Использование диспетчера соответствия требованиям для соблюдения требований к защите данных и нормативных актов при работе с облачными службами (Майкрософт)

Диспетчер соответствия требованиям недоступен в Служба Office 365, предоставляемая 21Vianet, Office 365 Germany, Office 365 U.S. Government Community High (GCC High) и Office 365 Department of Defense.

Диспетчер соответствия требованиям, основанное на рабочих процессах средство оценки рисков на портале Microsoft Service Trust Portal, помогает отслеживать, назначать и проверять операции по соблюдению нормативных требований в отношении облачных служб Майкрософт, например Office 365, Dynamics 365 и Microsoft Azure. Диспетчер соответствия требованиям:

  • Содержит подробные сведения, предоставляемые корпорацией Майкрософт аудиторам и контролирующим органам в рамках сторонних аудитов облачных служб Майкрософт на соответствие различным стандартам (например, ISO 27001, ISO 27018 и NIST), данные, которые Майкрософт собирает внутри компании для соблюдения нормативных требований (таких как акт HIPAA и Общий регламент по защите данных ЕС, или GDPR), а также ваши собственные оценки соответствия таким стандартам и нормативным актам.

  • Позволяет назначать, отслеживать и регистрировать действия, связанные с соответствием требованиям и оценкой, что помогает обеспечить соответствие требованиям в рамках всей организации.

  • Предоставляет рейтинг соответствия требованиям, который помогает вам отслеживать прогресс и определять приоритеты инструментов контроля аудита с целью снижения рисков организации.

  • Предоставляет защищенный репозиторий для хранения доказательств и других артефактов, связанных с действиями по обеспечению соответствия требованиям, а также управления ими.

  • Позволяет создавать подробные отчеты в Microsoft Excel, в которых документируются действия по соответствию требованиям, выполняемые корпорацией Майкрософт и вашей организацией, для предоставления аудиторам, контролирующим органам и другим заинтересованным лицам.

Важно: диспетчер соответствия требованиям — это панель мониторинга, которая содержит общие сведения о статусе защиты данных и соответствия требованиям, а также рекомендации по их улучшению. Указанные в диспетчере соответствия требований действия клиентов являются рекомендациями. Организации сами должны определить, имеют ли они смысл в конкретной среде, прежде чем внедрять их. Рекомендации диспетчера соответствия требованиям не должны рассматриваться в качестве гарантии соблюдения требований.

Содержание

Основные понятия   

Оценки в диспетчере соответствия требованиям

Разрешения и управление доступом на основе ролей

Оценка соответствия требованиям

Группировка оценок

Административные функции   

Назначение пользователям ролей менеджера по соответствию требованиям

Использование диспетчера соответствия требованиям   

Доступ к диспетчеру соответствия требованиям

Использование панели мониторинга диспетчера соответствия требованиям

Просмотр поручений

Добавление оценки

Копирование информации из существующих оценок

Просмотр оценок

Управление процессом оценки

Управление поручениями

Экспорт данных из оценки

Архивация оценки

Журнал изменений средств контроля, управляемых клиентом   

Журнал изменений

Основные понятия

Диспетчер соответствия требованиям — это основанное на рабочих процессах средство оценки рисков, которое поможет вам управлять соответствием нормативным требованиям в рамках модели разделения ответственности, подразумеваемой облачными службами. Диспетчер соответствия требованиям предоставляет панель мониторинга, на которой можно отслеживать стандарты, нормативные требования и оценки. Здесь вы найдете сведения о реализации средств контроля, используемых Майкрософт, и результатах их тестирования, и сможете просматривать рекомендации по внедрению собственных средств контроля и вводить данные для их отслеживания. Диспетчер предлагает определения средств контроля для оценок, требуемых сертификациями, рекомендации по их внедрению и тестированию, механизмы оценки средств контроля с учетом рисков, управление доступом на основе ролей, а также встроенный рабочий процесс назначения действий для средств контроля, позволяющий отслеживать их реализацию, статус тестирования и управление доказательствами. Диспетчер соответствия требованиям упрощает соответствие требованиям, позволяя логически группировать оценки и применять тестирование к одинаковым или связанным средствам контроля, чтобы не тратить усилия на соблюдение одинаковых требований для разных сертификаций.

Ключевым компонентом диспетчера соответствия требованиям является оценка. Она определяет соответствие облачной службы Майкрософт (такой как Office 365, Azure или Microsoft Dynamics) стандарту сертификации или нормативным требованиям к защите данных (например, ISO 27001:2013 или GDPR). Оценки помогают выявлять, насколько защита данных и соответствие требованиям в вашей организации отвечают отраслевому стандарту для определенной облачной службы Майкрософт. Оценки реализуются посредством внедрения средств контроля для соответствующего стандарта сертификации.

Структура оценка отражает принцип распределения ответственности между корпорацией Майкрософт и вашей организацией по оценке рисков безопасности и соответствия требованиям в облаке и по внедрению мер защиты данных, определяемых стандартом соответствия требованиям или защиты данных, нормативным положением или законом.

Оценка состоит из нескольких компонентов:

Охваченные службы. Каждая оценка относится к определенному набору облачных служб Майкрософт, которые указаны в разделе In-Scope Cloud services (Охваченные облачные службы).

Средства контроля, управляемые Майкрософт.    Для каждой облачной службы Майкрософт внедряет и администрирует набор средств для соответствия различным стандартам и нормативным актам. Такие средства группируются в семейства со структурой, соответствующей сертификации или нормативному акту, на основании которых выполняется оценка. Для каждого такого средства диспетчер соответствия требованиям предлагает сведения о том, как корпорация Майкрософт внедрила его, а также как и когда такое внедрение было протестировано и проверено независимым сторонним аудитором.

Ниже приведен пример трех средств контроля, управляемых Майкрософт, из семейства Security (Безопасность) для оценки соответствия Office 365 стандарту GDPR.

Сведения о средствах контроля Майкрософт в диспетчере соответствия требованиям
  1. Здесь указывается информация из сертификации или нормативного акта, которые соответствуют средству контроля, управляемому Майкрософт.

    • Control ID    (Идентификатор средства контроля). Номер раздела или статьи сертификации либо нормативного акта, которым соответствует средство контроля.

    • Title    (Название). Название соответствующей сертификации или нормативного акта.

    • Article ID    (Идентификатор статьи). Это поле доступно только для оценок GDPR. В нем указывается номер соответствующей статьи GDPR.

    • Description    (Описание). Текст стандарта или нормативного акта, который соответствует выбранному средству контроля Майкрософт.

  2. Рейтинг соответствия требованиям для средства контроля, который обозначает уровень риска (из-за несоответствия или отсутствия внедрения средства контроля) для каждого средства контроля, управляемого Майкрософт. Дополнительные сведения см. в разделе Сведения о рейтинге соответствия требованиям. Обратите внимание, что рейтинг соответствия требованиям принимает значение от 1 до 10 и обозначен цветом. Желтый цвет указывает на низкий уровень риска средств контроля, оранжевый — на средний уровень, красный — на высокий уровень риска.

  3. Сведения о статусе внедрения средства контроля, дате его тестирования, о том, кто выполнил тест, и о результатах тестирования.

  4. Для каждого средства можно щелкнуть More (Дополнительно), чтобы посмотреть дополнительные сведения, включая данные о его внедрении корпорацией Майкрософт, а также его тестировании и проверке независимым сторонним аудитором.

Средства контроля, управляемые клиентом.    В эту коллекцию включены средства, которые управляются вашей организацией. Организация отвечает за их внедрение для соблюдения определенного стандарта или нормативного акта. Средства контроля, управляемые клиентом, группируются в семейства в соответствии с сертификациями или нормативными актами. Используйте такие средства контроля для реализации действий, рекомендуемых корпорацией Майкрософт для соблюдения требований. Организация может использовать советы и рекомендации в таких средствах для управления процессом внедрения и оценки.

У средств контроля, управляемых клиентом, также есть встроенные функции управления рабочими процессами, с помощью которых можно отслеживать ход оценки и выполнять действия, необходимые для ее успешного прохождения. Например, сотрудник, отвечающий за соответствие требованиям в вашей организации, может назначать поручения ИТ-администратору, у которого есть разрешения на выполнение рекомендуемых действий. По завершении работы ИТ-администратор может добавить доказательства выполнения задач (например, снимки экрана с конфигурацией или параметрами политики), а затем назначить поручения сотруднику, отвечающему за соответствие требованиям, чтобы он оценил собранные доказательства, протестировал реализацию средства контроля и зарегистрировал дату внедрения и результаты проверки в диспетчере соответствия требованиям. Дополнительные сведения см. в разделе Управление процессом оценки этой статьи.

Ниже приведен пример средства контроля, управляемого клиентом, из семейства Data Protection by Design and Default (Стандартные средства защиты данных) для оценки соответствия Office 365 стандарту GDPR.

Средство контроля в диспетчере соответствия требованиям: выноски
  1. Здесь указывается информация из сертификации или нормативного акта, которые соответствуют средству контроля, управляемому клиентом.

    • Control ID    (Идентификатор средства контроля). Номер раздела или статьи стандарта или нормативного акта, которым соответствует средство контроля, управляемое клиентом.

    • Title    (Название). Название соответствующего стандарта или нормативного акта.

    • Article ID    (Идентификатор статьи). Это поле доступно только для оценок GDPR. В нем указывается номер соответствующей статьи GDPR.

    • Description    (Описание). Текст стандарта или нормативного акта, который соответствует выбранному средству контроля Майкрософт.

  2. Рейтинг соответствия требованиям для средства контроля, который обозначает уровень риска (из-за несоответствия или отсутствия внедрения средства контроля) для каждого средства контроля, управляемого клиентом. Дополнительные сведения см. в разделе Сведения о рейтинге соответствия требованиям. Обратите внимание, что рейтинг соответствия требованиям принимает значение от 1 до 10 и обозначен цветом. Желтый цвет указывает на низкий уровень риска средств контроля, оранжевый — на средний уровень, красный — на высокий уровень риска.

  3. Список связанных средств контроля клиента и соответствующий номер раздела или статьи сертификации или нормативного акта. Для просмотра дополнительной информации вы можете щелкнуть связанное средство контроля или статью.

  4. Вы можете назначать средства контроля пользователю для внедрения и/или тестирования внедрения. После назначения средства контроля определенному пользователю вы можете отправить ему уведомление по электронной почте с указанием рекомендованных действий для клиента. Список всех назначенных средств контроля доступен пользователю на панели мониторинга Action Items (Поручения) в диспетчере соответствия требованиям. Чтобы скачать документы, относящиеся к внедрению и тестированию средства контроля, щелкните элемент Manage Documents (Управление документами). Дополнительные сведения о пользователях оценки и управлении документами см. в разделе Управление процессом оценки.

  5. Поля Status (Статус) и Date (Дата) в столбце Implementation (Внедрение) можно использовать для отслеживания хода внедрения в вашей организации. В поле статуса можно указывать следующие значения: Not Implemented (Не внедрено), Implemented (Внедрено), Alternative Implementation (Альтернативное внедрение), Planned (Запланировано) и Not In Scope (Не входит в область применения).

  6. В полях Test Date (Дата тестирования) и Test Result (Результат тестирования) указываются соответствующие данные лицами, которые проверяют средство контроля.

  7. Для каждого средства контроля вы можете щелкнуть элемент More (Дополнительно), чтобы посмотреть рекомендованные действия клиентов для внедрения средства, а также использовать редактируемые поля для указания сведений о внедрении, плане тестирования и мнения о них.

К началу

По умолчанию все пользователи в организации могут с помощью учетной записи Office 365 или Azure AD запускать диспетчер соответствия требованиям и выполнять в нем любые действия. Чтобы использовать вместо стандартных разрешений модель управления доступом на основе ролей, необходимо добавить в каждую роль диспетчера соответствия требованиям хотя бы одного пользователя (см. приведенные ниже инструкции). После добавления пользователя в роль разрешения, назначенные этой роли, будут удалены из стандартного набора разрешений, доступного всем пользователям, и только пользователи, которым была назначена эта роль, смогут получать доступ к диспетчеру и выполнять связанные с нею действия.

После внедрения доступа на основе ролей у всех пользователей, которым не назначена определенная роль в диспетчере соответствия требованиям, будет гостевой доступ.

Примечание: чтобы полностью внедрить управление доступом на основе ролей и контролировать то, кто может получать доступ к диспетчеру соответствия требованиям и выполнять в нем действия, необходимо добавить по крайней мере одного пользователя в каждую роль. Например, если добавить пользователей к роли, которая позволяет управлять оценками, только они смогут управлять оценками. С другой стороны, если не добавить пользователя в роль, которая позволяет читать данные оценок, все пользователи в организации смогут получать доступ к диспетчеру соответствия требованиям и читать данные любых оценок.

В таблице ниже описаны все разрешения в диспетчере соответствия требованиям, а также указаны роли, которым они назначаются.

Compliance Manager Reader (Читатель диспетчера соответствия требованиям)

Compliance Manager Contributor (Участник диспетчера соответствия требованиям)

Compliance Manager Assessor (Аудитор диспетчера соответствия требованиям)

Compliance Manager Administrator (Администратор диспетчера соответствия требованиям)

Portal Admin (Администратор портала)

Read data    (Чтение данных). Пользователи могут читать данные, но не редактировать их.

Флажок

Флажок

Флажок

Флажок

Флажок

Edit data    (Изменение данных). Пользователи могут изменять все поля, за исключением полей Test Result (Результат тестирования) и Test Date (Дата тестирования).

Флажок

Флажок

Флажок

Флажок

Edit test results    (Изменение результатов тестирования). Пользователи могут изменять поля Test Result (Результат тестирования) и Test Date (Дата тестирования).

Флажок

Флажок

Флажок

Manage assessments    (Управление оценками). Пользователи могут создавать, архивировать и удалять оценки.

Флажок

Флажок

Manage users    (Управление пользователями). Пользователи могут добавлять в организацию других пользователей с ролями Reader (Читатель), Contributor (Участник), Assessor (Аудитор) и Administrator (Администратор). Только пользователи, имеющие роль глобального администратора в организации, могут добавлять или удалять пользователей для роли Portal Admin (Администратор портала).

Флажок

Гостевой доступ

После настройки доступа любой пользователь, которому не была назначена роль, будет по умолчанию иметь гостевой доступ (это также относится к учетным записям, не предоставленным организацией, таким как личные учетные записи Майкрософт).  У гостей нет полного доступа ко всем функциям диспетчера соответствия требованиям, и они не могут просматривать данные оценок, касающиеся соответствия требованиям. Однако они смогут получать доступ к отчетам о соответствии требованиям, касающимся Майкрософт, и документам Service Trust.  На рисунка ниже доступные функции выделены синим, а недоступные — красным.

Панель мониторинга диспетчера соответствия требованиям: гостевой доступ

Диспетчер соответствия требованиям: гостевой доступ, график

К началу

На панели мониторинга диспетчера соответствия требованиям в правом верхнем углу каждой плитки сертификации отображается общий рейтинг по ней.  Это общий рейтинг соответствия требованиям, который включает баллы, полученные по результатам оценки всех средств контроля, внедренных и протестированных на текущий момент.  При первом добавлении оценки можно заметить, что общий рейтинг соответствия требованиям не равен нулю. Это связано с тем, что баллы для средств контроля, управляемых Майкрософт, уже отражены в рейтинге, поскольку они успешно реализованы и протестированы для всех облачных служб Майкрософт.

Диспетчер соответствия требованиям: общая оценка соответствия

Остальные баллы присваиваются за успешное прохождение проверки клиентских средств контроля, то есть за реализацию и тестирование управляемых клиентом средств контроля, каждому из которых присваивается определенное число баллов.  

Для каждой оценки показан рейтинг соответствия требованиям, который помогает определить уровень риска (из-за несоответствия или сбоя), связанный с каждым средством контроля (включая средства контроля, управляемые Майкрософт или клиентом).  Каждому средству контроля, управляемому клиентом, назначается максимальное количество баллов (называемое рейтингом серьезности) по шкале от 1 до 10. Чем больше фактор риска средства контроля, тем больше баллов ему назначается.

Например, у показанного ниже средства контроля User Access Management (Управление доступом пользователей) очень высокий рейтинг серьезности, поэтому ему назначено значение 10.

Диспетчер соответствия требованиям: высокая важность средства контроля, оценка 10

 С другой стороны, у средства контроля Information Backup (Резервное копирование информации) более низкий рейтинг серьезности, поэтому ему соответствует значение 3.

Диспетчер соответствия требованиям: низкая важность средства контроля, оценка 3

Диспетчер соответствия требованиям назначает каждому средству контроля стандартный рейтинг серьезности. Рейтинг риска рассчитывается на основе указанных ниже критериев.

  • Предотвращает ли средство контроля возникновение инцидентов (самый высокий рейтинг), обнаруживает ли возникшие инциденты или исправляет их воздействие (самый низкий рейтинг).Что касается рейтинга серьезности, то средству контроля, которое предотвращает угрозы и является обязательным, назначается наибольшее число баллов, а средствам контроля, которые отвечают за обнаружение и исправление воздействия угроз (независимо от того, являются они обязательными или дискреционными), назначается наименьшее число.

  • Является ли средство контроля (после внедрения) обязательным, то есть пользователь не может обойти его (например, при сбросе пароля необходимо соблюсти требования в отношении длины пароля и символов в нем), или дискреционным, то есть пользователь может обойти его (например, бизнес-правила, которые требуют блокировки экранов, когда компьютер не используется).

  • Средства контроля, связанные с рисками нарушения конфиденциальности, целостности и доступности данных, независимо от того, являются эти угрозы внутренними или внешними, умышленными или случайными. Например, средствам контроля, которые помогают предотвратить внешнее проникновение в сеть и доступ к персональным данным, будет назначено больше баллов, чем средству контроля, которое не позволяет работнику случайно выполнить неправильную настройку маршрутизатора, вызывающую сбой в работе сети.

  • Риски, связанные с юридическими и внешними факторами, например контрактами, нормативными актами и общественными обязательствами, для каждого средства контроля.

Значения рейтинга соответствия требованиям для средства контроля учитываются или не учитываются в общем рейтинге полностью (то есть баллы начисляются, только если средство контроля было реализовано и прошло тестирование; частичное внедрение не учитывается).  Баллы прибавляются к общему рейтингу только когда, когда Implementation Status (Статус внедрения) элемента управления равен Implemented (Внедрено) или Alternative Implementation (Альтернативное внедрение), а в поле Test Result (Результат тестирования) указано Passed (Успешно).  

Основная функция рейтинга соответствия требованиям заключается в том, что он помогает определить, реализации каких средств контроля необходимо уделять внимание в первую очередь (он обозначает средства, с отсутствием внедрения которых связан наибольший риск).  Кроме того, важно заметить, что если средства контроля связаны с другими средствами (в той же оценке или в другой оценке этой группы), успешное прохождение проверки одним из средств может существенно упростить работу по проверке другого благодаря синхронизации результатов тестирования.

Например, на рисунке ниже показано, что оценка GDPR для Office 365 завершена на 46%, а 51 пройденная оценка из 111 возможных дает общий рейтинг соответствия требованиям, равный 289 из 600.

Диспетчер соответствия требованиям: сводка оценки

В рамках оценки средство контроля GDPR 7.5.5 связано с 5 другими (7.4.1, 7.4.3, 7.4.4,.7.4.8 и 7.4.9), каждое из которых имеет средний или высокий рейтинг серьезности (от 6 до 8).  Используя фильтр оценок, мы выбрали все эти средств контроля, показав их в представлении оценки. Как видно, ни одно из них не проходило оценку.    

Представление оценки в диспетчере соответствия требованиям: фильтрация средств контроля, оценки не выполнялись Так как эти 6 средств контроля связаны, при тестировании любого из них результаты будут синхронизированы с остальными средствами в этой оценке (или в других оценках, принадлежащих к той же группе). После реализации и тестировании средства контроля GDPR 7.5.5 область сведений обновится, и мы увидим, что все 6 средств контроля прошли оценку, число проверенных средств увеличилось до 57 (51%), а общий рейтинг соответствия требованиям поднялся на 40 баллов.

Представление оценки в диспетчере соответствия требованиям: результаты проверки средств контроля синхронизированы

Если изменение состояния реализации средства контроля повлияет на связанные с ним средства, появится диалоговое окно с запросом на подтверждение.

Оценка в диспетчере соответствия требованиям: диалоговое окно подтверждения для обновления связанных средств контроля

Примечание: сейчас рейтинг соответствия требованиям включен только в оценки для облачных служб Office 365. В оценках для Azure и Dynamics показан только статус.

К началу

Во время создания оценки вы можете создать для нее группу или присвоить ее существующей группе. Группы также помогают логически организовать оценки и использовать общую информацию и задачи рабочего процесса для оценок с одинаковыми или связанными средствами контроля, управляемыми клиентом.

Например, вы можете группировать оценки по группам, отделам или агентствам в организации или по годам. Ниже представлено несколько примеров групп и оценок, которые они могут содержать.

  • Оценки GDPR — 2018 г.

    • Office 365 + GDPR

    • Azure + GDPR

    • Dynamics + GDPR

  • Оценки Azure — 2018

    • Azure + GDPR

    • Azure + ISO 27001:2013

    • Azure + ISO 27018:2014

  • Оценки безопасности и конфиденциальности данных

    • Office 365 + ISO 27001:2013

    • Office 365 + ISO 27018:2014

    • Azure + ISO 27001:2013

    • Azure + ISO 27018:2014

Совет: мы рекомендуем определить стратегию формирования групп в организации до начала добавления новых оценок.

Ниже приведены требования для группировки оценок.

  • Имена групп (или идентификаторы групп) должны быть уникальными для организации.

  • Группы могут содержать оценки для одной и той же сертификации или нормативного акта, но каждая группа может содержать только одну оценку для каждой пары службы и сертификации. Например, группа не может содержать две оценки для пары Office 365 и GDPR. Аналогичным образом группа может содержать несколько оценок для одной и той же облачной службы, если соответствующая сертификация или нормативный акт являются уникальными для каждой из них.

После добавления оценки в группу последнюю невозможно изменить. Вы можете переименовать группу оценок, после чего во всех оценках будет использоваться новое имя группы. Также можно создать новую оценку и новую группу оценок, а затем скопировать в нее сведения из существующей оценки (при этом создается дубликат оценки в другой группе). При архивации оценки ее связь с группой разрывается, а дальнейшие изменения, вносимые в связанные оценки, не отражаются в архивированной оценке.

Как было сказано выше, одним из основных преимуществ групп является использование одного управляемого пользователем средства контроля (то есть действия клиента одинаковы для каждого средства) для разных оценок в одной группе. Таким образом, при внесении сведений о реализации, тестировании и статусе для средства контроля в одной оценке они будут синхронизироваться с тем же средством контроля в других оценках в группе. Другими словами, если для оценок используется одинаковое средство контроля и эти оценки находятся в одной группе, вам достаточно управлять процессом оценки для средства контроля только в одной оценке. Результаты для этого средства автоматически синхронизируются для других оценок. Например, для стандартов ISO-27001 и ISO-27018 есть средство контроля, связанное с политиками паролей. Если для статуса тестирования средства контроля указать значение Passed (Пройдено) в одной оценке, состояние этого средства обновится (то есть примет значение "Пройдено") и в другой, если обе оценки относятся к одной группе.

Например, рассмотрим два связанных средства контроля, которые относятся к шифрованию данных в общедоступных сетях, — 6.10.1.2 в оценке GDPR для Office 365 и SC-13 в оценке NIST 800-53 для Office 365. Оценки для этих средств контроля входят в группу Default (Стандартные). Изначально ни одна из этих оценок не была пройдена, как показано на панели мониторинга диспетчера соответствия требованиям.

Панель мониторинга диспетчера соответствия требованиям: сгруппированные оценки, до

Если щелкнуть оценку GDPR для Office 365 и применить фильтр, чтобы вывести средство контроля GDPR 6.10.1.2, можно увидеть, что в качестве связанного средства контроля указан SC-13 оценки NIST 800-53.

Оценка в диспетчере соответствия требованиям: общие средства контроля

 На рисунке ниже показано завершение реализации и тестировании средства контроля GDPR 6.10.1.2. 

Диспетчер соответствия требованиям: средство контроля GDPR 6.10.1.2, проверка пройдена

Если перейти к связанному средству контроля в группе оценок, мы увидим, что средство SC-13 для NIST 800-53 также помечено как завершенное. Оно прошло проверку в то же время без дополнительных усилий на реализацию и тестирование.

Диспетчер соответствия требованиям: выполнена оценка NIST 800-53 SC(13)

Вернувшись на панель мониторинга, мы видим, что для каждой оценки было проверено 1 средство контроля, а общий рейтинг увеличился на 8 (это оценка соответствия требованиям общего средства контроля).

Панель мониторинга диспетчера соответствия требованиям: синхронизация прогресса для сгруппированных оценок

К началу

Административные функции

Существует несколько административных функций, которые доступны только для учетной записи администратора клиента и отображаются только при входе в службу в качестве глобального администратора.

Примечание: разрешение Access to Restricted Documents (Доступ к документам с ограничениями) в раскрывающемся списке позволяет администраторам предоставлять пользователям доступ к документам с ограничениями, которые корпорация Майкрософт размещает на портале Service Trust Portal. Функция Restricted Documents (Документы с ограничениями) скоро будет доступна.

У каждой роли менеджера по соответствию требованиям немного разные разрешения. Вы можете просмотреть разрешения, назначенные каждой роли, список пользователей для нее, а также добавить пользователей в роль или удалить их, выбрав в меню Admin (Администратор) на портале Service Trust Portal пункт Settings (Параметры).

Меню администратора STP: выбран пункт "Параметры"

Чтобы добавить пользователей в роль менеджера по соответствию требованиям или удалить их из нее:

  1. Перейдите на сайт https://servicetrust.microsoft.com.

  2. Войдите с учетной записью глобального администратора Azure Active Directory.

  3. В верхней строке меню Service Trust Portal щелкните Admin (Администратор) и выберите Settings (Параметры).

  4. В раскрывающемся списке Select Role (Выбор роли) выберите роль, которой вы хотите управлять.

  5. Пользователи, добавленные в роли, указываются на странице Select Role (Выбор роли).

  6. Чтобы добавить пользователей в эту роль, нажмите кнопку Add (Добавить). В диалоговом окне Add Users (Добавление пользователей) щелкните поле пользователя. Вы можете прокрутить список доступных пользователей или начать вводить имя пользователя, чтобы отфильтровать список. Щелкните имя пользователя, чтобы добавить его учетную запись в список для назначения роли. Если вы хотите одновременно добавить несколько человек, начните вводить имя пользователя, чтобы отфильтровать список, а затем щелкните пользователя, чтобы добавить его в список. Нажмите кнопку Save (Сохранить), чтобы назначить выбранную роль этим пользователям.

    Диспетчер соответствия требованиям: назначение ролей, добавление пользователей

  7. Чтобы удалить пользователей из роли, выберите их и нажмите кнопку Delete (Удалить).

    Диспетчер соответствия требованиям: назначение ролей, удаление пользователя

К началу

Использование диспетчера соответствия требованиям

Диспетчер соответствия требованиям позволяет назначать, отслеживать и регистрировать действия, связанные с соответствием требованиям и оценкой, и обеспечивать соответствие требованиям в рамках всей организации.

Диспетчер соответствия требованиям: верхнее меню, новое меню "Администратор"

К началу

Диспетчер можно открыть через портал Service Trust Portal. Он доступен всем сотрудникам с учетной записью Azure Active Directory, предоставленной организацией, или учетной записью Майкрософт.

Диспетчер соответствия требованиям: доступ из меню STP

  1. Перейдите на сайт https://servicetrust.microsoft.com.

  2. Войдите в службу с помощью учетной записи Azure Active Directory (Azure AD).

  3. На портале Service Trust Portal щелкните Compliance Manager (Диспетчер соответствия требованиям).

  4. Когда появится соглашение о неразглашении, прочитайте его и нажмите кнопку Agree (Принимаю) для продолжения. Это достаточно сделать один раз. Затем появится панель мониторинга диспетчера соответствия требованиям.

  5. Чтобы помочь вам быстро приступить к работе, мы добавили следующие стандартные оценки:

    Оценки по умолчанию в диспетчере соответствия требованиям

    Вы также можете создать оценки для стандартов HIPAA, NIST 800-53 и NIST 800-171.

    • Office 365 и GDPR (Общий регламент по защите данных ЕС)

    • Office 365 и ISO 27001:2013 (стандарт по информационной безопасности)

    • Office 365 и ISO 27018:2014 (защита персональных данных)

    • Azure и ISO 27001:2013

    • Azure и ISO 27018:2014

  6. Щелкните элемент Значок справки в диспетчере соответствия требованиям Help (Справка), чтобы посмотреть краткий обзор диспетчера соответствия требованиям.

К началу

В диспетчере соответствия требованиям есть удобное представление всех назначенных вам поручений, связанных со средствами контроля, в котором можно легко и быстро выполнять нужные действия. Вы можете просмотреть все поручения или выбрать те из них, которые связаны с определенной сертификацией, открыв соответствующую вкладку.  Например, на приведенном ниже рисунке выбрана вкладка GDPR, на которой показаны средства контроля, связанные с оценкой GDPR.

Диспетчер соответствия требованиям: список действий, несколько вкладок, выбран акт GDPR

Просмотр поручений

  1. Откройте панель мониторинга диспетчера соответствия требованиям.

  2. Щелкните ссылку Action Items (Поручения). Страница обновится, и на ней появятся назначенные вам поручения.

  3. По умолчанию отображаются все поручения. Если ваши поручения относятся к нескольким сертификатам, их названия будут указаны на вкладках вверху. Чтобы увидеть поручения для определенной сертификаций, щелкните ее вкладку.

К началу

Чтобы добавить оценку в диспетчер соответствия требованиям:

  1. На панели мониторинга диспетчера соответствия требованиям щелкните Значок "Добавить" Add Assessment (Добавить оценку).

  2. В окне Add an Assessment (Добавление оценки) вы можете создать группу для добавления оценки или использовать для этого существующую группу (встроенная группа называется Initial Group, т. е. первоначальная группа). В зависимости от выбранного варианта введите название новой группы или выберите существующую группу из раскрывающегося списка. Дополнительные сведения см. в разделе Группировка оценок.

    При создании группы вы также можете скопировать информацию из существующей группы в новую оценку. Это означает, что информация из полей Implementation Details (Сведения о внедрении) и Test Plan and Management Response (План тестирования и мнение руководителя) средств контроля, управляемых клиентом, для оценок в группе, из которой вы копируете сведения, копируется в те же (или связанные) средства контроля, управляемые клиентом, в новой оценке. Если вы добавляете новую оценку в существующую группу, общая информация об оценках в этой группе копируется в новую оценку. Дополнительные сведения см. в разделе Копирование информации из существующих оценок.

  3. Нажмите кнопку Next (Далее) и выполните одно из указанных ниже действий.

    • Выберите облачную службу Майкрософт для оценки соответствия требованиям в раскрывающемся списке Select a product (Выбор продукта).

    • Выберите сертификацию для оценки выбранной облачной службы в раскрывающемся списке Select a certification (Выбор сертификации).

  4. Нажмите кнопку Add to Dashboard (Добавить на панель мониторинга) для создания оценки. Оценка появится на новой плитке (после существующих).

    На плитке оценки показаны группа оценки, ее название (автоматически созданное на основе имени службы и выбранной сертификации), даты создания и последнего изменения, а также общий рейтинг соответствия требованиям (сумма значений всех средств контроля, которые были реализованы и успешно прошли тестирование). Кроме того, внизу плитки есть индикаторы, которые показывают количество средств контроля, прошедших оценку.

  5. Щелкните название оценки, чтобы открыть ее и просмотреть подробные сведения.

  6. Щелкните меню Actions (Действия), чтобы просмотреть назначенные вам поручения, переименовать группу оценки, экспортировать отчет или заархивировать оценку.

Диспетчер соответствия требованиям: плитка оценки

К началу

Как было сказано выше, при создании группы оценок вы можете скопировать информацию об оценках из существующей группы в новую оценку. Это позволяет применить оценку и выполненную работу по тестированию для таких же средств контроля, управляемых клиентом, в новой оценке. Например, если у вас есть группа для всех оценок в организации, связанных со стандартом GDPR, вы можете скопировать общую информацию из существующих сведений об оценке во время добавления новой оценки в группу.

В новую оценку вы можете скопировать указанные ниже сведения от клиента.

  • Пользователи оценки. Пользователь оценки — это пользователь, которому назначается средство контроля.

  • Статус, дата и результаты тестирования.

  • Сведения о реализации и плане тестирования.

Аналогичным образом синхронизируется информация из общих средств контроля, управляемых клиентом, в одной группе оценок. Также синхронизируется информация в связанных средствах контроля, управляемых клиентом, в той же оценке.

К началу

  1. Найдите плитку нужной оценки, а затем щелкните название оценки, чтобы открыть ее и посмотреть для нее средства контроля, управляемые Майкрософт или клиентом, а также список облачных служб, которых она касается. Ниже представлен пример оценки для Office 365 и GDPR.

    Представление оценки в диспетчере соответствия требованиям: весь экран с выносками

    1. В этом разделе выводятся общие сведения об оценке, включая названия группы, продукта, оценки, а также количество средств контроля.

    2. Здесь находятся фильтры оценок. Дополнительные сведения о том, как их использовать, см. в разделе Управление процессом оценки.

    3. В этом разделе указаны отдельные облачные службы, к которым относится оценка.

    4. Этот раздел содержит средства контроля, управляемые Майкрософт. Связанные средства контроля сгруппированы в семейства. Щелкните семейство, чтобы развернуть его и отобразить отдельные средства контроля.

    5. Этот раздел содержит клиентские средства контроля, которые также организованы в семейства. Щелкните семейство, чтобы развернуть его и отобразить отдельные средства контроля.

    6. Общее число средств контроля в семействе и количество оцениваемых средств. Диспетчер соответствия требованиям позволяет отслеживать ход оценки средств контроля, управляемых клиентом. Дополнительные сведения см. в разделе Сведения о рейтинге соответствия требованиям.

К началу

Создатель оценки изначально является ее единственным пользователем. Для каждого клиентского средства контроля можно назначить поручение сотруднику организации, чтобы он стал пользователем оценки и смог выполнять рекомендуемые действия, а также собирать и добавлять доказательства. При назначении поручения вы можете отправить сообщение электронной почты, в котором указаны рекомендуемые действия и приоритет. Уведомление включает ссылку на панель мониторинга Action Items (Поручения), где перечислены все поручения, назначенные этому человеку.

Ниже приведен список задач, которые можно выполнять с помощью средств рабочего процесса в диспетчере соответствия требованиям.

Рабочий процесс оценки в диспетчере соответствия требованиям с выносками
  1. Поиск определенных средств контроля с помощью фильтра.   Параметры фильтрации диспетчера позволяют детально задавать условия для отображения средств контроля, чтобы фокусировать свои усилия на тех или иных областях.  

    Щелкните значок воронки в правой части страницы, чтобы показать или скрыть параметры фильтрации. Укажите условия фильтрации, и ниже будут выведены только средства контроля, которые соответствуют им. Оценки в диспетчере соответствия требованиям: фильтрация средств контроля

    • Articles (Статьи): фильтрует данные по названию статьи и возвращает только средства контроля, связанные с ней. Например, если ввести "Article (5)", появится список статей, названия которых включают в себя эту строку, например Article (5)(1)(a), Article (5)(1)(b), Article (5)(1)(c) и т. д. При выборе статьи Article (5)(1)(c) будут выведены средства контроля, связанные с этой статьей. Это поле множественного выбора, в котором значения соединяются с помощью оператора OR, то есть если выбрать статью Article (5)(1)(a) и добавить Article (5)(1)(c), фильтр вернет средства контроля, связанные с любой из этих статей.

      Представление оценки в диспетчере соответствия требованиям: фильтрация по названию статьи

    • Controls (Средства контроля): возвращает список средств контроля, названия которых соответствуют условию фильтра. Например, при вводе 7.3 возвращаются средства 7.3.1, 7.3.4, 7.3.5 и т. д. Это поле множественного выбора, в котором значения соединяются с помощью оператора OR, то есть если выбрать 7.3.1 и добавить 7.3.4, фильтр вернет средства контроля с любым из этих номеров.

      Представление оценки в диспетчере соответствия требованиям: фильтрация средств контроля, множественный выбор

    • Assigned Users (Назначенные пользователи): возвращает список средств контроля, которые назначены выбранному пользователю.

    • Status (Статус): возвращает список средств контроля с указанным статусом.

    • Test Result (Результат тестирования): возвращает список средств контроля с выбранным результатом тестирования.

    При применении условий фильтра в представлении выводятся соответствующие средства контроля.  Разверните семейства средств контроля, чтобы отобразить подробные сведения о средствах контроля ниже.  

    Представление оценки в диспетчере соответствия требованиям: результаты фильтрации статей

  2. Если после выбора фильтров не выводятся результаты, это означает, что нет средств контроля, которые соответствуют указанным условиям. Например, если выбрать определенного пользователя в поле Assigned User, а затем в поле Control указать средство контроля, которое не назначено этому пользователю, оценки показаны не будут.

  3. Назначение поручения пользователю.    Вы можете назначать поручения сотрудникам, чтобы они обеспечили соответствие требованиям сертификации или нормативного акта либо протестировали, проверили и задокументировали требования организации к внедрению. При назначении поручения вы можете отправить сообщение электронной почты, в котором указаны рекомендуемые действия и приоритет. Вы также можете отменить поручение или переназначить его другому пользователю.

  4. Управление документами.    Для клиентских средств контроля также можно управлять документами, которые относятся к задачам реализации, тестирования и проверки. Любой пользователь с разрешением на изменение данных в диспетчере соответствия требованиям может добавить документы, нажав кнопку Manage Documents (Управление документами). После добавления документа можно нажать эту кнопку, чтобы просмотреть или скачать файлы.

  5. Добавление сведений о реализации и тестировании.    У каждого средства контроля, управляемого клиентом, есть редактируемое поле, в которое пользователи могут добавлять подробные сведения о реализации, чтобы документировать действия, выполненные в организации для обеспечения или проверки соответствия конкретной сертификации или нормативному акту.

  6. Задание статуса.    Можно указать статус для каждого элемента в процессе оценки. Доступны следующие значения: Implemented (Реализовано), Alternative Implementation (Внедрена альтернатива), Planned (Запланировано) и Not in Scope (Не входит в область действия).

  7. Ввод даты и результатов тестирования.    Пользователь с ролью аудитора может подтвердить правильность тестирования, изучить сведения о реализации, план тестирования, результаты тестирования и все добавленные доказательства, а затем указать дату и результат тестирования. Доступные результаты тестирования: Passed (Пройдено), Failed-Low Risk (Не пройдено, низкий риск), Failed-Medium Risk (Не пройдено, средний риск) и Failed-High Risk (Не пройдено, высокий риск).

К началу

Сотрудники, которые участвуют в процессе оценки, могут просматривать в диспетчере клиентские средства контроля для всех оценок, пользователями которых они являются. Когда пользователь входит в диспетчер соответствия требованиям и открывает панель мониторинга Action Items (Поручения), отображается список поручений, назначенных ему. В зависимости от роли пользователя он может ввести сведения о реализации или тестировании, обновить статус или назначить поручения.

Так как средства контроля для сертификации обычно внедряются одним человеком, а тестируются другим, поручение можно сначала назначить пользователю, отвечающему за реализацию, а затем он сможет переназначить его коллеге для тестирования средства контроля и добавления доказательств. Назначать и переназначать поручения могут все пользователи, у которых есть роль менеджера по соответствию требованиям и достаточные разрешения. Это позволяет централизованно управлять назначением средств контроля или же передавать поручения в частном порядке от того, кто внедряет средства контроля, к тому, кто их тестирует.

Чтобы назначить поручение:

  1. На панели мониторинга диспетчера соответствия требованиям найдите плитку нужной оценки и щелкните название оценки, чтобы перейти на страницу ее сведений.

  2. Вы можете нажать кнопку Filter (Фильтр) и задать условия фильтрации, чтобы найти определенное средство контроля.

  3. Кроме того, можно прокрутить экран до раздела Customer Managed Controls (Управляемые клиентом средства контроля), развернуть нужное семейство и найти средство в списке.

  4. В столбце Assigned User (Назначенный пользователь) нажмите синюю кнопку Assign (Назначить).

  5. В диалоговом окне Assign Action Item (Назначение поручения) щелкните поле Assign To (Кому), чтобы заполнить список пользователей. Чтобы найти нужное имя, можно пролистать список или начать вводить его в поле.

  6. Щелкните пользователя, чтобы назначить ему поручение.

  7. Если вы хотите отправить пользователю уведомление по электронной почте, убедитесь, что флажок Send Email Notification (Отправить уведомление по электронной почте) установлен.

  8. При необходимости введите заметки для пользователя и нажмите кнопку Assign (Назначить).

  9. Пользователь получит уведомление о поручении вместе с вашими заметками.

Заметки, связанные с поручением, сохранятся в разделе заметок и будут доступны при следующем назначении поручения. Пользователь, назначающий поручение, может их редактировать, заменять и удалять.

К началу

Оценку можно экспортировать в файл Excel, предназначенный для заинтересованных лиц в вашей организации, а также аудиторов и контролирующих органов. Такой отчет, представляющий собой моментальный снимок оценки на дату и время его создания, содержит сведения о средствах контроля, управляемых Майкрософт и клиентом, в том числе о состоянии их реализации, дате и результатах тестирования, а также ссылки на добавленные документы доказательств. Рекомендуется экспортировать отчет об оценке перед ее архивацией, так как в архивированных оценках не сохраняются ссылки на добавленные документы.

Чтобы экспортировать отчет:

  1. На панели мониторинга диспетчера соответствия требованиям щелкните ссылку Actions (Действия) на плитке нужной оценки, а затем выберите Export to Excel (Экспортировать в Excel).

  2. Если вы просматриваете страницу сведений об оценке, нажмите кнопку Export to Excel (Экспортировать в Excel), которая находится в правом верхнем углу страницы над рейтингом соответствия требованиям.

Отчет будет скачан в браузере. Если вы не увидите всплывающее окно с уведомлением о скачивании, просмотрите папку загрузок браузера.

К началу

Если завершенная оценка больше не нужна, ее можно заархивировать. При архивации оценка удаляется с панели мониторинга.

Примечание: заархивированную оценку нельзя восстановить или сделать активной.  Обратите внимание на то, что в архивированных оценках не сохраняются ссылки на добавленные документы доказательств, поэтому настоятельно рекомендуется экспортировать оценку перед ее архивацией, чтобы иметь доступ к документам.

Архивация оценки

  1. На плитке нужной оценки нажмите кнопку Actions (Действия).

  2. Выберите Archive Assessment (Архивировать оценку).

  3. Появится диалоговое окно Archive Assessments (Архивация оценок), в котором предлагается подтвердить действие.

  4. Если вы хотите выполнить архивацию, нажмите кнопку Archive (Архивировать). В противном случае нажмите Cancel (Отмена).

Чтобы просмотреть архивированные оценки:

  1. На панели мониторинга диспетчера соответствия требованиям установите флажок Show Archived (Показать архивированные).

  2. Архивированные оценки будут отображены в новом разделе Archived Assessments под активными оценками.

  3. Щелкните имя оценки, которую вы хотите просмотреть.

  4. При просмотре архивированной оценки поля, которые обычно можно изменять (Implementation, Test Results), будет неактивны, а кнопка Managed Documents (Управляемые документы) будет отсутствовать.

К началу

Журнал изменений средств контроля под управлением клиента

Диспетчер соответствия требованиям регулярно обновляется в соответствии с нормативными требованиями и изменениями в наших облачных службах. Эти обновления также отражают изменения средств контроля под управлением клиента. Журнал изменений позволяет понимать, какое влияние они оказывают, а также содержит подробные сведения о добавленном или измененном содержимом и влиянии этих изменений на существующие оценки. Обычно выделяют два типа изменений:

  • Существенные изменения — это значительные изменения действий клиентов, например добавление или удаление определенных этапов или изменение положений, касающихся обязанностей, рекомендаций или доказательств. При наличии существенных изменений мы рекомендуем повторно оценить свою реализацию и/или оценку соответствующего средства контроля.

  • Несущественными считаются незначительные изменения действий клиентов, такие как исправление опечатки или форматирования, обновление или исправление гиперссылок. Они обычно не требуют повторной оценки средств контроля, но мы рекомендуем вам быть в курсе изменений.

В следующей таблице приведены изменения, которые были внесены в управляемые клиентами средства контроля. 

Журнал изменений средств контроля под управлением клиента для Office 365 

Средства контроля

Изменение и рекомендации

GDPR

HIPAA

ISO 27001

ISO 27018

NIST 800-53

NIST 800-171

Тип изменения

Описание изменения

Рекомендуемые действия

6.13.2

C.16.1.1

Существенное

Ранее имело номер 6.12.1.1.

Рекомендации дополнены.

Повторно оцените средство контроля: изучите новые инструкции в разделе Customer Actions (Действия клиентов) и следуйте им при реализации и оценке средства контроля.

3.1.6

Существенное

Добавлены инструкции, в том числе по включению аудита и поиску в журналах аудита.

Изучите новые рекомендации в разделе Customer Actions (Действия клиентов).

6.8.2

A.10.2

Существенное

Ранее имело номер 6.7.2.9.

Добавлены рекомендации и поручения.

Повторно оцените средство контроля: изучите новые инструкции в разделе Customer Actions (Действия клиентов) и следуйте им при реализации и оценке средства контроля.

6.6.4

45 C.F.R. § 164.312(a)(2)(i)


45 C.F.R. § 164.312(d)

A.9.4.2

IA-2

3.5.1

Существенное

Ранее имело номер 6.5.2.3.

Добавлены рекомендации и поручения.

Повторно оцените средство контроля: изучите новые инструкции в разделе Customer Actions (Действия клиентов) и следуйте им при реализации и оценке средства контроля.

6.13.1

45 C.F.R. § 164.308(a)(1)(i)

A.16.1

C.16.1

IR-4(a)

3.6.1

Существенное

Ранее имело номер 6.12.1.

Добавлены рекомендации и поручения.

Повторно оцените средство контроля: изучите новые инструкции в разделе Customer Actions (Действия клиентов) и следуйте им при реализации и оценке средства контроля.

6.7

Существенное

Ранее имело номер 6.6.1.1.

Добавлены рекомендации и поручения.

Повторно оцените средство контроля: изучите новые инструкции в разделе Customer Actions (Действия клиентов) и следуйте им при реализации и оценке средства контроля.

6.6.5

A.10.8

IA-3

3.5.2

Существенное

Ранее имело номер 6.5.4.2.

Добавлены рекомендации и поручения.

Повторно оцените средство контроля: изучите новые инструкции в разделе Customer Actions (Действия клиентов) и следуйте им при реализации и оценке средства контроля.

6.15.1

Существенное

Ранее имело номер 6.14.1.3.

Добавлены рекомендации и поручения.

Повторно оцените средство контроля: изучите новые инструкции в разделе Customer Actions (Действия клиентов) и следуйте им при реализации и оценке средства контроля.

AC-2(h)(2)

Несущественное

Добавлена ссылка на раздел Enable Auditing (Включение аудита).

Действия не требуются.

AC-2(7)(b)

Несущественное

Добавлена ссылка на раздел Enable Auditing (Включение аудита).

Действия не требуются.

AC-2(h)(1)

Несущественное

Добавлена ссылка на раздел Enable Auditing (Включение аудита).

Действия не требуются.

45 C.F.R. § 164.308(a)(5)(ii)(C)

AC-2(g)

Несущественное

Добавлена ссылка на раздел Enable Auditing (Включение аудита).

Действия не требуются.

AC-2(12)

Несущественное

Добавлена ссылка на раздел Enable Auditing (Включение аудита).

Действия не требуются.

45 C.F.R. § 164.312(b)

A.12.4.3

AU-2(d)

Несущественное

Добавлена ссылка на раздел Enable Auditing (Включение аудита).

Действия не требуются.

AC-2(4)

Несущественное

Добавлена ссылка на раздел Enable Auditing (Включение аудита).

Действия не требуются.

3.1.7

Несущественное

Добавлена ссылка на раздел Enable Auditing (Включение аудита).

Действия не требуются.

A.16.1.7

C.12.4.2, часть 2

Несущественное

Добавлена ссылка на раздел Enable Auditing (Включение аудита).

Действия не требуются.

AC-2(h)(3)

Несущественное

Добавлена ссылка на раздел Enable Auditing (Включение аудита).

Действия не требуются.

A.12.4.2

Несущественное

Добавлена ссылка на раздел Enable Auditing (Включение аудита).

Действия не требуются.

A.7.2.8

Несущественное

Добавлены ссылки на раздел Content Search (Поиск контента) и портал DSR.

Действия не требуются.

45 C.F.R. § 164.308(a)(3)(ii)(C)

Несущественное

Добавлены ссылки на раздел Enable Auditing (Включение аудита) и разделы справки о роли администратора Office 365.

Действия не требуются.

5.2.1

Несущественное

Ранее имело номер 5.2.2.

Уточнены обязанности клиентов.

Изучите новые рекомендации в разделе Customer Actions (Действия клиентов).

6.11.1

45 C.F.R. § 164.312(e)(2)(ii)

A.10.1.1
A.10.1.2
A.18.1.5

C.10.1.1

SC-13

3.13.11

Несущественное

Ранее имело номер 6.10.1.2.

Исправлена опечатка.

Действия не требуются.

7.5.1

Несущественное

Ранее имело номер A.7.4.1.

Исправлена опечатка.

Действия не требуются.

A.8.2.3

3.1.3

Несущественное

Удалено ненужное предложение.

Действия не требуются.

45 C.F.R. § 164.308(a)(4)(i)

A.6.1.2

AC-5(a)

3.1.2
3.1.4

Несущественное

Добавлены рекомендации и поручения.

Изучите новые рекомендации в разделе Customer Actions (Действия клиентов).

45 C.F.R. § 164.308(a)(7)(ii)(E)

RA-2(a)

Несущественное

Ссылка на раздел справки по службе импорта заменена короткой ссылкой (FWlink).

Действия не требуются.

В таблице ниже представлены изменения идентификаторов средств контроля для оценки GDPR в диспетчере соответствия требованиям.

Изменения идентификаторов средств контроля для оценки GDPR

Предыдущий идентификатор

Новый идентификатор

5.2.2

5.2.1

5.2.3

5.2.2

5.2.4

5.2.3

6.1.1.1

6.2

6.10.1.2

6.11.1

6.10.2.5

6.11.2

6.11.1.2

6.12

6.12.1

6.13.1

6.12.1.1

6.13.2

6.12.1.5

6.13.3

6.14.1.3

6.15.1

6.14.2.1

6.15.2

6.14.2.3

6.15.3

6.2.1.1

6.3

6.3.2.2

6.4

6.4.3.1

6.5.2

6.4.3.2

6.8.1

6.4.3.3

6.5.3

6.5.2

6.6.1

6.5.2.1

6.6.2

6.5.2.2

6.6.3

6.5.2.3

6.6.4

6.5.4.2

6.6.5

6.6.1.1

6.7

6.7.2.7

6.8.1

6.7.2.9

6.8.2

6.8.1.4

6.9.1

6.8.4.1

6.9.3

6.8.4.2

6.9.4

6.9.2.1

6.10.1

6.9.2.3

6.10.2

A.7.1.1

7.2.1

A.7.1.2

7.2.2

A.7.1.3

7.2.3

A.7.1.4

7.2.4

A.7.1.5

7.2.5

A.7.1.6

7.2.6

A.7.1.7

7.2.7

A.7.2.1

7.3.1

A.7.2.10

7.3.9

A.7.2.11

7.3.10

A.7.2.2

7.3.2

A.7.2.3

7.3.3

A.7.2.4

7.3.4

A.7.2.5

7.3.5

A.7.2.6

7.3.6

A.7.2.7

7.3.7

A.7.2.8

7.3.8

A.7.3.1

7.4.1

A.7.3.10

7.4.10

A.7.3.2

7.4.2

A.7.3.3

7.4.3

A.7.3.4

7.4.4

A.7.3.5

7.4.5

A.7.3.6

7.4.6

A.7.3.7

7.4.7

A.7.3.8

7.4.8

A.7.3.9

7.4.9

A.7.4.1

7.5.1

A.7.4.2

7.5.2

A.7.4.3

7.5.3

A.7.4.4

7.5.4

A.7.4.5

7.5.5

B.8.1.1

8.2.1

B.8.1.2

8.2.2

B.8.1.3

8.2.3

B.8.1.4

8.2.4

B.8.1.5

8.2.5

B.8.1.6

8.2.6

B.8.2.1

8.3.1

B.8.3.1

8.4.1

B.8.3.2

8.4.2

B.8.3.3

8.4.3

B.8.4.1

8.5.1

B.8.4.2

8.5.2

B.8.4.3

8.5.4

B.8.4.4

8.5.5

B.8.4.5

8.5.3

B.8.4.6

8.5.6

B.8.4.7

8.5.7

B.8.4.8

8.5.8

К началу

См. также

Совершенствование навыков работы с Office
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×