使用合規性管理員幫助您在使用 Microsoft 雲端服務時符合資料保護和法規要求

合規性管理員無法在由 21Vianet 提供的 Office 365、Office 365 Germany、Office 365 美國政府社群高中 (GCC 高中) 或 Office 365 國防部中使用。

Microsoft 服務信任入口網站中的合規性管理員 是一個以工作流程為基礎的風險評定工具,可讓您追蹤、指派和驗證貴組織的 Microsoft 雲端服務相關法規合規性活動,例如 Office 365、Dynamics 365 和 Microsoft Azure。合規性管理員:

  • 將 Microsoft 提供的詳細資訊合併到稽核員和監管單位,做為各種第三方根據各種標準 (例如 ISO 27001、ISO 27018 和 NIST) 稽核 Microsoft 雲端服務的一部分,以及做為 Microsoft 內部符合規定 (例如 HIPAA 和歐盟一般資料保護規定,簡稱 GDPR) 的合規性之資訊的一部分,還有您自己針對貴組織是否符合這些標準和規定的合規性所進行的自我評定。

  • 可讓您指派、追蹤和記錄合規性與評定相關活動,能夠協助貴組織跨越小組藩籬,達成貴組織的合規性目標。

  • 提供合規性分數,協助追蹤您的進度並優先處理稽核控制措施,進而協助降低貴組織暴露於風險之中的程度。

  • 提供安全的存放庫,讓您上傳並管理證據和其他與合規性活動相關的成品。

  • 在 Microsoft Excel 中產生豐富的詳細報告,記載 Microsoft 和貴組織所執行的合規性活動,您可將這些報告提供給稽核員、監管單位和其他合規性專案關係人。

重要: 合規性管理員是提供資料保護和合規性程度與建議的儀表板,可改善資料保護和合規性。合規性管理員中提供的客戶動作僅為建議,每個組織可於實作之前自行評估這些建議在其個別的法規環境中的有效性。您不應將合規性管理員中找到的建議視為合規性的保證。

內容

概念性主題   

合規性管理員中的評定

權限和角色型存取

了解合規性分數

將評定組成群組

系統管理功能   

指派合規性管理員角色給使用者

使用合規性管理員   

存取合規性管理員

使用合規性管理員儀表板

檢視動作項目

新增評定

從現有的評定複製資訊

檢視評定

管理評定程序

管理動作項目

從評定匯出資訊

封存評定

客戶管理的控制措施變更記錄檔   

變更記錄檔

概念性主題

合規性管理員是一種以工作流程為基礎的風險評定工具,其設計可協助您在雲端的共同承擔責任模型中管理法規合規性。合規性管理員提供您標準和規定的儀表板檢視,並提供包含 Microsoft 控制措施實作詳細資料的評定和測試結果,以及客戶控制措施實作指導方針和相關追蹤資訊,讓貴組織可由這些方面著手。合規性管理員提供認證評定控制措施定義、有關控制措施的實作和測試指導方針、控制措施的風險加權分數、角色型存取管理,以及就地控制措施動作指派工作流程,以追蹤控制措施實作、測試狀態和證據管理。合規性管理員可讓客戶依邏輯將評定組成群組,並將評定控制措施測試套用到相同或相關的控制措施,藉以最佳化合規性工作負載,進而減少滿足各種不同認證的相同控制措施需求所需的重複工作。

合規性管理員的核心元件稱為「評定」。「評定」是一種 Microsoft 雲端服務 (例如 Office 365、Azure 或 Microsoft Dynamics) 根據認證標準或資料保護規定 (例如 ISO 27001:2013 和 GDPR) 的評定。評定可根據所選 Microsoft 雲端服務的選取業界標準,協助您辨別貴組織的資料保護和合規性態勢。若要完成評定,請實作對應到正要評定的認證標準的控制措施。

評定的結構是以 Microsoft 與貴組織共同承擔的責任為基礎,用來評定雲端中的安全性與合規性風險,以及用來實作合規性標準、資料保護標準、規定或法律所指定的資料保護防禦。

「評定」是由多個元件所組成,包括:

範圍內服務:如「範圍內雲端」服務區段中所列出,每個評定適用於一組特定的 Microsoft 雲端服務。

Microsoft 管理的控制措施   :針對每個雲端服務,Microsoft 會實作並管理一套「控制措施」,做為 Microsoft 符合各種標準和規定的合規性的一部分。這些控制措施會整理成「控制措施系列」,符合來自評定已符合之對應認證或規定的結構。針對每個 Microsoft 管理的控制措施,合規性管理員提供有關 Microsoft 已如何實作控制措施的詳細資料,以及獨立第三方稽核員已測試和驗證該實作的方式和時間。

以下範例顯示來自 Office 365 和 GDPR 之評定的 [安全性] 控制措施系列的三個 Microsoft 管理的控制措施。

合規性管理員中的 Microsoft 管理控制措施詳細資料
  1. 從對應到 Microsoft 管理的控制措施的認證或規定指定下列資訊。

    • 控制措施識別碼   :來自控制措施對應到的認證或規定的區段或文章編號。

    • 標題   :來自對應認證或規定的標題。

    • 文章識別碼   :只有 GDPR 評定才會包含此欄位,因為它會指定對應的 GDPR 文章編號。

    • 描述   :對應到所選 Microsoft 管理的控制措施之標準或規定的文字。

  2. 控制措施的合規性分數,表示與每個 Microsoft 管理的控制措施關聯的風險等級 (由於不符合合規性或控制措施失敗)。如需詳細資訊,請參閱了解合規性分數。請注意,合規性分數的評分介於 1 到 10 並以色彩標示。黃色表示低風險控制措施、橘色表示中度風險控制措施,而紅色則表示高風險控制措施。

  3. 某個控制措施的實作狀態相關資訊、測試控制措施的日期、執行測試的人員,以及測試結果。

  4. 針對每個控制措施,您可以按一下 [更多] 來查看其他資訊,包括 Microsoft 的控制措施實作的相關詳細資料,以及獨立第三方稽核員已測試和驗證該實作的方式和時間的相關詳細資料。

客戶管理的控制措施   :這是貴組織管理的控制措施集合。貴組織負責實作這些控制措施,做為指定標準或規定的合規性程序的一部分。客戶管理的控制措施也會整理成對應認證或規定的控制措施系列。使用客戶管理的控制措施來實作 Microsoft 所建議的建議動作,做為合規性活動的一部分。貴組織可以在每個客戶管理的控制措施中使用規定的指導方針和建議的客戶動作,來管理該控制措施的實作和評定程序。

評定中的客戶管理控制措施也有內建工作流程管理功能,可用來管理和追蹤貴組織完成評定的進度。例如,貴組織中的法務人員可以指派動作項目給須負責的 IT 系統管理員,並且指派執行控制措施的建議動作所需的權限。該工作完成後,IT 系統管理員可以上傳他們的實作工作的證據 (例如設定或原則設定的螢幕擷取畫面),然後將動作項目重新指派給法務人員,來評估收集到的證據、測試控制措施的實作,以及記錄合規性管理員中的實作日期和測試結果。如需詳細資訊,請參閱本文中的管理評定程序一節。

以下範例顯示來自 Office 365 和 GDPR 之評定的 [根據設計與根據預設的資料保護] 控制措施系列的客戶管理的控制措施。

合規性管理員評定控制措施 - 圖說文字
  1. 從對應到客戶管理的控制措施的認證或規定指定下列資訊。

    • 控制措施識別碼   :來自客戶管理的控制措施對應到的標準或規定的區段或文章編號。

    • 標題   :對應標準或規定的標題。

    • 文章識別碼   :只有 GDPR 評定才會包含此欄位,因為它會指定對應的 GDPR 文章編號。

    • 描述   :對應到所選 Microsoft 管理的控制措施之標準或規定的文字。

  2. 控制措施的合規性分數,表示與每個客戶管理的控制措施關聯的風險等級 (由於不符合合規性或控制措施失敗)。如需詳細資訊,請參閱了解合規性分數。請注意,合規性分數的評分介於 1 到 10 並以色彩標示。黃色表示低風險控制措施、橘色表示中度風險控制措施,而紅色則表示高風險控制措施。

  3. 相關客戶控制措施清單和來自認證或規定的對應區段或文章編號。您可以按一下每個相關控制措施/文章,顯示更多有關相關控制措施的資訊。

  4. 您可以指派控制措施給實作和/或測試控制措施實作的人員。當您指派控制措施給某個使用者時,您可以傳送包含建議客戶動作的電子郵件通知。使用者可以從合規性管理員中的 [動作項目] 儀表板存取所有指派給他們的客戶管理控制措施清單。您也可以按一下 [管理文件] 來上傳與實作和測試控制措施相關的文件。如需有關評定使用者和管理文件的詳細資訊,請參閱管理評定程序

  5. 您可以使用 [實作狀態] 和 [日期] 來追蹤貴組織的實作進度。可能的狀態值包括 [未實作]、[已實作]、[替代實作]、[已計劃] 和 [範圍外]。

  6. 評估員會使用測試日期和測試結果欄位,來指定測試結果和測試控制措施的日期。

  7. 針對每個控制措施,您可以按一下 [更多] 來取得實作控制措施的建議客戶動作和可編輯的欄位,讓您提供實作詳細資料、測試計劃詳細資料,以及實作和測試計劃的回應。

回到頁首

根據預設,貴組織中凡是擁有 Office 365 或 Azure AD 帳戶的所有人都可存取合規性管理員,而且可以在合規性管理員中執行任何動作。若要從預設權限變更為角色型存取控制模型,至少必須將一個使用者新增到每個合規性管理員角色 (請參閱下列指示)。將使用者新增到角色後,則會從提供給所有使用者的預設權限組合中移除指派給該角色執行動作的權限,而且只有已佈建該角色的使用者才能存取合規性管理員,以及執行該角色獲得允許的動作。

實作角色型存取後,未指派給已定義合規性管理員角色的任何使用者都會獲得來賓存取。

附註: 若要完全實作角色型存取控制以管理誰可以在合規性管理員中存取和執行動作,則必須將某個使用者新增到每個角色以變更預設權限。例如,如果您將某個使用者新增到可讓使用者管理評定的角色,只有該角色的成員才能管理評定。同樣地,如果您沒有將某個使用者新增到可讓使用者讀取評定中的資料的角色,則貴組織中的所有使用者都可以存取合規性管理員並讀取任何評定中的資料。

下表說明每個合規性管理員權限,以及各個權限允許使用者執行的操作。此表格也會列出角色所獲派的每個權限。

合規性管理員讀取者

合規性管理員參與者

合規性管理員評估員

合規性管理員系統管理員

入口網站系統管理員

讀取資料   :使用者可以讀取但無法編輯資料。

核取記號

核取記號

核取記號

核取記號

核取記號

編輯資料   :使用者可以編輯所有欄位,但測試結果和測試日期欄位除外。

核取記號

核取記號

核取記號

核取記號

編輯測試結果   :使用者可以編輯測試結果和測試日期欄位。

核取記號

核取記號

核取記號

管理評定   :使用者可以建立、封存和刪除評定。

核取記號

核取記號

管理使用者   :使用者可以將其組織中的其他使用者新增到讀取者、參與者、評估員和系統管理員角色。貴組織中只有具有全域系統管理員角色的使用者可以從入口網站系統管理員角色中新增或移除使用者。

核取記號

來賓存取

設定合規性管理員存取權後,沒有已佈建角色的任何使用者會依預設獲得來賓存取角色 (這也是個人 Microsoft 帳戶等任何非組織佈建帳戶的使用體驗)。 來賓存取使用者沒有所有合規性管理員功能的完整存取權,而且無法看見任何組織的合規性評定資料,不過,他們能夠使用合規性管理員檢視 Microsoft 的合規性評定報告和服務信任文件。 如需可存取和無法存取項目的圖例說明,請參閱下列影像 (可存取的功能是以藍色勾勒,而無法存取的功能是以紅色勾勒)。

合規性管理員儀表板 - 來賓存取使用體驗

合規性管理員 - 來賓存取圖形

回到頁首

在儀表板上,合規性管理員會在磚的右上角顯示每個認證評定的總分。 這是評定的整體總計合規性分數,而且是該評定中目前為止已實作和測試的每個控制措施評定的累積得分。 第一次新增評定時,您會發現總計合規性分數已經是朝向完成的某一部分,因為在已為所有 Microsoft 雲端服務成功實作和測試這些控制措施時,已將 Microsoft 管理的控制措施的得分套用到合規性分數。

合規性管理員儀表板 - 總計合規性分數

其餘的得分來自成功的客戶控制措施評定、來自客戶管理的控制措施的實作和測試,而它們各自都有可貢獻到整體合規性分數的特定值。  

每個評定會顯示以風險為基礎的合規性分數,協助您評定與某個評定中的每個控制措施 (包括 Microsoft 管理和客戶管理的控制措施) 關聯的風險等級 (由於不符合合規性或控制措施失敗)。 每個客戶管理的控制措施都會獲派可能的得分數字 (稱為「嚴重性排名」);以 1 到 10 進行評分,如果控制措施失敗,與較高風險因素關聯的控制措施會獲頒較多得分,而較低風險控制措施則會獲頒較少得分。

例如,以下顯示的 [使用者存取管理] 評定控制措施具有非常高的嚴重性風險排名,而且顯示獲派的值 10。

合規性管理員 - 評定控制措施高嚴重性 - 分數 10

 相較之下,以下顯示的 [資訊備份] 評定控制措施有較低的嚴重性風險排名,而且顯示獲派的值 3。

合規性管理員 - 評定控制措施低嚴重性 - 分數 3

合規性管理員會對每個控制措施指派預設嚴重性排名。風險排名是根據下列準則計算:

  • 控制措施是否可防止事件發生 (最高排名)、偵測到已發生的事件或矯正事件的影響 (最低排名)。針對嚴重性排名,可防止威脅且為強制性的控制措施會獲派最高的得分數字;偵測型或矯正型的控制措施 (不論它們是強制性還是選擇性) 會獲派最低的得分數字。

  • 控制措施 (已實作後) 是否為強制性,因而無法允許使用者略過 (例如,使用者必須重設其密碼並符合密碼長度和字元要求),或為選擇性而可允許使用者略過 (例如,要求使用者在離開電腦時鎖定其螢幕的商務規則)。

  • 與資料機密性、完整性和可用性風險相關的控制措施,無論這些風險是來自內部還是外部威脅,且無論威脅是惡意還是意外。例如,可協助防止外部攻擊者入侵網路和獲取個人識別資訊存取權的控制措施,會比與防止員工不小心誤設網路路由器設定而導致網路中斷相關的控制措施獲派更多得分。

  • 針對每個控制措施,與法律和外部推動者相關的風險,例如合約、規定和公開承諾。

顯示的控制措施合規性分數值會根據通過/失敗的基礎「全面」 套用到總計合規性分數 (無論控制措施已實作並通過或未通過後續評定測試),不會有部分實作的部分分數。 只有在已將控制措施的 [實作狀態] 設為 [已實作] 或 [替代實作] 且將 [測試結果] 設為 [通過] 時,獲派的得分才會新增到總計合規性分數。  

最重要的是,合規性分數能指出倘若發生與某個控制措施相關的失敗,哪些控制措施有較高的潛在風險,藉此協助您排定優先順序,決定要專注於實作哪些控制措施。 除了以風險為基礎的優先順序以外,值得注意的是,在評定控制措施與其他控制措施相關之處 (無論是在相同的評定中,或是在位於相同評定群組內的另一個評定中),如果成功完成單一控制措施,可能就會根據控制措施測試結果的同步處理情形大幅減少工作。

例如,在下列影像中,可以看到 Office 365 - GDPR 評定目前已評定 46%,而 111 個控制措施評定中有 51 個已完成,且取得的總計合規性分數為 289 (滿分為 600)。

合規性管理員 - 評定摘要

在評定中,GDPR 控制措施 7.5.5 與其他 5 個控制措施 (7.4.1、7.4.3、7.4.4、7.4.8 和 7.4.9) 有關,每個各有中等到高嚴重性風險評分 6 或 8)。 我們使用評定篩選選取了所有這些控制措施,讓它們能夠在評定檢視中顯示,而且我們可以在下方看見它們之中沒有任何一個已經評定。    

合規性管理員 - 評定檢視 - 篩選控制措施,沒有任何已評定的項目 因為這 6 個控制措施是相關的,如果完成其中任何一個,就會在評定內的相關控制措施中同步處理這些測試結果 (就像針對位於相同評定群組內的某個評定中的任何相關控制措施,也同樣會這麼做)。完成 GDPR 控制措施 7.5.5 的實作和測試時,控制措施詳細資料區域會重新整理,以顯示所有 6 個控制措施皆已評定,並且已評定控制措施的數量對應增加到 57 且 51% 已評定,以及總計合規性分數 +40 的變更。

合規性管理員評定檢視 - 已同步處理控制措施結果

如果您即將採用會影響其他相關控制措施的方式來變更某個相關控制措施的 [實作狀態],則會顯示此確認更新對話方塊。

合規性管理員評定 - 相關控制措施更新確認對話方塊

附註: 目前只有 Office 365 雲端服務的評定包含合規性分數。Azure 和 Dynamics 的評定會顯示評定狀態。

回到頁首

當您建立新評定時,系統會提示您建立新群組以將評定指派到該群組,或是將評定指派到現有群組。群組可讓您按照邏輯整理評定,並在有相同或相關的客戶管理控制措施之間共用通用資訊和工作流程工作。

例如,您可以依年份或小組、部門或貴組織中的單位將評定組成群組,或是依年份將評定組成群組。以下是一些群組和群組可能包含的評定的範例。

  • GDPR 評定 - 2018 年

    • Office 365 + GDPR

    • Azure + GDPR

    • Dynamics + GDPR

  • Azure 評定 - 2018 年

    • Azure + GDPR

    • Azure + ISO 27001:2013

    • Azure + ISO 27018:2014

  • 資料安全性和隱私權評定

    • Office 365 + ISO 27001:2013

    • Office 365 + ISO 27018:2014

    • Azure + ISO 27001:2013

    • Azure + ISO 27018:2014

提示: 開始新增評定之前,建議您先判斷適用於貴組織的組成群組策略。

以下是將評定組成群組的相關要求:

  • 群組名稱 (也稱為「群組識別碼」) 在貴組織中必須是唯一的。

  • 群組可以包含相同認證/規定的評定,但針對特定雲端服務/認證組,每個群組只能包含一個評定。例如,一個群組無法包含兩個 Office 365 和 GDPR 的評定。同樣地,針對相同的雲端服務,一個群組可以包含多個評定,只要每一個的對應認證/規定都不同就可以了。

將評定新增到評定群組後,就無法變更該群組。您可以重新命名評定群組,這會變更與該群組關聯的所有評定的評定群組名稱。您可以建立新評定和新評定群組,並且從現有評定複製資訊,這會在不同的評定群組中有效地建立該評定的重複項目。封存評定會破壞該評定與評定群組之間的關係;封存的評定中不會再反映其他相關評定的任何其他更新。

如先前所述,使用群組的一個重要優勢在於,當相同群組中的兩個不同評定共用相同的客戶管理控制措施 (每個控制措施的客戶動作因而相同),則一個評定中的控制措施的實作詳細資料、測試資訊和狀態完成度,會同步處理到群組中任何其他評定的相同控制措施。換句話說,如果評定共用相同的控制措施且這些評定位於相同的群組,您只須管理一個評定中的控制措施的評定程序,該控制措施的結果會自動同步處理到其他評定。舉例來說,ISO-27001 和 ISO-27018 都有與密碼原則相關的控制措施,如果控制措施的測試狀態在一個評定中已設為 [通過],只要兩個控制措施都是相同評定群組的一部分,控制措施在其他評定中將會更新 (並標示為 [通過])。

做為這個的範例,請考慮這兩個相關評定控制措施,各自都與公用網路上的資料加密有關:Office 365 - GDPR 評定中的控制措施 6.10.1.2,和 Office 365 - NIST 800-53 評定中的控制措施 SC-13。這些是兩個不同評定 (皆在預設群組內) 中的相關評定控制措施;一開始,這兩個評定都未完成任何客戶控制措施評定 (如顯示這兩個評定的合規性管理員儀表板中所示)。

合規性管理員儀表板 - 組成群組的評定 - 之前

按一下 Office 365 - GDPR 評定、使用篩選控制措施檢視 GDPR 控制措施 6.10.1.2 後,我們會看到 NIST 800-53 控制措施 SC-13 列為相關控制措施。

合規性管理員評定 - 共用的控制措施

 以下顯示 GDPR 控制措施 6.10.1.2 的實作和測試的完成狀態。 

合規性管理員評定控制措施 GDPR 6.10.1.2 - 通過

瀏覽到組成群組之評定的相關控制措施後,我們會看到 NIST 800-53 SC-13 也已標示為已在相同的時間與日期完成,而且沒有其他實作或測試工作。

合規性管理員評定 - 已完成 NIST 800-53 SC(13)

回到儀表板後,我們會看到每個評定皆已完成 1 個控制措施評定,而且每個評定的總計合規性分數皆已增加 8 (該共用控制措施的合規性分數值)。

合規性管理員儀表板 - 已組成群組的評定進度同步處理

回到頁首

系統管理功能

有些特定系統管理功能只能供租用戶系統管理員帳戶使用,而且只有在以全域系統管理員身分登入時才會顯示。

附註: 下拉式清單中的 [存取受限制的文件] 權限將可讓系統管理員提供使用者存取權,以存取 Microsoft 在服務信任入口網站上共用的受限制的文件。受限制的文件功能目前無法使用,但即將推出。

每個合規性管理員角色都有稍微不同的權限。您可以選取 [系統管理] 功能表項目,然後選擇 [設定],以透過服務信任入口網站檢視指派給每個角色的權限、查看哪些使用者具有哪些角色,以及從角色中新增或移除使用者。

STP 系統管理功能表 - 已選取 [設定]

若要從合規性管理員角色中新增或移除使用者:

  1. 移至 https://servicetrust.microsoft.com

  2. 使用您的 Azure Active Directory 全域系統管理員帳戶登入。

  3. 在服務信任入口網站頂端功能表列上,按一下 [系統管理],然後選擇 [設定]。

  4. 在 [選取角色] 下拉式清單中,按一下您要管理的角色。

  5. [選取角色] 頁面會列出新增到每個角色的使用者。

  6. 若要將使用者新增到此角色,請按一下 [新增]。在 [新增使用者] 對話方塊中,按一下使用者欄位。您可以捲動瀏覽可用的使用者清單,或開始在使用者名稱中輸入以根據您的搜尋字詞篩選清單。按一下使用者名稱,以將該帳戶新增到要使用該角色佈建的 [新增使用者] 清單。若要同時新增多個使用者,請開始在使用者名稱中輸入以篩選清單,然後按一下使用者以將他們新增到清單中。按一下 [儲存] 以將選取的角色佈建到這些使用者。

    合規性管理員 - 佈建角色 - 新增使用者

  7. 若要從此角色中移除使用者,請選取使用者,然後按一下 [刪除]。

    合規性管理員 - 佈建角色 - 移除使用者

回到頁首

使用合規性管理員

合規性管理員提供您指派、追蹤和記錄合規性與評定相關活動的工具,並且協助貴組織跨越小組藩籬,達成貴組織的合規性目標。

合規性管理員儀表板 - 頂端功能表 - 已更新 [系統管理] 功能表

回到頁首

請從服務信任入口網站存取合規性管理員。凡是擁有 Microsoft 帳戶或 Azure Active Directory 組織帳戶的任何人都可以存取合規性管理員。

合規性管理員 - 從 STP 功能表評定合規性管理員

  1. 移至 https://servicetrust.microsoft.com

  2. 使用您的 Azure Active Directory (Azure AD) 使用者帳戶登入。

  3. 在服務信任入口網站中,按一下 [合規性管理員]。

  4. 畫面上顯示保密合約時,請閱讀該合約,然後按一下 [同意] 以繼續。您只須執行一次此操作,然後就會顯示合規性管理員儀表板。

  5. 為了讓您快速上手,我們已預設新增下列評定:

    合規性管理員中的預設評定

    您也可以建立 HIPAA、NIST 800-53 和 NIST 800-171 的評定。

    • Office 365 和 GDPR (歐盟資料保護規定)

    • Office 365 和 ISO 27001:2013 (資訊安全性標準)

    • Office 365 和 ISO 27018:2014 (個人識別資訊 (簡稱 PII) 的資料保護)

    • Azure 和 ISO 27001:2013

    • Azure 和 ISO 27018:2014

  6. 按一下 合規性管理員中的說明圖示 說明來觀看簡短的合規性管理員導覽。

回到頁首

合規性管理員提供您所有獲派的控制措施評定動作項目的便利檢視,可讓您快速且輕鬆地執行相關動作。您可以按一下與該評定關聯的索引標籤,以檢視所有動作項目或選取與特定認證對應的動作項目。 例如,在下列影像中,已選取 GDPR 索引標籤,顯示與 GDPR 評定有關的控制措施。

合規性管理員 - 動作項目清單、多個索引標籤且已選取 GDPR

若要檢視您的動作項目:

  1. 移至合規性管理員儀表板。

  2. 按一下 [動作項目] 連結,頁面將重新整理以顯示您已獲派的動作項目。

  3. 根據預設,會顯示所有動作項目。如果您有多個認證的動作項目,評定控制措施頂端的索引標籤中將會列出認證名稱。若要查看特定認證的動作項目,請按一下該索引標籤。

回到頁首

若要將評定新增到合規性管理員:

  1. 在合規性管理員儀表板中,按一下 [新增] 圖示 [新增評定]。

  2. 在 [新增評定] 視窗中,您可以建立新群組來新增評定,也可以將評定新增到現有群組 (內建群組的名稱為「初始群組」)。視您選擇的選項而定,輸入新群組的名稱或從下拉式清單中選取現有群組。如需詳細資訊,請參閱將評定組成群組

    如果您建立新群組,您也可以選擇從現有群組將資訊複製到新評定。也就是說,已從您正在複製之群組中的評定新增到客戶管理的控制措施之實作詳細資料和測試計劃和管理回應欄位的任何資訊,都會複製到新評定中的相同 (或相關) 的客戶管理控制措施。如果您正在將新評定新增到現有群組,來自該群組中的評定的通用資訊將會複製到新評定。如需詳細資訊,請參閱從現有的評定複製資訊

  3. 按一下 [下一步],然後執行下列操作:

    • 從 [選取產品] 下拉式清單中選擇要評定合規性的 Microsoft 雲端服務。

    • 從 [選取認證] 下拉式清單中選擇要根據哪個認證評定選取的雲端服務。

  4. 按一下 [新增到儀表板] 以建立評定;評定將以現有磚清單結尾的新磚的形式新增到合規性管理員儀表板。

    合規性管理員儀表板上的 [評估磚] 會顯示評定群組、評定名稱 (自動建立為服務名稱和所選認證的組合)、建立的日期和上次修改的時間、總計合規性分數 (這是已實作、測試和通過之所有獲派控制措施風險值的總和),以及底部的進度列指示器 (顯示已評定的控制措施的數量)。

  5. 按一下評定名稱以將它開啟,然後檢視評定的詳細資料。

  6. 按一下 [動作] 功能表以檢視您獲派的動作項目、重新命名評定群組、匯出評定報告,或是封存評定。

合規性管理員 - 評定磚

回到頁首

如先前所述,當您建立新評定群組時,您可以選擇從現有群組中的評定將資訊複製到新群組中的新評定。這可讓您將已完成的評定和測試工作套用到新評定中的相同客戶管理控制措施。例如,如果您在貴組織中有一個針對所有 GDPR 相關評定的群組,在將新評定新增到群組時,您可以從現有評定工作複製通用資訊。

您可以將下列資訊從客戶複製到新評定:

  • 評定使用者。評定使用者是獲派控制措施的使用者。

  • 狀態、測試日期和測試結果。

  • 實作詳細資料和測試計劃資訊。

同樣地,會同步處理來自相同評定群組內的共用客戶管理控制措施的資訊。而且也會同步處理相同評定內的相關客戶管理控制措施中的資訊。

回到頁首

  1. 找出對應您要檢視之評定的 [評定磚],然後按一下評定名稱以將它開啟,並檢視與評定關聯的 Microsoft 和客戶管理的控制措施,以及評定的範圍內的雲端服務清單。以下是 Office 365 和 GDPR 的評定範例。

    合規性管理員評定檢視 - 全螢幕 (含圖說文字)

    1. 此區段會顯示評定摘要資訊,包括評定群組的名稱、產品、評定名稱,以及存取控制措施的數量。

    2. 此區段會顯示評定篩選控制措施。如需有關如何使用評定篩選控制措施的更詳細的說明,請參閱管理評定程序一節。

    3. 此區段會顯示評定的範圍內的個別雲端服務。

    4. 此區段包含 Microsoft 管理的控制措施。會依據控制措施系列整理相關控制措施。按一下某個控制措施系列以將它展開,並顯示個別控制措施。

    5. 此區段包含客戶管理的控制措施,這也是依據控制措施系列整理而成。按一下某個控制措施系列以將它展開,並顯示個別控制措施。

    6. 顯示控制措施系列中的控制措施總數,以及已存取這些控制措施的數目。追蹤貴組織評定客戶管理控制措施的進度是合規性管理員的主要功能。如需詳細資訊,請參閱了解合規性分數一節。

回到頁首

評定的建立者是一開始的唯一評定使用者。針對每個客戶管理的控制措施,您可以指派動作項目給貴組織中的某個人員,讓該人員成為可執行建議的客戶動作以及收集和上傳證據的評定使用者。當您指派動作項目時,您可以選擇傳送含有詳細資料的電子郵件給該人員,包括建議的客戶動作和動作項目優先順序。電子郵件通知包含 [動作項目] 儀表板的連結,這會列出指派給該人員的所有動作項目。

以下是您可使用合規性管理員的工作流程功能來執行的工作清單。

合規性管理員評定工作流程 (含圖說文字)
  1. 使用篩選選項尋找特定評定控制措施   :合規性管理員提供 [篩選選項],針對顯示評定控制措施提供您極度精細的選取準則,協助您精確地將目標鎖定於合規性工作的特定區域。  

    按一下頁面右側的漏斗圖圖示,以顯示或隱藏 [篩選選項] 控制措施。這些控制措施可讓您指定篩選準則,而且只有符合這些準則的評定控制措施才會顯示在下方。 合規性管理員評定篩選控制措施

    • 文章:篩選文章名稱並傳回與該文章關聯的評定控制措施。例如,輸入「文章 (5)」會傳回其名稱包含該字串的文章選擇清單,亦即文章 (5)(1)(a)、文章 (5)(1)(b)、文章 (5)(1)(c) 等。選取文章 (5)(1)(c) 會傳回與文章 (5)(1)(c) 關聯的控制措施。這是使用 OR 運算子搭配多個值的多重選取欄位,舉例來說,如果您選取文章 (5)(1)(a),然後新增文章 (5)(1)(c),篩選則會傳回與文章 (5)(1)(a) 或文章 (5)(1)(c) 關聯的控制措施。

      合規性管理員評定檢視 - 篩選文章名稱

    • 控制措施:傳回其名稱符合篩選的控制措施清單,亦即輸入 7.3 會傳回 7.3.1、7.3.4、7.3.5 等項目選擇清單。這是使用 OR 運算子搭配多個值的多重選取欄位,舉例來說,如果您選取 7.3.1,然後新增 7.3.4,篩選會傳回與 7.3.1 或 7.3.4 關聯的控制措施。

      合規性管理員評定檢視 - 篩選控制措施多重選取

    • 獲派的使用者:傳回已指派給選取的使用者的控制措施清單。

    • 狀態:傳回具有選取的狀態的控制措施清單。

    • 測試結果:傳回具有選取的測試結果的控制措施清單。

    當您套用篩選條件時,適用控制措施的檢視會隨而變更,以對應到您的篩選條件。 展開控制措施系列區段以顯示下列控制措施詳細資料。  

    合規性管理員評定檢視 - 篩選文章結果

  2. 如果選取想要的篩選後未顯示任何結果,則表示沒有對應到指定的篩選條件的控制措施。例如,如果您選取特定 [獲派的使用者],然後選擇未對應到指派給該使用者的控制措施的 [控制措施] 名稱,下列頁面則不會顯示任何評定。

  3. 指派動作項目給使用者   :您可以指派動作項目給某個人員,以實作認證/規定的要求,或測試、驗證和記錄貴組織的實作要求。當您指派動作項目時,您可以選擇傳送含有詳細資料的電子郵件給該人員,包括建議的客戶動作和動作項目優先順序。您也可以取消指派或重新指派動作項目給其他人員。

  4. 管理文件   :客戶管理的控制措施也有一個管理與執行實作工作相關之文件的位置,而且可用於執行測試和驗證工作。凡是擁有合規性管理員中的資料編輯權限的任何人員,只要按一下 [管理文件],就可以上傳文件。文件上傳完畢後,您可以按一下 [管理文件] 來檢視和下載檔案。

  5. 提供實作和測試詳細資料   :每個客戶管理的控制措施都有一個可編輯的欄位,使用者可以在這裡新增實作詳細資料,記載貴組織為符合認證/規定要求所執行的步驟,以及驗證和記載貴組織如何符合這些要求。

  6. 設定狀態   :將每個項目的狀態設定為評定程序的一部分。可用的狀態值包括 [已實作]、[替代實作]、[已計劃] 和 [範圍外]。

  7. 輸入測試日期和測試結果   :具有合規性管理員評估員角色的人員可以驗證是否已執行適當的測試、檢閱實作詳細資料、測試計劃、測試結果,以及任何上傳的證據,然後設定測試日期和測試結果。可用的測試結果值包括 [通過]、[失敗 - 低風險]、[失敗 - 中度風險] 和 [失敗 - 高風險]。

回到頁首

貴組織中參與評定程序的人員可以從他們身為使用者的所有評定中,使用合規性管理員來檢閱客戶管理的控制措施。當使用者登入合規性管理員並開啟 [動作項目] 儀表板時,會顯示指派給他們的 [動作項目] 清單。視使用者獲派的合規性管理員角色而定,他們可以提供實作或測試詳細資料、更新狀態,或是指派動作項目。

由於認證控制措施通常是由一個人員實作並由另一個人員執行測試,控制措施動作項目一開始可以指派給一個人員進行實作,而一旦完成後,該人員就可以重新指派控制措施動作項目給下一個人員進行控制措施測試並上傳證據。凡是擁有合規性管理員角色且具備充足權限的任何使用者,都可以執行這種控制措施動作的指派/重新指派,從實作者到測試者皆可視需要集中管理控制措施指定,或是分散控制措施動作項目的路由。

若要指派動作項目:

  1. 在合規性管理員儀表板上,找出您要使用之評定的評定磚,然後按一下評定名稱以移至評定詳細資料頁面。

  2. 您可以按一下 [篩選] 按鈕並使用篩選控制措施,以尋找您要指派的特定評定控制措施,或者

  3. 向下捲動到客戶管理的控制措施區段,展開控制措施系列,然後捲動瀏覽控制措施清單,直到您已找出要指派的評定控制措施為止。

  4. 在 [獲派的使用者] 欄底下,按一下藍色 [指派] 按鈕。

  5. 在 [指派動作項目] 對話方塊中,按一下 [指派給] 欄位,以填入可獲派動作的使用者清單。您可以捲動瀏覽清單以尋找目標使用者,或開始在欄位中輸入以搜尋使用者名稱。

  6. 按一下使用者以將他們指派給此動作項目。

  7. 若要傳送電子郵件通知給使用者以通知他們,請確保已選取 [傳送電子郵件] 核取方塊。

  8. 輸入您想要向該使用者顯示的任何附註,然後按一下 [指派]。

  9. 使用者將會收到其動作項目指派的通知和您提供的任何附註。

與動作項目關聯的附註會保存在附註區段中,可供下次指派動作項目時使用。這些附註並非唯讀狀態,指派動作項目的人員可以編輯、取代或移除附註。

回到頁首

您可以將評定匯出到 Excel 檔案,以供貴組織中的合規性專案關係人檢閱,並提供給稽核員和監管單位。此評定報告是建立該報告的日期與時間之際的評定快照,而且它包含該評定之 Microsoft 管理的控制措施和客戶管理的控制措施的詳細資料,包括控制措施實作狀態、控制措施測試日期和測試結果,並提供上傳證據文件的連結。建議您在封存評定前匯出評定報告,因為封存的評定不會保留其上傳文件的連結。

若要匯出評定報告:

  1. 在合規性管理員儀表板上,按一下您要匯出之評定磚上的 [動作] 連結,然後選擇 [匯出至 Excel],或者

  2. 如果您正在檢視評定詳細資料頁面,請按一下位於頁面右上角、評定的合規性分數上方的 [匯出至 Excel] 按鈕。

將會在瀏覽器工作階段中下載評定報告。如果您沒有看到此類快顯通知,您可以檢查瀏覽器的下載資料夾。

回到頁首

當您完成評定且不再需要將它用於合規性用途時,您可以封存評定。封存評定後,就會從評定儀表板移除評定。

附註: 封存評定時,無法取消封存或還原到讀取寫入進行中狀態。 請注意,封存評定不會保留其已上傳證據文件的連結,因此強烈建議您先執行評定的匯出,然後再進行封存,因為匯出的評定報告會包含證據文件的連結,讓您能夠繼續存取它們。

若要封存評定:

  1. 在想要評定的儀表板磚上,按一下 [動作] 按鈕。

  2. 選取 [封存評定]。

  3. [封存評定] 對話方塊隨即出現,要求您確認您是否要封存此評定。

  4. 若要繼續封存,請按一下 [封存] 或按一下 [取消]。

若要檢視封存的評定:

  1. 在合規性管理員儀表板上,選取 [顯示已封存] 核取方塊。

  2. 封存的評定會顯示在其餘作用中評定下方的新顯示區段中 (位於 [封存的評定] 標題列底下)。

  3. 按一下您要檢視的評定名稱。

  4. 檢視封存的評定時,一般可編輯控制措施 (例如 [實作]、[測試結果]) 都不會呈現作用中狀態,而且 [管理的文件] 按鈕會消失。

回到頁首

客戶管理的控制措施變更記錄檔

合規性管理員採用定期更新的設計,以跟上法規要求的變更,以及雲端服務的變更。這些更新包括客戶管理的控制措施的變更。我們會提供變更記錄檔,協助您了解這些變更的影響,包括新增或變更之內容的詳細資料,以及變更對現有評定有何影響的指導方針。一般而言,有兩種類型的變更:

  • 重大變更是客戶動作的重大變更,例如新增或移除特定編號的步驟,或有關責任、建議或證據的變更的指導方針。 針對重大變更,建議您重新評估您受影響控制措施的實作和/或評定。

  • 微幅變更是客戶動作的微小變更,例如修正錯字或格式設定問題,或是更新或修正超連結。 微幅變更通常不需要重新評估控制措施,不過,仍建議您檢閱更新的客戶動作。

下表提供有關已對客戶管理的控制措施所做之變更的詳細資料。 

Office 365 客戶管理的控制措施 - 變更記錄檔 

受影響的控制措施

變更描述和建議

GDPR

HIPAA

ISO 27001

ISO 27018

NIST 800-53

NIST 800-171

變更類型

變更描述

建議客戶執行的動作

6.13.2

C.16.1.1

重大

先前編號為 6.12.1.1。

建議中新增的詳細資料。

重新評定控制措施:檢閱客戶動作中的更新指導方針,並依照實作和評定控制措施的建議步驟進行。

3.1.6

重大

指導方針的新增步驟,包含啟用稽核和搜尋稽核記錄。

檢閱客戶動作中的更新建議。

6.8.2

A.10.2

重大

先前的編號為 6.7.2.9。

含有其他建議和動作項目的更新指導方針。

重新評定控制措施:檢閱客戶動作中的更新指導方針,並依照實作和評定控制措施的建議步驟進行。

6.6.4

45 C.F.R. § 164.312(a)(2)(i)


45 C.F.R. § 164.312(d)

A.9.4.2

IA-2

3.5.1

重大

先前的編號為 6.5.2.3。

含有其他建議和動作項目的更新指導方針。

重新評定控制措施:檢閱客戶動作中的更新指導方針,並依照實作和評定控制措施的建議步驟進行。

6.13.1

45 C.F.R. § 164.308(a)(1)(i)

A.16.1

C.16.1

IR-4(a)

3.6.1

重大

先前的編號為 6.12.1。

含有其他建議和動作項目的更新指導方針。

重新評定控制措施:檢閱客戶動作中的更新指導方針,並依照實作和評定控制措施的建議步驟進行。

6.7

重大

先前的編號為 6.6.1.1。

含有其他建議和動作項目的更新指導方針。

重新評定控制措施:檢閱客戶動作中的更新指導方針,並依照實作和評定控制措施的建議步驟進行。

6.6.5

A.10.8

IA-3

3.5.2

重大

先前的編號為 6.5.4.2。

含有其他建議和動作項目的更新指導方針。

重新評定控制措施:檢閱客戶動作中的更新指導方針,並依照實作和評定控制措施的建議步驟進行。

6.15.1

重大

先前的編號為 6.14.1.3。

含有其他建議和動作項目的更新指導方針。

重新評定控制措施:檢閱客戶動作中的更新指導方針,並依照實作和評定控制措施的建議步驟進行。

AC-2(h)(2)

微幅

已新增 [啟用稽核] 刀鋒視窗的連結。

不需要任何動作。

AC-2(7)(b)

微幅

已新增 [啟用稽核] 刀鋒視窗的連結。

不需要任何動作。

AC-2(h)(1)

微幅

已新增 [啟用稽核] 刀鋒視窗的連結。

不需要任何動作。

45 C.F.R. § 164.308(a)(5)(ii)(C)

AC-2(g)

微幅

已新增 [啟用稽核] 刀鋒視窗的連結。

不需要任何動作。

AC-2(12)

微幅

已新增 [啟用稽核] 刀鋒視窗的連結。

不需要任何動作。

45 C.F.R. § 164.312(b)

A.12.4.3

AU-2(d)

微幅

已新增 [啟用稽核] 刀鋒視窗的連結。

不需要任何動作。

AC-2(4)

微幅

已新增 [啟用稽核] 刀鋒視窗的連結。

不需要任何動作。

3.1.7

微幅

已新增 [啟用稽核] 刀鋒視窗的連結。

不需要任何動作。

A.16.1.7

C.12.4.2,第 2 部分

微幅

已新增 [啟用稽核] 刀鋒視窗的連結。

不需要任何動作。

AC-2(h)(3)

微幅

已新增 [啟用稽核] 刀鋒視窗的連結。

不需要任何動作。

A.12.4.2

微幅

已新增 [啟用稽核] 刀鋒視窗的連結。

不需要任何動作。

A.7.2.8

微幅

已新增 [內容搜尋] 刀鋒視窗和 DSR 入口網站的連結。

不需要任何動作。

45 C.F.R. § 164.308(a)(3)(ii)(C)

微幅

已新增 [啟用稽核] 刀鋒視窗的連結和 Office 365 系統管理員角色支援主題。

不需要任何動作。

5.2.1

微幅

先前的編號為 5.2.2。

已在指導方針中釐清客戶責任。

檢閱客戶動作中的更新建議。

6.11.1

45 C.F.R. § 164.312(e)(2)(ii)

A.10.1.1
A.10.1.2
A.18.1.5

C.10.1.1

SC-13

3.13.11

微幅

先前的編號為 6.10.1.2。

已修正錯字。

不需要任何動作。

7.5.1

微幅

先前的編號為 A.7.4.1。

已修正錯字。

不需要任何動作。

A.8.2.3

3.1.3

微幅

移除不需要的額外句子。

不需要任何動作。

45 C.F.R. § 164.308(a)(4)(i)

A.6.1.2

AC-5(a)

3.1.2
3.1.4

微幅

含有其他建議和動作項目的更新指導方針。

檢閱客戶動作中的更新建議。

45 C.F.R. § 164.308(a)(7)(ii)(E)

RA-2(a)

微幅

已更新匯入服務說明主題連結以使用 FWlink。

不需要任何動作。

下表記載合規性管理員的 GDPR 評定控制措施識別碼變更。

GDPR 評定控制措施識別碼變更參考資料

上一個控制措施識別碼

新控制措施識別碼

5.2.2

5.2.1

5.2.3

5.2.2

5.2.4

5.2.3

6.1.1.1

6.2

6.10.1.2

6.11.1

6.10.2.5

6.11.2

6.11.1.2

6.12

6.12.1

6.13.1

6.12.1.1

6.13.2

6.12.1.5

6.13.3

6.14.1.3

6.15.1

6.14.2.1

6.15.2

6.14.2.3

6.15.3

6.2.1.1

6.3

6.3.2.2

6.4

6.4.3.1

6.5.2

6.4.3.2

6.8.1

6.4.3.3

6.5.3

6.5.2

6.6.1

6.5.2.1

6.6.2

6.5.2.2

6.6.3

6.5.2.3

6.6.4

6.5.4.2

6.6.5

6.6.1.1

6.7

6.7.2.7

6.8.1

6.7.2.9

6.8.2

6.8.1.4

6.9.1

6.8.4.1

6.9.3

6.8.4.2

6.9.4

6.9.2.1

6.10.1

6.9.2.3

6.10.2

A.7.1.1

7.2.1

A.7.1.2

7.2.2

A.7.1.3

7.2.3

A.7.1.4

7.2.4

A.7.1.5

7.2.5

A.7.1.6

7.2.6

A.7.1.7

7.2.7

A.7.2.1

7.3.1

A.7.2.10

7.3.9

A.7.2.11

7.3.10

A.7.2.2

7.3.2

A.7.2.3

7.3.3

A.7.2.4

7.3.4

A.7.2.5

7.3.5

A.7.2.6

7.3.6

A.7.2.7

7.3.7

A.7.2.8

7.3.8

A.7.3.1

7.4.1

A.7.3.10

7.4.10

A.7.3.2

7.4.2

A.7.3.3

7.4.3

A.7.3.4

7.4.4

A.7.3.5

7.4.5

A.7.3.6

7.4.6

A.7.3.7

7.4.7

A.7.3.8

7.4.8

A.7.3.9

7.4.9

A.7.4.1

7.5.1

A.7.4.2

7.5.2

A.7.4.3

7.5.3

A.7.4.4

7.5.4

A.7.4.5

7.5.5

B.8.1.1

8.2.1

B.8.1.2

8.2.2

B.8.1.3

8.2.3

B.8.1.4

8.2.4

B.8.1.5

8.2.5

B.8.1.6

8.2.6

B.8.2.1

8.3.1

B.8.3.1

8.4.1

B.8.3.2

8.4.2

B.8.3.3

8.4.3

B.8.4.1

8.5.1

B.8.4.2

8.5.2

B.8.4.3

8.5.4

B.8.4.4

8.5.5

B.8.4.5

8.5.3

B.8.4.6

8.5.6

B.8.4.7

8.5.7

B.8.4.8

8.5.8

回到頁首

另請參閱

增進您的 Office 技巧
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×