Использование предварительной версии диспетчера соответствия требованиям на портале Service Trust Portal

Примечание:  Мы стараемся как можно оперативнее обеспечивать вас актуальными справочными материалами на вашем языке. Эта страница переведена автоматически, поэтому ее текст может содержать неточности и грамматические ошибки. Для нас важно, чтобы эта статья была вам полезна. Просим вас уделить пару секунд и сообщить, помогла ли она вам, с помощью кнопок внизу страницы. Для удобства также приводим ссылку на оригинал (на английском языке) .

В этой статье описаны функции предварительного просмотра, могут быть недоступны для всех пользователей, который может быть изменена. Обратите внимание, что эта возможность предварительного просмотра недоступна в Служба Office 365, предоставляемая 21Vianet или Office 365 Germany.

Новые Диспетчер соответствия требованиям в Портале управления безопасностью Microsoft (STP) доступны инструменты для отслеживания, реализации и управлять аудита элементами управления, которые помогут достичь соблюдение безопасности или отраслевого защиты данных вашей организации стандартов при относительно Microsoft облачные службы, такие как Office 365 и Microsoft Azure. Она помогает тот, кто отвечает за стратегии защиты данных для организации (иногда его называют Сотрудник службы защиты данных) для управления соответствие требованиям и процесс оценки риска.

Диспетчер соответствия требованиям:

  • Содержит подробные сведения, предоставляемые корпорацией Майкрософт аудиторам и контролирующим органам в рамках сторонних аудитов облачных служб Майкрософт на соответствие различным стандартам (таких как ISO 27001:2013 и ISO 27018:2014), данные, которые Майкрософт собирает внутри компании для соблюдения нормативных требований (таких как Общий регламент по защите данных ЕС, или GDPR), а также ваши собственные оценки соответствия требованиям таким стандартам и нормативным актам.

  • Позволяет назначать, отслеживать и регистрировать действия, связанные с соответствием требованиям и оценкой, что помогает обеспечить соответствие требованиям в рамках всей организации.

  • Предоставляет защищенный репозиторий для хранения доказательств и других артефактов, связанных с действиями по обеспечению соответствия требованиям, а также управления ими.

  • Позволяет создавать подробные отчеты в Microsoft Excel, в которых документируются действия по соответствию требованиям, выполняемые корпорацией Майкрософт и вашей организацией, для предоставления аудиторам, контролирующим органам и другим заинтересованным лицам.

Важно: Диспетчер соответствия требованиям — это панель мониторинга, которая содержит общие сведения о статусе защиты данных и соответствия требованиям, а также рекомендации по их улучшению. Рекомендации не носят обязательного характера: вы должны определить, имеют ли они смысл в вашей среде, прежде чем внедрять их. Рекомендации диспетчера соответствия требованиям не должны рассматриваться в качестве гарантии соответствия требованиям.

Содержание

Оценки в диспетчере соответствия требованиям

Доступ к диспетчеру соответствия требованиям

Назначение разрешений для диспетчера соответствия требованиям

Добавление оценки

Управление процессом оценки

Управление поручениями

Экспорт данных из оценки

Архивация оценки

Оценки в диспетчере соответствия требованиям

Компонент core Диспетчер соответствия требованиям называется оценки. Оценка облачной службе Майкрософт (например, Office 365 ) в сочетании с сертификации стандартной или регулирование защиты данных (например, «ISO 27001:2013 или GDPR). Оценки помогают по анализу защиты данных вашей организации и соответствие требованиям уровня от выбранного отраслевым стандартом для выбранного облачной службе Майкрософт. Оценки выполняются с помощью элементов управления, которые сопоставление стандартных проверяемый сертификации реализации.

Структура оценка отражает принцип распределения ответственности между корпорацией Майкрософт и вашей организацией по оценке рисков безопасности и соответствия требованиям в облаке и по внедрению мер защиты данных, определяемых стандартом соответствия требованиям или защиты данных, нормативным положением или законом.

  • Средства контроля, управляемые Майкрософт.    Для каждой облачной службы Майкрософт реализует и администрирует набор средств в рамках стратегии соответствия различным стандартам и нормативным актам. Такие средства группируются в семейства и образуют внутреннюю платформу контроля Майкрософт. Для каждого такого средства диспетчер соответствия требованиям предлагает сведения о том, как корпорация Майкрософт внедрила его, а также как и когда такое внедрение было протестировано и проверено независимым сторонним аудитором.

    Ниже приведен пример средств контроля Майкрософт из семейства Accountability, Audit, and Risk (Отчетность, аудит и риск) для оценки соответствия Office 365 стандарту ISO 27001:2013.

    Сведения о средствах контроля Майкрософт в диспетчере соответствия требованиям
    1. Идентификатор средства контроля из внутренней платформы соответствия требованиям Майкрософт.

    2. Номер раздела или статьи стандарта или положения, которые соответствуют выбранному идентификатору средства контроля Майкрософт.

    3. Описание раздела или статьи из стандартной или нормативными правилами, который сопоставить идентификатора выделенного элемента управления MS  Для каждого элемента управления щелкните Дополнительные для просмотра дополнительных сведений, включая сведения о реализации корпорации Майкрософт для элемента управления и подробные сведения о как протестированных и проверенные независимых аудиторов стороннего поставщика управления.

    4. Сведения о статусе реализации средства контроля, дате его тестирования, о том, кто выполнил тест, и о результатах тестирования.

  • Средства контроля, управляемые клиентом.    В эту коллекцию включены средства, которые управляются вашей организацией. Она отвечает за их реализацию в рамках соответствия требованиям определенного стандарта или положения. Используйте такие средства контроля для реализации действий, рекомендуемых корпорацией Майкрософт для соответствия требованиям. Организация может использовать советы и рекомендации в таких средствах для управления процессом внедрения и оценки.

    У клиентских средств контроля также есть встроенные функции управления рабочими процессами, с помощью которых можно отслеживать ход оценки и выполнять действия, необходимые для ее успешного прохождения. Например, сотрудник, отвечающий за соответствие требованиям в вашей организации, может назначать поручения ИТ-администратору, у которого есть разрешения на выполнение рекомендуемых действий. По завершении работы ИТ-администратор может добавить доказательства выполнения задач (например, снимки экрана с конфигурацией или параметрами политики), а затем назначить поручения сотруднику, отвечающему за соответствие требованиям, чтобы он оценил собранные доказательства, протестировал реализацию средства контроля и зарегистрировал дату внедрения и результаты проверки в диспетчере соответствия требованиям. Дополнительные сведения см. в разделе Управление процессом оценки этой статьи.

    Ниже приведен пример клиентских средств контроля из семейства Identification and Authentication (Удостоверения и проверка подлинности) для оценки соответствия Office 365 стандарту ISO 27001:2013.

    Сведения о клиентских средствах контроля в диспетчере соответствия требованиям
    1. Идентификатор средства контроля из внутренней платформы соответствия требованиям Майкрософт и номер раздела или статьи стандарта или положения, которые соответствуют выбранному идентификатору.

    2. Описание раздела или статьи из стандартной или нормативными правилами, который сопоставить идентификатора выделенного элемента управления MS  При выборе несколькихбудет предоставляться с рекомендуемые действия клиента, вместе с полями, которые позволяют реализации и протестировать план подробные сведения об организации.

    3. Можно назначить поручения определенному человеку, чтобы он реализовал и/или проверил средство контроля. При назначении поручения вы можете отправить по электронной почте уведомление, которое содержит рекомендуемые действия клиентов, при необходимости добавив в него заметки.

    4. Поле Status (Статус) используется для отслеживания хода реализации в вашей организации. 

    5. В полях Test Date (Дата тестирования) и Test Result (Результат тестирования) указываются соответствующие данные лицами, которые проверяют средство контроля.

К началу

Доступ к диспетчеру соответствия требованиям

На панели мониторинга диспетчера соответствия требованиям можно назначать, отслеживать и регистрировать действия, связанные с соответствием требованиям и оценкой, и обеспечивать соответствие требованиям в рамках всей организации. Диспетчер можно открыть через портал STP. Его предварительная версия доступна всем сотрудникам организации, у которых есть учетная запись Майкрософт.

  1. Перейдите на сайт https://aka.ms/STP (эта ссылка разрешится в https://servicetrust.microsoft.com).

  2. Войдите в службу с помощью учетной записи Office 365 или Azure Active Directory (Azure AD).

  3. На портале службы управления безопасностью щелкните Диспетчер соответствия требованиям.

    Щелкните диспетчер соответствия требованиям, чтобы открыть его
  4. При отображении соглашение без раскрытия прочитать его и нажмите кнопку согласен , чтобы продолжить. Вам придется только после этого, а затем отображается панель мониторинга диспетчера соответствия требованиям. Чтобы приступить к работе, мы добавили ниже оценок по умолчанию:

    • Office 365 и GDPR (Общий регламент по защите данных ЕС)

    • Office 365 и ISO 27001:2013 (стандарт по информационной безопасности)

      Примечание: Предварительный просмотр соответствия диспетчер включена для создания оценки для Office 365 и ISO 27018:2014 (стандартная защиты личных данных).

    Стандартные инструменты контроля в диспетчере соответствия требованиям
  5. Нажмите кнопкуСправка , вы ознакомитесь с диспетчером соответствия короткий Значок справки в диспетчере соответствия требованиям .

  6. Щелкните название оценки, чтобы открыть ее и просмотреть для нее средства контроля, управляемые Майкрософт или клиентом, а также список облачных служб, которых касается оценка.

    Компоненты оценки в диспетчере соответствия требованиям
    1. В этом разделе указаны отдельные облачные службы, к которым относится оценка.

    2. Этот раздел содержит средства контроля, управляемые Майкрософт. Связанные средства контроля сгруппированы в семейства. Щелкните семейство, чтобы развернуть его и отобразить отдельные средства контроля.

    3. Этот раздел содержит клиентские средства контроля, которые также организованы в семейства. Щелкните семейство, чтобы развернуть его и отобразить отдельные средства контроля.

    4. Общее число средств контроля в семействе и количество оцениваемых средств. Диспетчер соответствия требованиям позволяет отслеживать ход оценки средств контроля, управляемых клиентом.

К началу

Назначение разрешений для диспетчера соответствия требованиям

По умолчанию все пользователи в организации могут с помощью учетной записи Office 365 или Azure AD получать доступ к диспетчеру соответствия требованиям и выполнять в нем любые действия. Чтобы изменить стандартные разрешения, необходимо добавить в каждую роль диспетчера соответствия требованиям хотя бы одного пользователя (см. приведенные ниже инструкции). После добавления пользователя к роли стандартные разрешения будут удалены и только добавленные пользователи смогут получать доступ к Диспетчер соответствия требованиям и выполнять действия, разрешенные этой ролью.

Примечание: Чтобы управлять тем, кто может получать доступ к диспетчеру соответствия требованиям и выполнять в нем действия, необходимо добавить пользователя в каждую роль. Например, если добавить пользователей к роли, которая позволяет управлять оценками, только они смогут управлять оценками. С другой стороны, если не добавить пользователя в роль, которая позволяет читать данные оценок, все пользователи в организации смогут получать доступ к диспетчеру соответствия требованиям и читать данные любых оценок.

В таблице ниже описаны все разрешения в диспетчере соответствия требованиям, а также указаны роли, которым они назначаются.

Compliance Manager Reader (Читатель диспетчера соответствия требованиям)

Compliance Manager Contributor (Участник диспетчера соответствия требованиям)

Compliance Manager Assessor (Аудитор диспетчера соответствия требованиям)

Compliance Manager Administrator (Администратор диспетчера соответствия требованиям)

Portal Admin (Администратор портала)

Read data    (Чтение данных). Пользователи могут читать данные, но не редактировать их.

Флажок

Флажок

Флажок

Флажок

Флажок

Edit data    (Изменение данных). Пользователи могут изменять все поля, за исключением полей Test Result (Результат тестирования) и Test Date (Дата тестирования).

Флажок

Флажок

Флажок

Флажок

Edit test results    (Изменение результатов ). Пользователи могут изменять поля Test Result (Результат тестирования) и Test Date (Дата тестирования).

Флажок

Флажок

Флажок

Manage assessments    (Управление оценками). Пользователи могут создавать, архивировать и удалять оценки.

Флажок

Флажок

Manage users    (Управление пользователями). Пользователи могут добавлять других пользователей в организацию с ролями "Читатель", "Участник","Аудитор" и "Администратор". Только пользователи, имеющие роль глобального администратора в организации, могут добавлять или удалять пользователей для роли администратора портала.

Флажок

Чтобы добавить пользователя в роль диспетчера соответствия требованиям:

  1. Перейдите на сайт https://servicetrust.microsoft.com.

  2. Войдите в службу с помощью учетной записи Office 365 или Azure Active Directory.

  3. На портале службы управления безопасностью нажмите кнопку Параметры.

  4. В раскрывающемся списке Выберите роль выберите роль, которую вы хотите добавить пользователей.

    Нажмите Select Role, чтобы отобразить список ролей диспетчера соответствия требованиям, в которые можно добавить пользователей
  5. Нажмите кнопкуДобавить, Значок "Добавить" добавить пользователя к роли и нажмите кнопку Сохранить.

    Добавлено для каждой роли пользователей находятся на странице Выбор роли .  Можно выбрать пользователя и нажмите кнопку Удалить , чтобы удалить их из выбранной роли.

К началу

Добавление оценки

Чтобы добавить оценку в диспетчер соответствия требованиям:

  1. На панели мониторинга Диспетчер соответствия требованиям щелкните Значок "Добавить" Добавить оценки.

  2. На странице Добавление стандартной оценки выберите облачной службе Майкрософт для оценки для обеспечения соответствия требованиям в раскрывающемся списке Выберите продукта и нажмите кнопку Далее. Примечание в режиме предварительного просмотра соответствия диспетчер доступен, только Office 365.

  3. Выберите один или несколько стандартов и положений для оценки.

    Данные, отображаемые для выбранного стандарта или положения, будут относиться к облачной службе, которую вы выбрали на шаге 2. Обратите внимание, что в предварительной версии диспетчера доступны только ISO 27001:2013, ISO 27018:2014 и GDPR.

    Примечание: В предварительной версии диспетчера нет сведений о внедрении для всех внутренних средств контроля корпорации Майкрософт, соответствующих GDPR. Дополнительные сведения о реализации средств контроля Майкрософт, соответствующих GDPR, будут добавлены в диспетчер соответствия требованиям до выхода официальной версии.

  4. В поле оценки имявведите уникальное имя для оценки, которая будет отображаться на панели мониторинга Диспетчер соответствия требованиям.

  5. Нажмите кнопку Добавить в панель мониторинга , чтобы создать оценки.

    Когда оценка появится на панели мониторинга, в ней будет показан общий ход оценки, а также сведения о ее создании и последнем изменении.  Здесь также указаны пользователи оценки, в том числе ее создатель и сотрудники, которым были назначены поручения. 

  6. Щелкните название оценки, чтобы открыть ее и просмотреть подробные сведения.

К началу

Управление процессом оценки

Создатель оценку изначально является единственным пользователем оценки. Для каждого элемента управления клиентом управляемых можно назначить поручение лицу в вашей организации, становится его оценка пользователь может выполнить рекомендуемые действия клиента и сбор и загрузите свидетельство. При назначении поручение, вы можете отправить сообщение электронной почты пользователя, который содержит подробные сведения, включая рекомендуемые действия клиента и приоритет поручение. Уведомление по электронной почте ссылка на панели мониторинга Поручения список всех элементов действия, назначенного данному пользователю.

Ниже приведен список задач, которые можно выполнять с помощью средств рабочего процесса в диспетчере соответствия требованиям.

Функции управления рабочим процессом в клиентском средстве контроля
  1. Назначение поручения пользователю   . Вы можете назначать поручения сотрудникам, чтобы они обеспечили соответствие требованиям стандарта или положения либо протестировали, проверили и задокументировали требования организации к реализации. При назначении поручения вы можете отправить сообщение электронной почты, в котором указаны рекомендуемые действия и приоритет. Вы также можете отменить поручение или переназначить его другому пользователю.

  2. Управление документами    Клиент управляемых элементов управления также имеют место для управления документами, которые связаны для выполнения задач по реализации и для выполнения задач тестирования и проверки. Любой пользователь с разрешениями на изменение данных в диспетчере соответствия можно отправлять документы, нажав кнопку Управление документами. После описаны загружена, можно щелкнуть Управление документами , чтобы просматривать и загружать файлы.

  3. Добавление сведений о реализации и тестировании.    У каждого клиентского средства контроля есть редактируемое поле, в которое пользователи могут добавлять подробные сведения о внедрении, чтобы документировать действия, выполненные в организации для обеспечения или проверки соответствия конкретному стандарту или положению.

  4. Задание статуса.    Можно указать статус для каждого элемента в процессе оценки. Доступны следующие значения: Implemented (Реализовано), Alternative Implementation (Внедрена альтернатива), Planned (Запланировано) и Not in Scope (Не входит в область действия).

  5. Ввод даты и результатов тестирования.    Пользователь с ролью аудитора может подтвердить правильность тестирования, изучить сведения о реализации, план тестирования, результаты тестирования и все добавленные доказательства, а затем указать дату и результат тестирования. Доступные результаты тестирования: Passed (Пройдено), Failed-Low Risk (Не пройдено, низкий риск), Failed-Medium Risk (Не пройдено, средний риск) и Failed-High Risk (Не пройдено, высокий риск).

Управление поручениями

Пользователи, участвующие в процессе оценки в вашей организации можно использовать Диспетчер соответствия требованиям, чтобы просмотреть элементы из всех оценок, для которых они являются пользователи управляемого клиента. Когда пользователь входит в систему Диспетчер соответствия требованиям и откроется панель мониторинга Поручения , отображается список задач, назначенных им. В зависимости от роли руководителя соответствия требованиям, назначенные пользователю они могут реализации подробные сведения, обновление статуса или назначение поручения.

Экспорт данных из оценки

Оценку можно экспортировать в файл Excel, предназначенный для заинтересованных лиц в вашей организации, а также аудиторов и контролирующих органов.

К началу

Архивация оценки

Если завершенная оценка больше не нужна, ее можно заархивировать. При архивации оценка удаляется с панели мониторинга. Если потребуется изменить оценку, вы можете повторно активировать ее.

Для архивации оценки, нажмите кнопку действия > архив оценки на плитке оценки. Чтобы просмотреть архивированных оценки, установите флажок Показать архивированных .

Дополнительные сведения

К началу,

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×