuário selecionado.  Essa ação não pode ser desfeita.  Tem certeza de que deseja continuar?

  4. Para continuar, clique em OK, caso contrário, clique em Cancelar.

Observação: todos os itens de ação (ativos e concluídos) serão atribuídos ao novo usuário selecionado.  No entanto, essa ação não afetará o histórico de carregamentos do documento. Todos os documentos carregados pelo antigo usuário designado ainda mostrarão a data/hora e nome do antigo usuário designado.  

Para alterar o histórico de carregamento do documento e remover o antigo usuário designado é preciso um processo manual.  Nesse caso, o administrador precisará:

1) Abrir o Relatório de exportação baixado anteriormente.

2) Identificar e ir até o item de ação de controle desejado.

3) Clicar em Gerenciar documentos para ir até o repositório de evidências desse controle.

4) Baixar o documento.

5) Excluir o documento no repositório de evidências.

6) Carregar o documento novamente.  O documento terá agora novas informações a respeito do nome de usuário em Carregado por e de data e hora de carregamento.  

Excluir histórico de dados do usuário

Define os itens de ação de controle como “sem atribuição” para todos os itens de ação atribuídos ao usuário retornado.  Define também o valor Carregado por como “Usuário removido” para todos os documentos carregados pelo usuário retornado

Como excluir o histórico de carregamento de documentos e de itens de ação da conta de usuário:   

  1. Clique no botão Excluir.

  2. Surgirá uma caixa de diálogo de confirmação com a mensagem “Isso removerá todas as atribuições de itens de ação de controle e o histórico de carregamento do documento para o usuário selecionado.  Essa ação não pode ser desfeita.  Tem certeza de que deseja continuar?

  3. Para continuar, clique em OK, caso contrário, clique em Cancelar.

Voltar ao início

Usar o Gerenciador de Conformidade

O Gerenciador de Conformidade oferece as ferramentas para atribuir, controlar e registrar as atividades relacionadas à avaliação e para ajudar sua organização a vencer barreiras de equipes para alcançar suas metas de conformidade.

Painel do Gerenciador de Conformidade – menu superior – menu Administração atualizado

Voltar ao início

Acesse o Gerenciador de Conformidade no Portal de Confiança do Serviço. Qualquer pessoa que tenha uma conta da Microsoft ou uma conta organizacional do Azure Active Directory pode acessar o Gerenciador de Conformidade .

Gerenciador de Conformidade – avaliando o Gerenciador de Conformidade pelo menu STP

  1. Acesse https://servicetrust.microsoft.com.

  2. Entre com sua conta de usuário do Azure Active Directory (Azure AD).

  3. No Portal de Confiança do Serviço, clique em Gerenciador de Conformidade.

  4. Quando o Acordo de Não Divulgação for exibido, leia-o e clique em Concordo para continuar. Você só precisa fazer isso uma vez. Em seguida, o painel do Gerenciador de Conformidade é exibido.

  5. Para começar, adicionamos as seguintes Avaliações por padrão:

    As Avaliações padrão no Gerenciador de Conformidade
  6. Clique em Ícone de Ajuda no Gerenciador de Conformidade Ajuda para fazer um tour rápido do Gerenciador de Conformidade .

Voltar ao início

O Gerenciador de Conformidade oferece uma visão conveniente de todos os itens de ação de avaliação dos controle atribuídos, permitindo que você tome ações rápidas e fáceis sobre eles. Você pode exibir todos os itens de ação ou escolher aqueles que correspondam a uma certificação específica clicando na guia associada a essa avaliação.  Por exemplo, na imagem abaixo, a guia RGPD foi escolhida e ela exibe controles relacionados à avaliação de RGPD.

Gerente de Conformidade – lista Itens de Ação com várias guias de GDPR selecionadas

Para exibir seus itens de ação

  1. Acessar o Painel do Gerenciador de Conformidade

  2. Clique no link Itens de Ação e a página será atualizada para mostrar os itens de ação atribuídos a você.

  3. Por padrão, todos os itens de ação são exibidos. Se você tiver itens de ação em várias certificações, os nomes das certificações serão listados nas guias na parte superior do controle de avaliação. Para ver os itens de ação para uma certificação específica, clique nessa guia.

Voltar ao início

Para adicionar uma avaliação ao Gerenciador de Conformidade :

  1. No painel do Gerenciador de Conformidade , clique em Ícone Adicionar Adicionar avaliação.

  2. Na janela Adicionar uma Avaliação , é possível criar um novo grupo ou adicioná-la a um grupo existente (o grupo interno é denominado “Grupo inicial”). Dependendo da opção escolhida, digite o nome do novo grupo ou selecione um grupo existente na lista suspensa. Saiba mais em Agrupamento de Avaliações.

    Se você criar um novo grupo, também terá a opção de copiar informações de um grupo existente para a nova Avaliação. Isso significa que as informações adicionadas aos campos Detalhes da implementação, Plano do teste e Resposta de gerenciamento dos controles gerenciados pelo cliente nas Avaliações do grupo que você está copiando serão copiadas para os mesmos controles gerenciados pelo cliente (ou relacionados) da nova Avaliação. Se você estiver adicionando uma nova Avaliação a um grupo existente, as informações comuns das Avaliações desse grupo serão copiadas para a nova Avaliação. Saiba mais em Copiar informações de Avaliações existentes.

  3. Escolha Avançar e siga este procedimento:

    • Escolha um serviço em nuvem da Microsoft para avaliar a conformidade na lista suspensa Selecionar um produto.

    • Escolha uma certificação de referência para avaliar o serviço em nuvem selecionado na lista suspensa Selecionar uma certificação.

  4. Clique em Adicionar ao Painel para criar a Avaliação. A Avaliação será adicionada ao painel do Gerenciador de Conformidade como um novo bloco no final da lista de blocos existente.

    O Bloco de Avaliação no painel do Gerenciador de Conformidade exibe o agrupamento de avaliações, o nome da avaliação (criado automaticamente como uma combinação do nome do Serviço e da certificação escolhida), a data em que foi criado e quando foi modificado pela última vez, a Pontuação Total de Conformidade (que é a soma de todos os valores de risco do controle atribuído que foram implementados, testados e aprovados) e os indicadores de progresso na parte inferior que exibem o número de controles que foram avaliados.

  5. Clique no nome da Avaliação para abri-la e exibir os detalhes dela.

  6. Clique no menu Ações para ver seus itens de ação atribuídos, renomear o grupo de avaliação, exportar o relatório de avaliação ou arquivar a avaliação.

Gerenciador de Conformidade – Bloco de Avaliação

Voltar ao início

Como já explicado, ao criar um novo grupo de avaliação, você tem a opção de copiar informações de Avaliações em um grupo existente para a nova Avaliação no grupo novo. Assim é possível aplicar a avaliação e a tarefa de teste que já foi concluída aos mesmos controles gerenciados pelo clientes na nova Avaliação. Por exemplo, se você tem um grupo para todas as Avaliações relacionadas à RGPD na sua organização, pode copiar as informações comuns da tarefa de avaliação existente ao adicionar uma nova Avaliação ao grupo.

É possível copiar as seguintes informações do cliente em uma nova Avaliação:

  • Usuários da Avaliação. Um Usuário da Avaliação é o usuário que recebe o controle.

  • Status, Data do Teste e Resultados do Teste.

  • São as informações dos detalhes da implementação e do plano de teste.

Da mesma forma, as informações de controles gerenciados pelo cliente compartilhadas no mesmo grupo de Avaliação são sincronizadas. E as informações de controles gerenciados pelo cliente relacionadas que estejam no mesmo grupo de Avaliação também são sincronizadas.

Voltar ao início

  1. Localize o Bloco de Avaliações correspondente à avaliação que você deseja visualizar e clique no nome da avaliação para abri-la e exibir os controles gerenciados pela Microsoft e pelo cliente, associados à Avaliação, além de uma lista dos serviços em nuvem que estão no escopo da Avaliação. Veja um exemplo de Avaliação para Office 365 e RGPD.

    Exibição da Avaliação do Gerenciador de Conformidade – tela inteira com textos explicativos

    1. Esta seção exibe informações sobre o resumo da Avaliação, incluindo o nome do Agrupamento de Avaliações, o Produto, o nome da Avaliação e o número de controles da Avaliação

    2. Esta seção exibe os controles de Filtro da Avaliação. Para ver uma explicação mais detalhada sobre como usar os controles de Filtro da Avaliação, confira a seção Gerenciar o processo de avaliação.

    3. Esta seção mostra os serviços em nuvem individuais no escopo da avaliação.

    4. Esta seção contém controles gerenciados da Microsoft. Controles relacionados são organizados por famílias de controles. Clique em uma família de controles para expandi-la e exibir os controles individuais.

    5. Esta seção contém controles gerenciados pelo cliente, que também são organizados por famílias de controles. Clique em uma família de controles para expandi-la e exibir os controles individuais.

    6. Exibe o número total de controles na família e quantos deles foram avaliados. Um dos principais recursos do Gerenciador de Conformidade é acompanhar o andamento da sua organização na avaliação dos controles gerenciados pelo cliente. Saiba mais na seção Noções básicas sobre a Pontuação de Conformidade.

Voltar ao início

O criador de uma Avaliação inicialmente é o único Usuário da Avaliação. Para cada controle gerenciado pelo cliente, é possível atribuir um Item de Ação a uma pessoa da sua organização para que ela se torne um Usuário da Avaliação autorizado a executar as Ações do Cliente recomendadas, além de reunir e carregar evidências. Ao atribuir um Item de Ação, é possível optar por enviar para a pessoa um email com detalhes como as Ações do Cliente recomendadas e a prioridade do Item de Ação. A notificação por email incluirá um link para o painel Itens de Ação, que mostra todos os Itens de Ação atribuídos a essa pessoa.

Aqui está uma lista de tarefas que podem ser executadas usando os recursos de fluxo de trabalho do Gerenciador de Conformidade .

Fluxo de trabalho da Avaliação do Gerenciador de Conformidade com textos explicativos
  1. Usar as Opções de Filtro para encontrar os controles de avaliação específicos    O Gerenciador de Conformidade fornece Opções de Filtro, oferecendo a você critérios de seleção altamente granulares para exibir controles de avaliação, ajudando você a segmentar com precisão áreas específicas de seus esforços de conformidade.  

    Clique no ícone de funil no lado direito da página para mostrar ou ocultar os controles das Opções de Filtro . Esses controles permitem especificar critérios de filtro e somente os controles de avaliação que atenderem a esses critério serão exibidos abaixo. Controles de filtragem de Avaliações do Gerenciador de Conformidade

    • Artigos – filtra o nome do artigo e retorna os controles de avaliação associados a esse artigo. Por exemplo, se você digitar “Artigo (5)”, uma lista de seleção de artigos cujos nomes incluem essa cadeia de caracteres será retornada, ou seja, Artigo (5)(1)(a), Artigo (5)(1)(b), Artigo (5)(1)(c), etc. Se você escolher o Artigo (5)(1)(c), os controles associados ao Artigo (5)(1)(c) serão retornados. Este é um campo de seleção múltipla que usa um operador OR com vários valores. Por exemplo, se você escolher o Artigo (5)(1)(a) e depois adicionar o Artigo (5)(1)(c), o filtro retornará controles associados ao Artigo (5)(1)(a) ou ao Artigo (5)(1)(c).

      Exibição da Avaliação do Gerenciador de Conformidade – Filtrar pelo nome do artigo

    • Controles – retorna a lista de controles cujos nomes se adéquam ao filtro, por exemplo, digitar 7.3 retorna uma lista de seleção de itens como 7.3.1, 7.3.4, 7.3.5, etc. Este é um campo de seleção múltipla que usa um operador OR com vários valores. Por exemplo, se você escolher 7.3.1 e depois adicionar o 7.3.4, o filtro retornará controles associados ao 7.3.1 ou ao 7.3.4.

      Exibição da Avaliação do Gerenciador de Conformidade – vários controles de filtragem selecionados

    • Usuários Atribuídos – retorna a lista de controles atribuídos ao usuário escolhido.

    • Status – retorna a lista de controles com o status escolhido.

    • Resultado do Teste – retorna a lista de controles com o resultado do teste escolhido.

    Ao aplicar condições de filtragem, o modo de exibição dos controles aplicáveis será alterado para corresponder a essas condições.  Expanda as seções da família de controles para mostrar os detalhes do controle abaixo.  

    Exibição da Avaliação do Gerenciador de Conformidade – Filtrar resultados de artigo

  2. Se, após escolher os filtros desejados, nenhum resultado for exibido, isso significa que não há controles que correspondam às condições de filtro especificadas. Por exemplo, se você escolher um determinado Usuário Atribuído e, em seguida, escolher o nome de um Controle que corresponda ao controle atribuído ao usuário, nenhuma avaliação será exibida na página abaixo.

  3. Atribuir um Item de Ação a um usuário    É possível atribuir um Item de Ação para uma pessoa implementar os requisitos de uma certificação/regulamentação ou para testar, verificar e documentar os requisitos de implementação da sua organização. Ao atribuir um Item de Ação, é possível optar por enviar para a pessoa um email com detalhes como as Ações do Cliente recomendadas e a prioridade do Item de Ação. Também é possível cancelar a atribuição ou reatribuir um Item de Ação para outra pessoa.

  4. Gerenciar documentos   Controles gerenciados pelo cliente também têm um local para gerenciar documentos relacionados à execução de tarefas de implementação, teste e validação. Qualquer pessoa com permissões para editar dados no Gerenciador de Conformidade pode carregar documentos clicando em Gerenciar Documentos. Depois que um documento é carregado, é possível clicar em Gerenciar Documentos para exibir e baixar arquivos.

  5. Fornecer detalhes de implementação e testes   Cada controle gerenciado pelo cliente tem um campo editável em que os usuários podem adicionar os detalhes da implementação que documentam as etapas executadas pela sua organização para atender aos requisitos da certificação/regulamentação e para validar e documentar como a sua organização atendeu a esses requisitos.

  6. Definir Status   Define o Status de cada item como parte do processo de avaliação. Os valores de Status disponíveis são Implementado, Implementação Alternativa, Planejado e Fora do Escopo.

  7. Inserir a data do teste e o resultado do teste   A pessoa com a função de Avaliador do Gerenciador de Conformidade pode verificar se os testes adequados foram realizados, examinar os detalhes da implementação, o plano do teste, os resultados do teste e as evidências carregadas e depois definir a Data do teste e o Resultado do teste. Os valores de resultado do teste disponíveis são Aprovado, Reprovado-Baixo Risco, Reprovado-Médio Riscoo e Reprovado-Alto Risco.

Voltar ao início

As pessoas envolvidas no processo de avaliação da sua organização podem usar Gerenciador de Conformidade para revisar controles gerenciados pelo cliente de todas as Avaliações das quais são usuários. Quando o usuário entra no Gerenciador de Conformidade e abre o painel Itens de Ação, é exibida uma lista de Itens de Ação que foram atribuídos a ela. Dependendo da função do Gerenciador de Conformidade atribuída ao usuário, ele pode fornecer detalhes da implementação ou dos testes, atualizar o Status ou atribuir Itens de Ação.

Como os controles de certificação geralmente são implementados por uma pessoa e testados por outra, o item de ação de controle pode ser inicialmente atribuído a uma pessoa para implementação e, uma vez concluída, essa pessoa pode reatribuir o item de ação de controle à próxima pessoa para o teste de controle e o carregamento de provas. Essa atribuição/reatribuição de ações de controle pode ser executada por qualquer usuário que tenha uma função do Gerenciador de Conformidade com permissões suficientes, permitindo o gerenciamento central de atribuições de controle ou o roteamento descentralizado de itens de ação de controle, do implementador ao testador, conforme apropriado.

Para atribuir um item de ação

  1. No painel do Gerenciador de Conformidade, localize o bloco de avaliação da avaliação que você deseja usar e clique no nome da avaliação para acessar a página de detalhes da avaliação.

  2. Você pode clicar no botão Filtro e usar os controles de filtro para localizar o controle de avaliação específico que você deseja atribuir ou

  3. rolar para baixo até a seção Controles Gerenciados pelo Cliente, expandir a família de controles e rolar pela lista de controles até localizar o controle de avaliação que será atribuído

  4. Na coluna Usuário Atribuído, clique no botão azul Atribuir.

  5. Na caixa de diálogo Atribuir Item de Ação, clique no campo Atribuir a para preencher a lista de usuários aos quais a ação poderá ser atribuída. Você pode percorrer a lista até encontrar o usuário de destino ou começar a digitar no campo para procurar o nome de usuário.

  6. Clique no usuário para atribuir este item de ação a ele.

  7. Se quiser enviar uma notificação por email ao usuário para avisá-lo, verifique se a caixa de seleção Enviar Notificação por Email está marcada.

  8. Digite as anotações que você deseja exibir para o usuário e clique em Atribuir.

  9. O usuário receberá notificações sobre a atribuição de itens de ação e as anotações que você forneceu.

As anotações associadas aos itens de ação serão mantidas na seção de anotações e estarão disponíveis na próxima vez que o item de ação for atribuído. Essas anotações não são somente leitura e podem ser editadas, substituídas ou removidas pela pessoa que atribuir os itens de ação.

Voltar ao início

É possível exportar uma Avaliação para um arquivo do Excel, que pode ser revisado por interessados na conformidade da sua organização e fornecido para auditores e reguladores. Este relatório de avaliação é um instantâneo da avaliação a partir da data e da hora em que o relatório foi criado e contém os detalhes dos controles gerenciados pela Microsoft e dos controles gerenciados pelo cliente para essa avaliação, incluindo o status da implementação do controle e a data do teste de controle e os resultados do teste, além disso, fornece links para os documentos de provas carregados. Recomendamos que você exporte o relatório de avaliação antes de arquivar uma avaliação já que as avaliações arquivadas não retêm seus links para documentos carregados.

Exportar um relatório de Avaliação

  1. No Painel do Gerenciador de Conformidade, clique no link Ações no bloco da avaliação que você deseja exportar e escolha Exportar para Excel, ou

  2. Se estiver exibindo a página de detalhes da Avaliação, clique no botão Exportar para Excel localizado no canto superior direito da página acima da Pontuação de Conformidade da avaliação.

O relatório da avaliação será baixado na sessão do navegador. Se você não vir uma janela pop-up informando sobre isso, convém verificar a pasta de downloads do navegador.

Voltar ao início

Ao concluir uma Avaliação, caso não precise mais dela para fins de conformidade, é possível arquivá-la. Quando uma avaliação é arquivada, ela é removida do painel Avaliações.

Observação: Quando uma Avaliação é Arquivada, não poderá ser “desarquivada” nem restaurada em uma leitura e gravação em andamento.  Observe que as Avaliações Arquivadas não retêm seus links para documentos de provas carregados, portanto, é altamente recomendável realizar uma Exportação da Avaliação antes de arquivá-la uma vez que o relatório de avaliação exportado conterá links para os documentos de provas, permitindo assim que você continue a acessá-los.

Para arquivar uma avaliação

  1. No bloco do painel da avaliação desejada, clique no botão Ações.

  2. Escolha Arquivar Avaliação.

  3. A caixa de diálogo Arquivar Avaliação é exibida solicitando que você confirme que deseja arquivar essa avaliação.

  4. Para continuar com o arquivamento, clique em Arquivo Morto ou clique em Cancelar.

Para exibir Avaliações Arquivadas

  1. No Painel do Gerenciador de Conformidade, marque a caixa de seleção Mostrar Arquivados.

  2. As avaliações arquivadas aparecerão em uma seção recentemente disponibilizada abaixo do restante das avaliações ativas em uma barra intitulada Avaliações Arquivadas.

  3. Clique no nome da avaliação que você deseja exibir.

  4. Ao exibir uma avaliação arquivada, nenhum dos controles que normalmente são editáveis (ou seja, Implementação, Resultados do Teste) estará ativo e o botão Documentos Gerenciados estará ausente.

Voltar ao início

Log de alterações do controle gerenciado pelo cliente

O Gerenciador de Conformidade foi desenvolvido para ser atualizado regularmente e acompanhar as alterações nas exigências regulatórias, bem como as alterações em nossos serviços de nuvem. Essas atualizações incluem alterações nos Controles Gerenciados pelo Cliente. Um Log de Alterações é fornecido para você entender o impacto dessas alterações, inclusive os detalhes do conteúdo adicionado ou alterado e orientações sobre o efeito das alterações nas Avaliações existentes. Normalmente, há dois tipos de alterações:

  • Uma alteração Principal é uma alteração significativa realizada em uma Ação do Cliente, como a adição ou a remoção de etapas numeradas específicas ou uma alteração nas orientações em relação às responsabilidades, recomendações ou provas. No caso das alterações Principais, recomendamos avaliar novamente sua implementação e/ou a avaliação do controle afetado.

  • Uma alteração Secundária é uma alteração não muito significativa nas Ações do Cliente, como a correção de um erro de digitação ou problemas de formatação ou a atualização e correção de hiperlinks. As alterações Secundárias geralmente não exigem que o controle seja avaliado novamente. No entanto, é recomendável examinar a Ação do Cliente atualizada.

 

Controles Gerenciados pelos Clientes do Office 365 – Log de Alterações de julho de 2018

Controles afetados

Recomendação e Descrição da Alteração

ID do Controle

Avaliação

Tipo de alteração

Descrição da alteração

Ações recomendadas para clientes

45 C.F.R. § 164.308(a)(7)(ii)(A)

Office 365: HIPAA

Principal

Controle adicional HITECH adicionado à Avaliação HIPAA do Office 365.

Revise o controle adicional e ações do cliente recomendadas.

45 C.F.R. § 164.312(a)(6)(ii)

Office 365: HIPAA

Principal

Controle adicional HITECH adicionado à Avaliação HIPAA do Office 365.

Revise o controle adicional e ações do cliente recomendadas.

45 C.F.R. § 164.312(c)(1)

Office 365: HIPAA

Principal

Controle adicional HITECH adicionado à Avaliação HIPAA do Office 365.

Revise o controle adicional e ações do cliente recomendadas.

45 C.F.R.  § 164.316(b)(2)(iii)

Office 365: HIPAA

Principal

Controle adicional HITECH adicionado à Avaliação HIPAA do Office 365.

Revise o controle adicional e ações do cliente recomendadas.

 

Controles Gerenciados pelos Clientes do Office 365 – Log de Alterações de abril de 2018

Controles afetados

Recomendação e Descrição da Alteração

RGPD

HIPAA

ISO 27001

ISO 27018

NIST 800-53

NIST 800-171

Tipo de alteração

Descrição da alteração

Ações recomendadas para clientes

6.13.2

C.16.1.1

Principal

Anteriormente numerada como 6.12.1.1.

Foram adicionados detalhes e recomendações.

Reavaliar o controle: Analise as orientações atualizadas nas Ações do Cliente e siga as etapas recomendadas para implementar e avaliar o controle.

3.1.6

Principal

Foram adicionadas etapas às orientações, incluindo habilitar a auditoria e pesquisar logs de auditoria.

Examine as recomendações atualizadas nas Ações do Cliente.

6.8.2

A.10.2

Principal

Anteriormente numerada como 6.7.2.9.

Orientações atualizadas com recomendações adicionais e itens de ação.

Reavaliar o controle: Analise as orientações atualizadas nas Ações do Cliente e siga as etapas recomendadas para implementar e avaliar o controle.

6.6.4

45 C.F.R. § 164.312(a)(2)(i)


45 C.F.R. § 164.312(d)

A.9.4.2

IA-2

3.5.1

Principal

Anteriormente numerada como 6.5.2.3.

Orientações atualizadas com recomendações adicionais e itens de ação.

Reavaliar o controle: Analise as orientações atualizadas nas Ações do Cliente e siga as etapas recomendadas para implementar e avaliar o controle.

6.13.1

45 C.F.R. § 164.308(a)(1)(i)

A.16.1

C.16.1

IR-4(a)

3.6.1

Principal

Anteriormente numerada como 6.12.1.

Orientações atualizadas com recomendações adicionais e itens de ação.

Reavaliar o controle: Analise as orientações atualizadas nas Ações do Cliente e siga as etapas recomendadas para implementar e avaliar o controle.

6.7

Principal

Anteriormente numerada como 6.6.1.1.

Orientações atualizadas com recomendações adicionais e itens de ação.

Reavaliar o controle: Analise as orientações atualizadas nas Ações do Cliente e siga as etapas recomendadas para implementar e avaliar o controle.

6.6.5

A.10.8

IA-3

3.5.2

Principal

Anteriormente numerada como 6.5.4.2.

Orientações atualizadas com recomendações adicionais e itens de ação.

Reavaliar o controle: Analise as orientações atualizadas nas Ações do Cliente e siga as etapas recomendadas para implementar e avaliar o controle.

6.15.1

Principal

Anteriormente numerada como 6.14.1.3.

Orientações atualizadas com recomendações adicionais e itens de ação.

Reavaliar o controle: Analise as orientações atualizadas nas Ações do Cliente e siga as etapas recomendadas para implementar e avaliar o controle.

AC-2(h)(2)

Secundária

Foi adicionado um link à folha Habilitar Auditoria.

Nenhuma ação necessária.

AC-2(7)(b)

Secundária

Foi adicionado um link à folha Habilitar Auditoria.

Nenhuma ação necessária.

AC-2(h)(1)

Secundária

Foi adicionado um link à folha Habilitar Auditoria.

Nenhuma ação necessária.

45 C.F.R. § 164.308(a)(5)(ii)(C)

AC-2(g)

Secundária

Foi adicionado um link à folha Habilitar Auditoria.

Nenhuma ação necessária.

AC-2(12)

Secundária

Foi adicionado um link à folha Habilitar Auditoria.

Nenhuma ação necessária.

45 C.F.R. § 164.312(b)

A.12.4.3

AU-2(d)

Secundária

Foi adicionado um link à folha Habilitar Auditoria.

Nenhuma ação necessária.

AC-2(4)

Secundária

Foi adicionado um link à folha Habilitar Auditoria.

Nenhuma ação necessária.

3.1.7

Secundária

Foi adicionado um link à folha Habilitar Auditoria.

Nenhuma ação necessária.

A.16.1.7

C.12.4.2, Parte 2

Secundária

Foi adicionado um link à folha Habilitar Auditoria.

Nenhuma ação necessária.

AC-2(h)(3)

Secundária

Foi adicionado um link à folha Habilitar Auditoria.

Nenhuma ação necessária.

A.12.4.2

Secundária

Foi adicionado um link à folha Habilitar Auditoria.

Nenhuma ação necessária.

A.7.2.8

Secundária

Links adicionados à folha Pesquisa de Conteúdo e ao portal da DSR.

Nenhuma ação necessária.

45 C.F.R. § 164.308(a)(3)(ii)(C)

Secundária

Links adicionados à folha Habilitar Auditoria e aos tópicos de suporte da função de administrador do Office 365.

Nenhuma ação necessária.

5.2.1

Secundária

Anteriormente numerada como 5.2.2.

As responsabilidades do cliente foram esclarecidas na orientação.

Examine as recomendações atualizadas nas Ações do Cliente.

6.11.1

45 C.F.R. § 164.312(e)(2)(ii)

A.10.1.1
A.10.1.2
A.18.1.5

C.10.1.1

SC-13

3.13.11

Secundária

Anteriormente numerada como 6.10.1.2.

Erro de digitação corrigido.

Nenhuma ação necessária.

7.5.1

Secundária

Anteriormente numerada como A.7.4.1.

Erro de digitação corrigido.

Nenhuma ação necessária.

A.8.2.3

3.1.3

Secundária

Foi removida uma frase adicional desnecessária.

Nenhuma ação necessária.

45 C.F.R. § 164.308(a)(4)(i)

A.6.1.2

AC-5(a)

3.1.2
3.1.4

Secundária

Orientações atualizadas com recomendações adicionais e itens de ação.

Examine as recomendações atualizadas nas Ações do Cliente.

45 C.F.R. § 164.308(a)(7)(ii)(E)

RA-2(a)

Secundária

Link de tópico de ajuda do serviço de importação atualizado para usar FWlink.

Nenhuma ação necessária.

 

Referência de Alterações da ID de Controle da Avaliação do RGPD - Versão de fevereiro de 2018

ID de Controle anterior (Visualização de novembro de 2017)

Nova ID de controle (versão de fevereiro de 2018 GA)

5.2.2

5.2.1

5.2.3

5.2.2

5.2.4

5.2.3

6.1.1.1

6.2

6.10.1.2

6.11.1

6.10.2.5

6.11.2

6.11.1.2

6.12

6.12.1

6.13.1

6.12.1.1

6.13.2

6.12.1.5

6.13.3

6.14.1.3

6.15.1

6.14.2.1

6.15.2

6.14.2.3

6.15.3

6.2.1.1

6.3

6.3.2.2

6.4

6.4.3.1

6.5.2

6.4.3.2

6.8.1

6.4.3.3

6.5.3

6.5.2

6.6.1

6.5.2.1

6.6.2

6.5.2.2

6.6.3

6.5.2.3

6.6.4

6.5.4.2

6.6.5

6.6.1.1

6.7

6.7.2.7

6.8.1

6.7.2.9

6.8.2

6.8.1.4

6.9.1

6.8.4.1

6.9.3

6.8.4.2

6.9.4

6.9.2.1

6.10.1

6.9.2.3

6.10.2

A.7.1.1

7.2.1

A.7.1.2

7.2.2

A.7.1.3

7.2.3

A.7.1.4

7.2.4

A.7.1.5

7.2.5

A.7.1.6

7.2.6

A.7.1.7

7.2.7

A.7.2.1

7.3.1

A.7.2.10

7.3.9

A.7.2.11

7.3.10

A.7.2.2

7.3.2

A.7.2.3

7.3.3

A.7.2.4

7.3.4

A.7.2.5

7.3.5

A.7.2.6

7.3.6

A.7.2.7

7.3.7

A.7.2.8

7.3.8

A.7.3.1

7.4.1

A.7.3.10

7.4.10

A.7.3.2

7.4.2

A.7.3.3

7.4.3

A.7.3.4

7.4.4

A.7.3.5

7.4.5

A.7.3.6

7.4.6

A.7.3.7

7.4.7

A.7.3.8

7.4.8

A.7.3.9

7.4.9

A.7.4.1

7.5.1

A.7.4.2

7.5.2

A.7.4.3

7.5.3

A.7.4.4

7.5.4

A.7.4.5

7.5.5

B.8.1.1

8.2.1

B.8.1.2

8.2.2

B.8.1.3

8.2.3

B.8.1.4

8.2.4

B.8.1.5

8.2.5

B.8.1.6

8.2.6

B.8.2.1

8.3.1

B.8.3.1

8.4.1

B.8.3.2

8.4.2

B.8.3.3

8.4.3

B.8.4.1

8.5.1

B.8.4.2

8.5.2

B.8.4.3

8.5.4

B.8.4.4

8.5.5

B.8.4.5

8.5.3

B.8.4.6

8.5.6

B.8.4.7

8.5.7

B.8.4.8

8.5.8

Voltar ao início

Confira também

Expanda suas habilidades no Office
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Office Insider

Essas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×