使用合規性管理員幫助您在使用 Microsoft 雲端服務時符合資料保護和法規要求

合規性管理員無法在由 21Vianet 提供的 Office 365、Office 365 Germany、Office 365 美國政府社群高中 (GCC 高中) 或 Office 365 國防部中使用。

Microsoft 服務信任入口網站中的合規性管理員是一個以工作流程為基礎的風險評定工具,可讓您追蹤、指派和驗證貴組織的 Microsoft 專業服務和 Microsoft 雲端服務相關法規合規性活動,例如 Microsoft Office 365、Microsoft Dynamics 365 和 Microsoft Azure。合規性管理員:

  • 將 Microsoft 提供的詳細資訊合併到稽核員和監管單位,做為各種第三方根據各種標準 (例如 ISO 27001、ISO 27018 和 NIST) 稽核 Microsoft 雲端服務的一部分,以及做為 Microsoft 內部符合規定 (例如 HIPAA 和歐盟一般資料保護規定,簡稱 GDPR) 的合規性之資訊的一部分,還有您自己針對貴組織是否符合這些標準和規定的合規性所進行的自我評定。

  • 可讓您指派、追蹤和記錄合規性與評定相關活動,能夠協助貴組織跨越小組藩籬,達成貴組織的合規性目標。

  • 提供合規性分數,協助追蹤您的進度並優先處理稽核控制措施,進而協助降低貴組織暴露於風險之中的程度。

  • 提供安全的存放庫,讓您上傳並管理證據和其他與合規性活動相關的成品。

  • 在 Microsoft Excel 中產生豐富的詳細報告,記載 Microsoft 和貴組織所執行的合規性活動,您可將這些報告提供給稽核員、監管單位和其他合規性專案關係人。

重要: 合規性管理員是提供資料保護和合規性程度與建議的儀表板,可改善資料保護和合規性。合規性管理員中提供的客戶動作僅為建議,每個組織可於實作之前自行評估這些建議在其個別的法規環境中的有效性。您不應將合規性管理員中找到的建議視為合規性的保證。

內容

概念性主題   

使用搜尋

當地語系化支援

合規性管理員中的評定

權限和角色型存取

了解合規性分數

合規性分數計算方法

將評定組成群組

系統管理功能   

指派合規性管理員角色給使用者

使用者隱私權設定

使用合規性管理員   

存取合規性管理員

使用合規性管理員儀表板

檢視動作項目

新增評定

從現有的評定複製資訊

檢視評定

管理評定程序

管理動作項目

從評定匯出資訊

封存評定

客戶管理的控制措施變更記錄檔   

變更記錄檔

概念性主題

合規性管理員是一種以工作流程為基礎的風險評定工具,其設計可協助您在雲端的共同承擔責任模型中管理法規合規性。合規性管理員提供您標準和規定的儀表板檢視,並提供包含 Microsoft 控制措施實作詳細資料的評定和測試結果,以及客戶控制措施實作指導方針和相關追蹤資訊,讓貴組織可由這些方面著手。合規性管理員提供認證評定控制措施定義、有關控制措施的實作和測試指導方針、控制措施的風險加權分數、角色型存取管理,以及就地控制措施動作指派工作流程,以追蹤控制措施實作、測試狀態和證據管理。合規性管理員可讓客戶依邏輯將評定組成群組,並將評定控制措施測試套用到相同或相關的控制措施,藉以最佳化合規性工作負載,進而減少滿足各種不同認證的相同控制措施需求所需的重複工作。

服務信任入口網站 - 搜尋輸入欄位

按一下頁面右上角的放大鏡來展開 [搜尋] 輸入欄位,然後輸入您的搜尋字詞,再按 Enter。 [搜尋] 控制項隨即出現,在搜尋窗格輸入欄位中搜尋字詞,搜尋結果會顯示在下方。

根據預設,[搜尋] 會傳回 [文件] 結果,並能讓您可以使用 [篩選依據] 下拉式清單以精簡顯示的文件清單,從檢視新增或移除搜尋結果。您可同時使用多個篩選器屬性,將系統傳回的文件範圍限定在特定的雲端服務、合規性或安全性做法類別、全世界的區域或是產業。按一下文件名稱連結以下載文件。

服務信任入口網站 - 在已套用篩選的文件上搜尋

按一下 [合規性管理員] 連結來顯示合規性管理員評定控制措施的搜尋結果。列出的搜尋結果會顯示建立評定的日期、將評定分組的名稱、適用的雲端服務,以及是否為 Microsoft 或客戶管理的控制措施。

服務信任入口網站 - 在合規性管理員控制措施上搜尋

附註: 您至少可以下載發佈之後十二個月或新版文件推出之前的服務信任入口網站報告和文件。

回到頁首

服務信任入口網站可讓您用不同語言檢視頁面內容。 若要變更頁面語言,只要按一下頁面左上角的地球圖示,然後選取您要的語言即可。 

服務信任入口網站 - 當地語系化內容選項

回到頁首

合規性管理員的核心元件稱為「評定」。「評定」是一種 Microsoft 服務根據認證標準或資料保護規定 (例如 ISO 27001:2013 和 GDPR) 的評定。評定可根據所選 Microsoft 雲端服務的選取業界標準,協助您辨別貴組織的資料保護和合規性態勢。若要完成評定,請實作對應到正要評定的認證標準的控制措施。

評定的結構是以 Microsoft 與貴組織共同承擔的責任為基礎,用來評定雲端中的安全性與合規性風險,以及用來實作合規性標準、資料保護標準、規定或法律所指定的資料保護防禦。

「評定」是由多個元件所組成,包括:

範圍內服務:於「範圍內」服務區段中所列出,每個評定適用於一組特定的 Microsoft 服務。

Microsoft 管理的控制措施   :針對每個雲端服務,Microsoft 會實作並管理一套「控制措施」,做為 Microsoft 符合各種標準和規定的合規性的一部分。這些控制措施會整理成「控制措施系列」,符合來自評定已符合之對應認證或規定的結構。針對每個 Microsoft 管理的控制措施,合規性管理員提供有關 Microsoft 已如何實作控制措施的詳細資料,以及獨立協力廠商稽核員已測試和驗證該實作的方式和時間。

以下範例顯示來自 Office 365 和 GDPR 之評定的 [安全性] 控制措施系列的三個 Microsoft 管理的控制措施。

合規性管理員中的 Microsoft 管理控制措施詳細資料
  1. 從對應到 Microsoft 管理的控制措施的認證或規定指定下列資訊。

    • 控制措施識別碼   :來自控制措施對應到的認證或規定的區段或文章編號。

    • 標題   :來自對應認證或規定的標題。

    • 文章識別碼   :只有 GDPR 評定才會包含此欄位,因為它會指定對應的 GDPR 文章編號。

    • 描述   :對應到所選 Microsoft 管理的控制措施之標準或規定的文字。

  2. 控制措施的合規性分數,表示與每個 Microsoft 管理的控制措施關聯的風險等級 (由於不符合合規性或控制措施失敗)。如需詳細資訊,請參閱了解合規性分數。請注意,合規性分數的評分介於 1 到 10 並以色彩標示。黃色表示低風險控制措施、橘色表示中度風險控制措施,而紅色則表示高風險控制措施。

  3. 某個控制措施的實作狀態相關資訊、測試控制措施的日期、執行測試的人員,以及測試結果。

  4. 針對每個控制措施,您可以按一下 [更多] 來查看其他資訊,包括 Microsoft 的控制措施實作的相關詳細資料,以及獨立第三方稽核員已測試和驗證該實作的方式和時間的相關詳細資料。

客戶管理的控制措施   :這是貴組織管理的控制措施集合。貴組織負責實作這些控制措施,做為指定標準或規定的合規性程序的一部分。客戶管理的控制措施也會整理成對應認證或規定的控制措施系列。使用客戶管理的控制措施來實作 Microsoft 所建議的建議動作,做為合規性活動的一部分。貴組織可以在每個客戶管理的控制措施中使用規定的指導方針和建議的客戶動作,來管理該控制措施的實作和評定程序。

評定中的客戶管理控制措施也有內建工作流程管理功能,可用來管理和追蹤貴組織完成評定的進度。例如,貴組織中的法務人員可以指派動作項目給須負責的 IT 系統管理員,並且指派執行控制措施的建議動作所需的權限。該工作完成後,IT 系統管理員可以上傳他們的實作工作的證據 (例如設定或原則設定的螢幕擷取畫面),然後將動作項目重新指派給法務人員,來評估收集到的證據、測試控制措施的實作,以及記錄合規性管理員中的實作日期和測試結果。如需詳細資訊,請參閱本文中的管理評定程序一節。

回到頁首

根據預設,貴組織中凡是擁有 Office 365 或 Azure AD 帳戶的所有人都可存取合規性管理員,而且可以在合規性管理員中執行任何動作。若要從預設權限變更為角色型存取控制模型,至少必須將一個使用者新增到每個合規性管理員角色 (請參閱下列指示)。將使用者新增到角色後,則會從提供給所有使用者的預設權限組合中移除指派給該角色執行動作的權限,而且只有已佈建該角色的使用者才能存取合規性管理員,以及執行該角色獲得允許的動作。

實作角色型存取後,未指派給已定義合規性管理員角色的任何使用者都會獲得來賓存取。

附註: 若要完全實作角色型存取控制以管理誰可以在合規性管理員中存取和執行動作,則必須將某個使用者新增到每個角色以變更預設權限。例如,如果您將某個使用者新增到可讓使用者管理評定的角色,只有該角色的成員才能管理評定。同樣地,如果您沒有將某個使用者新增到可讓使用者讀取評定中的資料的角色,則貴組織中的所有使用者都可以存取合規性管理員並讀取任何評定中的資料。

下表說明每個合規性管理員權限,以及各個權限允許使用者執行的操作。此表格也會列出角色所獲派的每個權限。

合規性管理員讀取者

合規性管理員參與者

合規性管理員評定員

合規性管理員系統管理員

入口網站系統管理員

讀取資料   :使用者可以讀取但無法編輯資料。

核取記號

核取記號

核取記號

核取記號

核取記號

編輯資料   :使用者可以編輯所有欄位,但測試結果和測試日期欄位除外。

核取記號

核取記號

核取記號

核取記號

編輯測試結果   :使用者可以編輯測試結果和測試日期欄位。

核取記號

核取記號

核取記號

管理評定   :使用者可以建立、封存和刪除評定。

核取記號

核取記號

管理使用者   :使用者可以將其組織中的其他使用者新增到讀取者、參與者、評定員和系統管理員角色。貴組織中只有具有全域系統管理員角色的使用者可以從入口網站系統管理員角色中新增或移除使用者。

核取記號

來賓存取

設定合規性管理員存取權後,沒有已佈建角色的任何使用者會依預設獲得來賓存取角色 (這也是個人 Microsoft 帳戶等任何非組織佈建帳戶的使用體驗)。來賓存取使用者沒有所有合規性管理員功能的完整存取權,而且無法看見任何組織的合規性評定資料,不過,他們能夠使用合規性管理員檢視 Microsoft 的合規性評定報告和服務信任文件。如需可存取和無法存取項目的圖例說明,請參閱下列影像 (可存取的功能是以藍色勾勒,而無法存取的功能是以紅色勾勒)。

合規性管理員儀表板 - 來賓存取使用體驗

合規性管理員 - 來賓存取圖形

回到頁首

在儀表板上,合規性管理員會在磚的右上角顯示 Office 365 評定的總分。這是評定的整體總計合規性分數,而且是該評定中標示為已實作和測試的每個控制措施評定的累積得分。新增評定時,您會發現合規性分數已經朝向完成,因為已套用由 Microsoft 實作和獨立協力廠商測試的 Microsoft 管理控制措施分數。

合規性管理員儀表板 - 總計合規性分數

其餘的得分來自成功的客戶控制措施評定、來自客戶管理的控制措施的實作和測試,而它們各自都有可貢獻到整體合規性分數的特定值。  

每個評定會顯示以風險為基礎的合規性分數,協助您評定與某個評定中的每個控制措施 (包括 Microsoft 管理和客戶管理的控制措施) 關聯的風險等級 (由於不符合合規性或控制措施失敗)。每個客戶管理的控制措施都會獲派可能的得分數字 (稱為「嚴重性排名」);以 1 到 10 進行評分,如果控制措施失敗,與較高風險因素關聯的控制措施會獲頒較多得分,而較低風險控制措施則會獲頒較少得分。

例如,以下顯示的 [使用者存取管理] 評定控制措施具有非常高的嚴重性風險排名,而且顯示獲派的值 10。

合規性管理員 - 評定控制措施高嚴重性 - 分數 10

 相較之下,以下顯示的 [資訊備份] 評定控制措施有較低的嚴重性風險排名,而且顯示獲派的值 3。

合規性管理員 - 評定控制措施低嚴重性 - 分數 3

合規性管理員會對每個控制措施指派預設嚴重性排名。風險排名是根據下列準則計算:

  • 控制措施是否可防止事件發生 (最高排名)、偵測到已發生的事件或矯正事件的影響 (最低排名)。針對嚴重性排名,可防止威脅且為強制性的控制措施會獲派最高的得分數字;偵測型或矯正型的控制措施 (不論它們是強制性還是選擇性) 會獲派最低的得分數字。

  • 控制措施 (已實作後) 是否為強制性,因而無法允許使用者略過 (例如,使用者必須重設其密碼並符合密碼長度和字元要求),或為選擇性而可允許使用者略過 (例如,要求使用者在離開電腦時鎖定其螢幕的商務規則)。

  • 與資料機密性、完整性和可用性風險相關的控制措施,無論這些風險是來自內部還是外部威脅,且無論威脅是惡意還是意外。例如,可協助防止外部攻擊者入侵網路和獲取個人識別資訊存取權的控制措施,會比與防止員工不小心誤設網路路由器設定而導致網路中斷相關的控制措施獲派更多得分。

  • 針對每個控制措施,與法律和外部推動者相關的風險,例如合約、規定和公開承諾。

顯示的控制措施合規性分數值會根據通過/失敗的基礎「全面」 套用到總計合規性分數 (無論控制措施已實作並通過或未通過後續評定測試),不會有部分實作的部分分數。只有在已將控制措施的 [實作狀態] 設為 [已實作] 或 [替代實作] 且將 [測試結果] 設為 [通過] 時,獲派的得分才會新增到總計合規性分數。  

最重要的是,合規性分數能指出倘若發生與某個控制措施相關的失敗,哪些控制措施有較高的潛在風險,藉此協助您排定優先順序,決定要專注於實作哪些控制措施。除了以風險為基礎的優先順序以外,值得注意的是,在評定控制措施與其他控制措施相關之處 (無論是在相同的評定中,或是在位於相同評定群組內的另一個評定中),如果成功完成單一控制措施,可能就會根據控制措施測試結果的同步處理情形大幅減少工作。

例如,在下列影像中,可以看到 Office 365 - GDPR 評定目前已評定 46%,而 111 個控制措施評定中有 51 個已完成,且取得的總計合規性分數為 289 (滿分為 600)。

合規性管理員 - 評定摘要

在評定中,GDPR 控制措施 7.5.5 與其他 5 個控制措施 (7.4.1、7.4.3、7.4.4、7.4.8 和 7.4.9) 有關,每個各有中等到高嚴重性風險評分 6 或 8)。我們使用評定篩選選取了所有這些控制措施,讓它們能夠在評定檢視中顯示,而且我們可以在下方看見它們之中沒有任何一個已經評定。    

合規性管理員 - 評定檢視 - 篩選控制措施,沒有任何已評定的項目 因為這 6 個控制措施是相關的,如果完成其中任何一個,就會在評定內的相關控制措施中同步處理這些測試結果 (就像針對位於相同評定群組內的某個評定中的任何相關控制措施,也同樣會這麼做)。完成 GDPR 控制措施 7.5.5 的實作和測試時,控制措施詳細資料區域會重新整理,以顯示所有 6 個控制措施皆已評定,並且已評定控制措施的數量對應增加到 57 且 51% 已評定,以及總計合規性分數 +40 的變更。

合規性管理員評定檢視 - 已同步處理控制措施結果

如果您即將採用會影響其他相關控制措施的方式來變更某個相關控制措施的 [實作狀態],則會顯示此確認更新對話方塊。

合規性管理員評定 - 相關控制措施更新確認對話方塊

附註: 目前只有 Office 365 雲端服務的評定包含合規性分數。Azure 和 Dynamics 的評定會顯示評定狀態。

回到頁首

合規性分數 (例如 Microsoft 安全分數) 與其他基於行為的計分系統類似,只要貴組織執行與資料保護、隱私權和安全性相關的活動,即可提高合規性分數。

附註: 合規性分數的高低並不能用來代表組織合規性絕對符合某個特定的標準或法規。它代表您採取的控制措施可降低個人資料和個人隱私權暴露在風險中的程度。沒有服務可以保證您完全符合某個標準或法規,因此合規性分數不應以任何形式被視為合規的保證。

合規性管理員中的評定是根據雲端運算的責任分享模型來評定。在這個責任分擔模型中,如果資料是儲存在 Microsoft 雲端,則 Microsoft 和每個客戶需分擔客戶資料保護的責任。

如下列的 Office 365 GDPR 評定所示,Microsoft 和客戶都各自負有責任,需執行各種專為滿足標準或法規的合規性評定而設計的動作。為據理解釋並了解滿足各種標準與法規所需要採取的行動,合規性管理員將所有標準與法規視為一個控制架構。因此,對 Microsoft 和客戶所執行的動作的合規性評定,包含各種控制措施的實作與驗證。

合規性管理員 - GDPR 評定

一般動作的基本工作流程如下所示:

  1. 組織內的合規性、風險、隱私權,和/或資料保護長會將工作指派給組織內的某人以實作某項控制措施。該人員有可能是:

    1. 企業政策擁有者、

    2. IT 實作者,或是

    3. 組織內另一個負責執行該工作的人員。

  2. 此人員會執行實作該控制措施所需的工作、將實作證明上傳至合規性管理員,然後將繫結該動作的控制措施標為已實作。完成了這些工作後,該動作就會再指派給評定員來驗證。評定員有可能是:

    1. 在組織中執行控制措施驗證的內部評定員,或是

    2. 檢驗、驗證並認證合規性的外部評定員,例如稽核 Microsoft 雲端服務的第三方獨立組織。

  3. 評定員會驗證控制措施並檢驗證明,然後將控制措施標為已評定,並標出評定結果 (例如通過)。

當與評定相關的控制措施都評估完畢之後,就可以視為已完成該項評定了。

合規性管理員中的每個評定項目都含有預載資訊,提供有關 Microsoft 採取了哪些動作以滿足 Microsoft 需負責實作之控制措施的詳細資料。這個資訊包含 Microsoft 如何實作每個控制措施的詳細資料,以及第三方稽核員如何評估 Microsoft 的實作與進行評估的時間。因此,每個評定項目下由 Microsoft 管理的控制措施會標示為已評估,而該評定項目的合規性分數會反映這一點。

每個評定項目都包含以責任分擔模型為基礎的總計合規性分數。Microsoft 為 Office 365 執行的實作和控制措施測試,為 GDPR 評定相關的總計分數貢獻了一部分的分數。當客戶實作並測試每項客戶動作時,該評定項目的合規性分數會根據指派給該控制措施的值而提高。

風險型分數計算方法

合規性管理員會採用風險型分數計算方式,根據控制措施若失敗或不符合合規性時會導致的風險以 1 到 10 進行評分,值越高代表風險越大。合規性分數使用的計分系統依據幾個關鍵因素而定,例如:

  1. 控制措施的要素、

  2. 基於威脅種類的控制措施風險層級,以及

  3. 控制措施的外部驅力。

合規性管理員 - 合規性分數計算方法

控制措施的要素

控制措施的要素依據為該控制措施是強制性還是選擇性,以及是預防型、偵測型還是矯正型。

強制性或選擇性

強制性控制措施是不論故意或無心都無法略過的控制措施。常見強制性控制措施的一例是設定密碼需要的長度、複雜度和到期日的集中管理密碼原則。使用者必須符合這些需求才能存取系統。

選擇性控制措施仰賴使用者了解原則,並採取適當動作。比方說,要求使用者在離開座位前鎖定電腦就是選擇性控制措施,因為需要仰賴使用者的配合。

預防型、偵測型或矯正型

「預防型控制措施」是能預防特定風險的控制措施。舉例來說,使用加密來保護待用資訊就是針對攻擊和資料外洩等風險的預防型控制措施。責任分散是管理利益衝突及防堵詐騙的預防型控制措施。

「偵測型控制措施」是主動監控系統以找出可能代表風險的異常狀況或行為,或是可用來偵測入侵或判斷資料外洩是否已經發生的控制措施。系統存取稽核和針對特殊權限的系統管理動作稽核都是偵測型控制措施類型;而法規合規性稽核則是用來找出流程問題的偵測型控制措施類型。

「矯正型控制措施」是那些盡可能將安全性事件的不利影響降至最低、採取矯正動作以降低立即影響,並盡可能修復傷害的控制措施。隱私權事件回應是一種矯正型控制措施,在遭到入侵後限制傷害並將系統還原至可以運作的狀態。

透過這些因素評估每個控制措施,我們就能判斷控制措施的要素,並指派一個代表與風險相關的值給它。

威脅

強制性

選擇性

預防型

高風險

中度風險

偵測型

中度風險

低風險

矯正型

中度風險

低風險

所謂威脅是任何對全球公認的安全標準造成威脅的行為,這個標準名為資料的 CIA (資訊安全三要素):機密性、完整性和可用性:

  • 機密性表示資訊只能由信任的授權對象閱讀與了解。

  • 完整性表示資訊沒有受到未授權的使用者修改或毀壞。

  • 可用性表示該資訊可隨時提供高服務品質的存取。

只要任一特性受到破壞,就代表整個系統受到了威脅。威脅有可能來自內部和外部的來源,且動作者的意圖可能是不小心或惡意的。這些因素都會被納入一個威脅矩陣進行評估,並針對每種案例組合將威脅等級指派為高、中等或低。

內部

External

惡意的

無心的

惡意的

無心的

機密性

(高、中等或低)

(高、中等或低)

(高、中等或低)

(高、中等或低)

完整性

(高、中等或低)

(高、中等或低)

(高、中等或低)

(高、中等或低)

可用性

(高、中等或低)

(高、中等或低)

(高、中等或低)

(高、中等或低)

外部驅力

合約

法規

公開承諾

(高、中等或低)

(高、中等或低)

(高、中等或低)

外部因素例如相關法規、合約和公開承諾會影響設計用來保護並防堵資料外洩的控制措施,而且這些因素每個都被指派一個高、中等或低的風險值。

預估在 CIA / 威脅和法律/外部驅力中所呈現的 15 種可能的風險案例中會發生的風險與發生頻率賦予高、中等或低的值,結合後得出一個風險加權,這個加權會考量於某特定值發生風險的可能性和頻率,將其評為顯著,並且於計算控制措施的嚴重等級時納入考量。

根據控制措施的嚴重等級,對此控制措施指派一個介於 1 (低) 到 10 (高) 之間的合規性分數的值,並根據下列風險類別分組:

風險層級

控制措施的值

1-3

中等

6

8

嚴重

10

透過排出評定控制措施的優先順序,以合規性分數的數值最高的為優先,組織就能集中處理風險最大的項目,並且在完成每項控制措施評定時獲得更好的正面意見反應,因為能獲得較高的總計合規性分數。

摘要

合規性分數是合規性管理員協助組織了解並管理合規性的核心元件。一個評定項目的合規性分數可用一個數字代表這家公司在相關標準或法規上的合規性程度,分數越高 (分數上限取決於該評定項目的最高容許分數),這家公司的合規性狀態越好。了解合規性分數的計算方法,在這方法中評定的控制措施會被指派介於 1 到 10 (從低到高) 的風險嚴重性的值,以及完成控制措施評定後為總計合規性分數增加了多少分,這對協助組織排定動作的優先順序非常重要。

回到頁首

當您建立新評定時,系統會提示您建立新群組以將評定指派到該群組,或是將評定指派到現有群組。群組可讓您按照邏輯整理評定,並在有相同或相關的客戶管理控制措施之間共用通用資訊和工作流程工作。

例如,您可以依年份或小組、部門或貴組織中的單位將評定組成群組,或是依年份將評定組成群組。以下是一些群組和群組可能包含的評定的範例。

  • GDPR 評定 - 2018 年

    • Office 365 + GDPR

    • Azure + GDPR

    • Dynamics + GDPR

  • Azure 評定 - 2018 年

    • Azure + GDPR

    • Azure + ISO 27001:2013

    • Azure + ISO 27018:2014

  • 資料安全性和隱私權評定

    • Office 365 + ISO 27001:2013

    • Office 365 + ISO 27018:2014

    • Azure + ISO 27001:2013

    • Azure + ISO 27018:2014

提示: 開始新增評定之前,建議您先判斷適用於貴組織的組成群組策略。

以下是將評定組成群組的相關要求:

  • 群組名稱 (也稱為「群組識別碼」) 在貴組織中必須是唯一的。

  • 群組可以包含相同認證/規定的評定,但針對特定雲端服務/認證組,每個群組只能包含一個評定。例如,一個群組無法包含兩個 Office 365 和 GDPR 的評定。同樣地,針對相同的雲端服務,一個群組可以包含多個評定,只要每一個的對應認證/規定都不同就可以了。

將評定新增到評定群組後,就無法變更該群組。您可以重新命名評定群組,這會變更與該群組關聯的所有評定的評定群組名稱。您可以建立新評定和新評定群組,並且從現有評定複製資訊,這會在不同的評定群組中有效地建立該評定的重複項目。封存評定會破壞該評定與評定群組之間的關係;封存的評定中不會再反映其他相關評定的任何其他更新。

如先前所述,使用群組的一個重要優勢在於,當相同群組中的兩個不同評定共用相同的客戶管理控制措施 (每個控制措施的客戶動作因而相同),則一個評定中的控制措施的實作詳細資料、測試資訊和狀態完成度,會同步處理到群組中任何其他評定的相同控制措施。換句話說,如果評定共用相同的控制措施且這些評定位於相同的群組,您只須管理一個評定中的控制措施的評定程序,該控制措施的結果會自動同步處理到其他評定。舉例來說,ISO-27001 和 ISO-27018 都有與密碼原則相關的控制措施,如果控制措施的測試狀態在一個評定中已設為 [通過],只要兩個控制措施都是相同評定群組的一部分,控制措施在其他評定中將會更新 (並標示為 [通過])。

做為這個的範例,請考慮這兩個相關評定控制措施,各自都與公用網路上的資料加密有關:Office 365 - GDPR 評定中的控制措施 6.10.1.2,和 Office 365 - NIST 800-53 評定中的控制措施 SC-13。這些是兩個不同評定 (皆在預設群組內) 中的相關評定控制措施;一開始,這兩個評定都未完成任何客戶控制措施評定 (如顯示這兩個評定的合規性管理員儀表板中所示)。

合規性管理員儀表板 - 組成群組的評定 - 之前

按一下 Office 365 - GDPR 評定、使用篩選控制措施檢視 GDPR 控制措施 6.10.1.2 後,我們會看到 NIST 800-53 控制措施 SC-13 列為相關控制措施。

合規性管理員評定 - 共用的控制措施

 以下顯示 GDPR 控制措施 6.10.1.2 的實作和測試的完成狀態。 

合規性管理員評定控制措施 GDPR 6.10.1.2 - 通過

瀏覽到組成群組之評定的相關控制措施後,我們會看到 NIST 800-53 SC-13 也已標示為已在相同的時間與日期完成,而且沒有其他實作或測試工作。

合規性管理員評定 - 已完成 NIST 800-53 SC(13)

回到儀表板後,我們會看到每個評定皆已完成 1 個控制措施評定,而且每個評定的總計合規性分數皆已增加 8 (該共用控制措施的合規性分數值)。

合規性管理員儀表板 - 已組成群組的評定進度同步處理

回到頁首

系統管理功能

有些特定系統管理功能只能供租用戶系統管理員帳戶使用,而且只有在以全域系統管理員身分登入時才會顯示。

附註: 下拉式清單中的 [存取受限制的文件] 權限將可讓系統管理員提供使用者存取權,以存取 Microsoft 在服務信任入口網站上共用的受限制的文件。受限制的文件功能目前無法使用,但即將推出。

每個合規性管理員角色都有稍微不同的權限。您可以選取 [系統管理] 功能表項目,然後選擇 [設定],以透過服務信任入口網站檢視指派給每個角色的權限、查看哪些使用者具有哪些角色,以及從角色中新增或移除使用者。

STP 系統管理功能表 - 已選取 [設定]

若要從合規性管理員角色中新增或移除使用者:

  1. 移至 https://servicetrust.microsoft.com

  2. 使用您的 Azure Active Directory 全域系統管理員帳戶登入。

  3. 在服務信任入口網站頂端功能表列上,按一下 [系統管理],然後選擇 [設定]。

  4. 在 [選取角色] 下拉式清單中,按一下您要管理的角色。

  5. [選取角色] 頁面會列出新增到每個角色的使用者。

  6. 若要將使用者新增到此角色,請按一下 [新增]。在 [新增使用者] 對話方塊中,按一下使用者欄位。您可以捲動瀏覽可用的使用者清單,或開始在使用者名稱中輸入以根據您的搜尋字詞篩選清單。按一下使用者名稱,以將該帳戶新增到要使用該角色佈建的 [新增使用者] 清單。若要同時新增多個使用者,請開始在使用者名稱中輸入以篩選清單,然後按一下使用者以將他們新增到清單中。按一下 [儲存] 以將選取的角色佈建到這些使用者。

    合規性管理員 - 佈建角色 - 新增使用者

  7. 若要從此角色中移除使用者,請選取使用者,然後按一下 [刪除]。

    合規性管理員 - 佈建角色 - 移除使用者

回到頁首

部分法規要求使用者記錄資料必須能夠被移除。為達成這點,合規性管理員提供使用者隱私權設定功能,可讓系統管理員:

合規性管理員系統管理員 - 使用者隱私權設定功能

搜尋使用者帳戶

若要搜尋使用者帳戶:

  1. 輸入使用者電子郵件地址的別名 (位在 @ 符號左邊的資訊),然後按一下右邊的網域尾碼清單以選擇網域名稱。如果這是個具有多個註冊網域的租用戶,請您仔細檢查電子郵件地址的網域名稱尾碼,以確保資訊正確。

  2. 正確輸入使用者名稱之後,按一下 [搜尋] 按鈕。    

  3. 如果找不到使用者帳戶,頁面上會顯示錯誤訊息「找不到使用者」。檢查使用者的電子郵件資訊,視進行需要修正,然後按一下 [搜尋] 再試一次。

  4. 如果找到了使用者帳戶,按鈕文字會從 [搜尋] 變成 [清除],這表示傳回的使用者帳戶是顯示在下方的其他功能的作業內容,所以執行這些功能會套用至這個使用者帳戶。

  5. 若要清除搜尋結果,並搜尋不同的使用者,請按一下 [清除] 按鈕。

匯出帳戶資料記錄報告

識別使用者帳戶之後,您可能會想要產生一份與此帳戶相關的相依性報告。這個資訊可以讓您重新指派開放的動作項目,或是確保存取先前上傳的證明。  

產生並匯出報告:   

  1. 按一下 [匯出] 以產生並下載目前指派給傳回之使用者帳戶的合規性管理員控制措施動作項目報告,以及由該使用者上傳的文件清單。如果沒有指派的動作或上傳的文件,會顯示「沒有此使用者的資料」的錯誤訊息。

  2. 報告會在使用中的瀏覽器視窗背景下載,如果沒看到下載快顯視窗,請查看您瀏覽器的下載記錄。

  3. 開啟文件,檢視報告資料。

附註: 這並不是保留和顯示動作項目指派記錄狀態變更的歷程記錄報告。此產生的報告是報告執行當下對控制措施動作項目執行的快照 (日期和時間戳記會寫入報告)。舉例來說,後續若重新指派動作項目,再為同一個使用者產生報告將會得到不同的報告資料快照。 

重新指定動作項目

這個功能可讓組織透過將傳回之使用者帳戶上的所有動作項目擁有權 (包含使用中和已完成的動作項目) 重新指派給列在下方的新使用者,將使用者帳戶上任何使用中或待處理的相依性移除。此動作不會變更傳回之使用者帳戶的文件上傳記錄。 

將動作項目指派給另一個使用者:   

  1. 按一下輸入方塊以瀏覽並選取另一名組織裡的使用者,將傳回之使用者的動作項目指派給他。

  2. 選取 [取代] 把傳回之使用者的所有控制措施動作項目重新指派給選取的使用者。

  3. 隨即顯示確認對話方塊,說明「這會把指派給目前使用者的所有控制措施動作項目重新指派給選取的使用者。這個動作無法復原。確定要繼續嗎?」

  4. 若要繼續,按一下 [確定],否則請按一下 [取消]。

附註: 所有的動作項目 (作用中和已完成的) 將會指派給新選取的使用者。不過,此動作不會影響文件上傳記錄。先前指派的使用者所上傳的任何文件仍會顯示先前的時間、日期和先前指派的使用者名稱。  

變更文件上傳記錄以移除上一個受指派的使用者,必須以手動程序完成。在這種情況下,系統管理員必須:

1)      開啟先前下載的匯出報告。

2)      找出並瀏覽至想要的控制措施動作項目。

3)      按一下 [管理文件] 以瀏覽至該控制措施的證明存放庫。

4)      下載該文件。

5)      刪除在證明存放庫中的該文件。

6)      重新上傳文件。該文件現在有新的上傳日期、時間和上傳的使用者名稱。  

刪除使用者資料記錄

這會將指派給傳回的使用者的所有控制措施動作項目設為「未指派」。這也會將任何由傳回的使用者所上傳的文件的上傳者值設為「已移除使用者」。

刪除使用者帳戶的動作項目和文件上傳記錄:   

  1. 按一下 [刪除] 按鈕。

  2. 隨即顯示確認對話方塊,說明「這會移除所選取的使用者的所有控制措施動作項目的指派以及文件上傳記錄。這個動作無法復原。確定要繼續嗎?」

  3. 如要繼續,按一下 [確定],否則請按一下 [取消]。

回到頁首

使用合規性管理員

合規性管理員提供您指派、追蹤和記錄合規性與評定相關活動的工具,並且協助貴組織跨越小組藩籬,達成貴組織的合規性目標。

合規性管理員儀表板 - 頂端功能表 - 已更新 [系統管理] 功能表

回到頁首

請從服務信任入口網站存取合規性管理員。凡是擁有 Microsoft 帳戶或 Azure Active Directory 組織帳戶的任何人都可以存取合規性管理員。

合規性管理員 - 從 STP 功能表評定合規性管理員

  1. 移至 https://servicetrust.microsoft.com

  2. 使用您的 Azure Active Directory (Azure AD) 使用者帳戶登入。

  3. 在服務信任入口網站中,按一下 [合規性管理員]。

  4. 畫面上顯示保密合約時,請閱讀該合約,然後按一下 [同意] 以繼續。您只須執行一次此操作,然後就會顯示合規性管理員儀表板。

  5. 為了讓您快速上手,我們已預設新增下列評定:

    合規性管理員中的預設評定
  6. 按一下 合規性管理員中的說明圖示 說明來觀看簡短的合規性管理員導覽。

回到頁首

合規性管理員提供您所有獲派的控制措施評定動作項目的便利檢視,可讓您快速且輕鬆地執行相關動作。您可以按一下與該評定關聯的索引標籤,以檢視所有動作項目或選取與特定認證對應的動作項目。例如,在下列影像中,已選取 GDPR 索引標籤,顯示與 GDPR 評定有關的控制措施。

合規性管理員 - 動作項目清單、多個索引標籤且已選取 GDPR

若要檢視您的動作項目:

  1. 移至合規性管理員儀表板。

  2. 按一下 [動作項目] 連結,頁面將重新整理以顯示您已獲派的動作項目。

  3. 根據預設,會顯示所有動作項目。如果您有多個認證的動作項目,評定控制措施頂端的索引標籤中將會列出認證名稱。若要查看特定認證的動作項目,請按一下該索引標籤。

回到頁首

若要將評定新增到合規性管理員:

  1. 在合規性管理員儀表板中,按一下 [新增] 圖示 [新增評定]。

  2. 在 [新增評定] 視窗中,您可以建立新群組來新增評定,也可以將評定新增到現有群組 (內建群組的名稱為「初始群組」)。視您選擇的選項而定,輸入新群組的名稱或從下拉式清單中選取現有群組。如需詳細資訊,請參閱將評定組成群組

    如果您建立新群組,您也可以選擇從現有群組將資訊複製到新評定。也就是說,已從您正在複製之群組中的評定新增到客戶管理的控制措施之實作詳細資料和測試計劃和管理回應欄位的任何資訊,都會複製到新評定中的相同 (或相關) 的客戶管理控制措施。如果您正在將新評定新增到現有群組,來自該群組中的評定的通用資訊將會複製到新評定。如需詳細資訊,請參閱從現有的評定複製資訊

  3. 按一下 [下一步],然後執行下列操作:

    • 從 [選取產品] 下拉式清單中選擇要評定合規性的 Microsoft 雲端服務。

    • 從 [選取認證] 下拉式清單中選擇要根據哪個認證評定選取的雲端服務。

  4. 按一下 [新增到儀表板] 以建立評定;評定將以現有磚清單結尾的新磚的形式新增到合規性管理員儀表板。

    合規性管理員儀表板上的 [評估磚] 會顯示評定群組、評定名稱 (自動建立為服務名稱和所選認證的組合)、建立的日期和上次修改的時間、總計合規性分數 (這是已實作、測試和通過之所有獲派控制措施風險值的總和),以及底部的進度列指示器 (顯示已評定的控制措施的數量)。

  5. 按一下評定名稱以將它開啟,然後檢視評定的詳細資料。

  6. 按一下 [動作] 功能表以檢視您獲派的動作項目、重新命名評定群組、匯出評定報告,或是封存評定。

合規性管理員 - 評定磚

回到頁首

如先前所述,當您建立新評定群組時,您可以選擇從現有群組中的評定將資訊複製到新群組中的新評定。這可讓您將已完成的評定和測試工作套用到新評定中的相同客戶管理控制措施。例如,如果您在貴組織中有一個針對所有 GDPR 相關評定的群組,在將新評定新增到群組時,您可以從現有評定工作複製通用資訊。

您可以將下列資訊從客戶複製到新評定:

  • 評定使用者。評定使用者是獲派控制措施的使用者。

  • 狀態、測試日期和測試結果。

  • 實作詳細資料和測試計劃資訊。

同樣地,會同步處理來自相同評定群組內的共用客戶管理控制措施的資訊。而且也會同步處理相同評定內的相關客戶管理控制措施中的資訊。

回到頁首

  1. 找出對應您要檢視之評定的 [評定磚],然後按一下評定名稱以將它開啟,並檢視與評定關聯的 Microsoft 和客戶管理的控制措施,以及評定的範圍內的雲端服務清單。以下是 Office 365 和 GDPR 的評定範例。

    合規性管理員評定檢視 - 全螢幕 (含圖說文字)

    1. 此區段會顯示評定摘要資訊,包括評定群組的名稱、產品、評定名稱,以及存取控制措施的數量。

    2. 此區段會顯示評定篩選控制措施。如需有關如何使用評定篩選控制措施的更詳細的說明,請參閱管理評定程序一節。

    3. 此區段會顯示評定的範圍內的個別雲端服務。

    4. 此區段包含 Microsoft 管理的控制措施。會依據控制措施系列整理相關控制措施。按一下某個控制措施系列以將它展開,並顯示個別控制措施。

    5. 此區段包含客戶管理的控制措施,這也是依據控制措施系列整理而成。按一下某個控制措施系列以將它展開,並顯示個別控制措施。

    6. 顯示控制措施系列中的控制措施總數,以及已存取這些控制措施的數目。追蹤貴組織評定客戶管理控制措施的進度是合規性管理員的主要功能。如需詳細資訊,請參閱了解合規性分數一節。

回到頁首

評定的建立者是一開始的唯一評定使用者。針對每個客戶管理的控制措施,您可以指派動作項目給貴組織中的某個人員,讓該人員成為可執行建議的客戶動作以及收集和上傳證據的評定使用者。當您指派動作項目時,您可以選擇傳送含有詳細資料的電子郵件給該人員,包括建議的客戶動作和動作項目優先順序。電子郵件通知包含 [動作項目] 儀表板的連結,這會列出指派給該人員的所有動作項目。

以下是您可使用合規性管理員的工作流程功能來執行的工作清單。

合規性管理員評定工作流程 (含圖說文字)
  1. 使用篩選選項尋找特定評定控制措施   :合規性管理員提供 [篩選選項],針對顯示評定控制措施提供您極度精細的選取準則,協助您精確地將目標鎖定於合規性工作的特定區域。  

    按一下頁面右側的漏斗圖圖示,以顯示或隱藏 [篩選選項] 控制措施。這些控制措施可讓您指定篩選準則,而且只有符合這些準則的評定控制措施才會顯示在下方。 合規性管理員評定篩選控制措施

    • 文章:篩選文章名稱並傳回與該文章關聯的評定控制措施。例如,輸入「文章 (5)」會傳回其名稱包含該字串的文章選擇清單,亦即文章 (5)(1)(a)、文章 (5)(1)(b)、文章 (5)(1)(c) 等。選取文章 (5)(1)(c) 會傳回與文章 (5)(1)(c) 關聯的控制措施。這是使用 OR 運算子搭配多個值的多重選取欄位,舉例來說,如果您選取文章 (5)(1)(a),然後新增文章 (5)(1)(c),篩選則會傳回與文章 (5)(1)(a) 或文章 (5)(1)(c) 關聯的控制措施。

      合規性管理員評定檢視 - 篩選文章名稱

    • 控制措施:傳回其名稱符合篩選的控制措施清單,亦即輸入 7.3 會傳回 7.3.1、7.3.4、7.3.5 等項目選擇清單。這是使用 OR 運算子搭配多個值的多重選取欄位,舉例來說,如果您選取 7.3.1,然後新增 7.3.4,篩選會傳回與 7.3.1 或 7.3.4 關聯的控制措施。

      合規性管理員評定檢視 - 篩選控制措施多重選取

    • 獲派的使用者:傳回已指派給選取的使用者的控制措施清單。

    • 狀態:傳回具有選取的狀態的控制措施清單。

    • 測試結果:傳回具有選取的測試結果的控制措施清單。

    當您套用篩選條件時,適用控制措施的檢視會隨而變更,以對應到您的篩選條件。展開控制措施系列區段以顯示下列控制措施詳細資料。  

    合規性管理員評定檢視 - 篩選文章結果

  2. 如果選取想要的篩選後未顯示任何結果,則表示沒有對應到指定的篩選條件的控制措施。例如,如果您選取特定 [獲派的使用者],然後選擇未對應到指派給該使用者的控制措施的 [控制措施] 名稱,下列頁面則不會顯示任何評定。

  3. 指派動作項目給使用者   :您可以指派動作項目給某個人員,以實作認證/規定的要求,或測試、驗證和記錄貴組織的實作要求。當您指派動作項目時,您可以選擇傳送含有詳細資料的電子郵件給該人員,包括建議的客戶動作和動作項目優先順序。您也可以取消指派或重新指派動作項目給其他人員。

  4. 管理文件   :客戶管理的控制措施也有一個管理與執行實作工作相關之文件的位置,而且可用於執行測試和驗證工作。凡是擁有合規性管理員中的資料編輯權限的任何人員,只要按一下 [管理文件],就可以上傳文件。文件上傳完畢後,您可以按一下 [管理文件] 來檢視和下載檔案。

  5. 提供實作和測試詳細資料   :每個客戶管理的控制措施都有一個可編輯的欄位,使用者可以在這裡新增實作詳細資料,記載貴組織為符合認證/規定要求所執行的步驟,以及驗證和記載貴組織如何符合這些要求。

  6. 設定狀態   :將每個項目的狀態設定為評定程序的一部分。可用的狀態值包括 [已實作]、[替代實作]、[已計劃] 和 [範圍外]。

  7. 輸入測試日期和測試結果   :具有合規性管理員評定員角色的人員可以驗證是否已執行適當的測試、檢閱實作詳細資料、測試計劃、測試結果,以及任何上傳的證據,然後設定測試日期和測試結果。可用的測試結果值包括 [通過]、[失敗 - 低風險]、[失敗 - 中風險] 和 [失敗 - 高風險]。

回到頁首

貴組織中參與評定程序的人員可以從他們身為使用者的所有評定中,使用合規性管理員來檢閱客戶管理的控制措施。當使用者登入合規性管理員並開啟 [動作項目] 儀表板時,會顯示指派給他們的 [動作項目] 清單。視使用者獲派的合規性管理員角色而定,他們可以提供實作或測試詳細資料、更新狀態,或是指派動作項目。

由於認證控制措施通常是由一個人員實作並由另一個人員執行測試,控制措施動作項目一開始可以指派給一個人員進行實作,而一旦完成後,該人員就可以重新指派控制措施動作項目給下一個人員進行控制措施測試並上傳證據。凡是擁有合規性管理員角色且具備充足權限的任何使用者,都可以執行這種控制措施動作的指派/重新指派,從實作者到測試者皆可視需要集中管理控制措施指定,或是分散控制措施動作項目的路由。

若要指派動作項目:

  1. 在合規性管理員儀表板上,找出您要使用之評定的評定磚,然後按一下評定名稱以移至評定詳細資料頁面。

  2. 您可以按一下 [篩選] 按鈕並使用篩選控制措施,以尋找您要指派的特定評定控制措施,或者

  3. 向下捲動到客戶管理的控制措施區段,展開控制措施系列,然後捲動瀏覽控制措施清單,直到您已找出要指派的評定控制措施為止。

  4. 在 [獲派的使用者] 欄底下,按一下藍色 [指派] 按鈕。

  5. 在 [指派動作項目] 對話方塊中,按一下 [指派給] 欄位,以填入可獲派動作的使用者清單。您可以捲動瀏覽清單以尋找目標使用者,或開始在欄位中輸入以搜尋使用者名稱。

  6. 按一下使用者以將他們指派給此動作項目。

  7. 若要傳送電子郵件通知給使用者以通知他們,請確保已選取 [傳送電子郵件] 核取方塊。

  8. 輸入您想要向該使用者顯示的任何附註,然後按一下 [指派]。

  9. 使用者將會收到其動作項目指派的通知和您提供的任何附註。

與動作項目關聯的附註會保存在附註區段中,可供下次指派動作項目時使用。這些附註並非唯讀狀態,指派動作項目的人員可以編輯、取代或移除附註。

回到頁首

您可以將評定匯出到 Excel 檔案,以供貴組織中的合規性專案關係人檢閱,並提供給稽核員和監管單位。此評定報告是建立該報告的日期與時間之際的評定快照,而且它包含該評定之 Microsoft 管理的控制措施和客戶管理的控制措施的詳細資料,包括控制措施實作狀態、控制措施測試日期和測試結果,並提供上傳證據文件的連結。建議您在封存評定前匯出評定報告,因為封存的評定不會保留其上傳文件的連結。

若要匯出評定報告:

  1. 在合規性管理員儀表板上,按一下您要匯出之評定磚上的 [動作] 連結,然後選擇 [匯出至 Excel],或者

  2. 如果您正在檢視評定詳細資料頁面,請按一下位於頁面右上角、評定的合規性分數上方的 [匯出至 Excel] 按鈕。

將會在瀏覽器工作階段中下載評定報告。如果您沒有看到此類快顯通知,您可以檢查瀏覽器的下載資料夾。

回到頁首

當您完成評定且不再需要將它用於合規性用途時,您可以封存評定。封存評定後,就會從評定儀表板移除評定。

附註: 封存評定時,無法取消封存或還原到讀取寫入進行中狀態。請注意,封存評定不會保留其已上傳證據文件的連結,因此強烈建議您先執行評定的匯出,然後再進行封存,因為匯出的評定報告會包含證據文件的連結,讓您能夠繼續存取它們。

若要封存評定:

  1. 在想要評定的儀表板磚上,按一下 [動作] 按鈕。

  2. 選取 [封存評定]。

  3. [封存評定] 對話方塊隨即出現,要求您確認您是否要封存此評定。

  4. 若要繼續封存,請按一下 [封存] 或按一下 [取消]。

若要檢視封存的評定:

  1. 在合規性管理員儀表板上,選取 [顯示已封存] 核取方塊。

  2. 封存的評定會顯示在其餘作用中評定下方的新顯示區段中 (位於 [封存的評定] 標題列底下)。

  3. 按一下您要檢視的評定名稱。

  4. 檢視封存的評定時,一般可編輯控制措施 (例如 [實作]、[測試結果]) 都不會呈現作用中狀態,而且 [管理的文件] 按鈕會消失。

回到頁首

客戶管理的控制措施變更記錄檔

合規性管理員採用定期更新的設計,以跟上法規要求的變更,以及雲端服務的變更。這些更新包括客戶管理的控制措施的變更。我們會提供變更記錄檔,協助您了解這些變更的影響,包括新增或變更之內容的詳細資料,以及變更對現有評定有何影響的指導方針。一般而言,有兩種類型的變更:

  • 重大變更是客戶動作的重大變更,例如新增或移除控制措施或是特定編號步驟,或變更有關責任、建議或證據的指導方針。針對重大變更,建議您重新評估您受影響控制措施的實作和/或評定。

  • 微幅變更是客戶動作的微小變更,例如修正錯字或格式設定問題,或是更新或修正超連結。微幅變更通常不需要重新評估控制措施,不過,仍建議您檢閱更新的客戶動作。

 

Office 365 客戶管理的控制措施 - 2018 年 7 月的變更記錄檔

受影響的控制措施

變更描述和建議

控制措施識別碼

評定

變更類型

變更描述

建議客戶執行的動作

45 C.F.R. § 164.308(a)(7)(ii)(A)

Office 365:HIPAA

重大

已將 HITECH 控制措施新增到適用於 Office 365 的 HIPAA 評估。

檢閱已新增的控制措施和建議的客戶動作。

45 C.F.R. § 164.312(a)(6)(ii)

Office 365:HIPAA

重大

已將 HITECH 控制措施新增到適用於 Office 365 的 HIPAA 評估。

檢閱已新增的控制措施和建議的客戶動作。

45 C.F.R. § 164.312(c)(1)

Office 365:HIPAA

重大

已將 HITECH 控制措施新增到適用於 Office 365 的 HIPAA 評估。

檢閱已新增的控制措施和建議的客戶動作。

45 C.F.R. § 164.316(b)(2)(iii)

Office 365:HIPAA

重大

已將 HITECH 控制措施新增到適用於 Office 365 的 HIPAA 評估。

檢閱已新增的控制措施和建議的客戶動作。

 

Office 365 客戶管理的控制措施 - 2018 年 4 月的變更記錄檔

受影響的控制措施

變更描述和建議

GDPR

HIPAA

ISO 27001

ISO 27018

NIST 800-53

NIST 800-171

變更類型

變更描述

建議客戶執行的動作

6.13.2

C.16.1.1

重大

先前編號為 6.12.1.1。

建議中新增的詳細資料。

重新評定控制措施:檢閱客戶動作中的更新指導方針,並依照實作和評定控制措施的建議步驟進行。

3.1.6

重大

指導方針的新增步驟,包含啟用稽核和搜尋稽核記錄。

檢閱客戶動作中的更新建議。

6.8.2

A.10.2

重大

先前的編號為 6.7.2.9。

含有其他建議和動作項目的更新指導方針。

重新評定控制措施:檢閱客戶動作中的更新指導方針,並依照實作和評定控制措施的建議步驟進行。

6.6.4

45 C.F.R. § 164.312(a)(2)(i)


45 C.F.R. § 164.312(d)

A.9.4.2

IA-2

3.5.1

重大

先前的編號為 6.5.2.3。

含有其他建議和動作項目的更新指導方針。

重新評定控制措施:檢閱客戶動作中的更新指導方針,並依照實作和評定控制措施的建議步驟進行。

6.13.1

45 C.F.R. § 164.308(a)(1)(i)

A.16.1

C.16.1

IR-4(a)

3.6.1

重大

先前的編號為 6.12.1。

含有其他建議和動作項目的更新指導方針。

重新評定控制措施:檢閱客戶動作中的更新指導方針,並依照實作和評定控制措施的建議步驟進行。

6.7

重大

先前的編號為 6.6.1.1。

含有其他建議和動作項目的更新指導方針。

重新評定控制措施:檢閱客戶動作中的更新指導方針,並依照實作和評定控制措施的建議步驟進行。

6.6.5

A.10.8

IA-3

3.5.2

重大

先前的編號為 6.5.4.2。

含有其他建議和動作項目的更新指導方針。

重新評定控制措施:檢閱客戶動作中的更新指導方針,並依照實作和評定控制措施的建議步驟進行。

6.15.1

重大

先前的編號為 6.14.1.3。

含有其他建議和動作項目的更新指導方針。

重新評定控制措施:檢閱客戶動作中的更新指導方針,並依照實作和評定控制措施的建議步驟進行。

AC-2(h)(2)

微幅

已新增 [啟用稽核] 刀鋒視窗的連結。

不需要任何動作。

AC-2(7)(b)

微幅

已新增 [啟用稽核] 刀鋒視窗的連結。

不需要任何動作。

AC-2(h)(1)

微幅

已新增 [啟用稽核] 刀鋒視窗的連結。

不需要任何動作。

45 C.F.R. § 164.308(a)(5)(ii)(C)

AC-2(g)

微幅

已新增 [啟用稽核] 刀鋒視窗的連結。

不需要任何動作。

AC-2(12)

微幅

已新增 [啟用稽核] 刀鋒視窗的連結。

不需要任何動作。

45 C.F.R. § 164.312(b)

A.12.4.3

AU-2(d)

微幅

已新增 [啟用稽核] 刀鋒視窗的連結。

不需要任何動作。

AC-2(4)

微幅

已新增 [啟用稽核] 刀鋒視窗的連結。

不需要任何動作。

3.1.7

微幅

已新增 [啟用稽核] 刀鋒視窗的連結。

不需要任何動作。

A.16.1.7

C.12.4.2,第 2 部分

微幅

已新增 [啟用稽核] 刀鋒視窗的連結。

不需要任何動作。

AC-2(h)(3)

微幅

已新增 [啟用稽核] 刀鋒視窗的連結。

不需要任何動作。

A.12.4.2

微幅

已新增 [啟用稽核] 刀鋒視窗的連結。

不需要任何動作。

A.7.2.8

微幅

已新增 [內容搜尋] 刀鋒視窗和 DSR 入口網站的連結。

不需要任何動作。

45 C.F.R. § 164.308(a)(3)(ii)(C)

微幅

已新增 [啟用稽核] 刀鋒視窗的連結和 Office 365 系統管理員角色支援主題。

不需要任何動作。

5.2.1

微幅

先前的編號為 5.2.2。

已在指導方針中釐清客戶責任。

檢閱客戶動作中的更新建議。

6.11.1

45 C.F.R. § 164.312(e)(2)(ii)

A.10.1.1
A.10.1.2
A.18.1.5

C.10.1.1

SC-13

3.13.11

微幅

先前的編號為 6.10.1.2。

已修正錯字。

不需要任何動作。

7.5.1

微幅

先前的編號為 A.7.4.1。

已修正錯字。

不需要任何動作。

A.8.2.3

3.1.3

微幅

移除不需要的額外句子。

不需要任何動作。

45 C.F.R. § 164.308(a)(4)(i)

A.6.1.2

AC-5(a)

3.1.2
3.1.4

微幅

含有其他建議和動作項目的更新指導方針。

檢閱客戶動作中的更新建議。

45 C.F.R. § 164.308(a)(7)(ii)(E)

RA-2(a)

微幅

已更新匯入服務說明主題連結以使用 FWlink。

不需要任何動作。

 

GDPR 評定控制措施識別碼變更參考資料 - 2018 年 2 月變更記錄檔

上一個控制措施識別碼 (2017 年 11 月預覽)

新控制措施識別碼 (2018 年 2 月 GA 發行)

5.2.2

5.2.1

5.2.3

5.2.2

5.2.4

5.2.3

6.1.1.1

6.2

6.10.1.2

6.11.1

6.10.2.5

6.11.2

6.11.1.2

6.12

6.12.1

6.13.1

6.12.1.1

6.13.2

6.12.1.5

6.13.3

6.14.1.3

6.15.1

6.14.2.1

6.15.2

6.14.2.3

6.15.3

6.2.1.1

6.3

6.3.2.2

6.4

6.4.3.1

6.5.2

6.4.3.2

6.8.1

6.4.3.3

6.5.3

6.5.2

6.6.1

6.5.2.1

6.6.2

6.5.2.2

6.6.3

6.5.2.3

6.6.4

6.5.4.2

6.6.5

6.6.1.1

6.7

6.7.2.7

6.8.1

6.7.2.9

6.8.2

6.8.1.4

6.9.1

6.8.4.1

6.9.3

6.8.4.2

6.9.4

6.9.2.1

6.10.1

6.9.2.3

6.10.2

A.7.1.1

7.2.1

A.7.1.2

7.2.2

A.7.1.3

7.2.3

A.7.1.4

7.2.4

A.7.1.5

7.2.5

A.7.1.6

7.2.6

A.7.1.7

7.2.7

A.7.2.1

7.3.1

A.7.2.10

7.3.9

A.7.2.11

7.3.10

A.7.2.2

7.3.2

A.7.2.3

7.3.3

A.7.2.4

7.3.4

A.7.2.5

7.3.5

A.7.2.6

7.3.6

A.7.2.7

7.3.7

A.7.2.8

7.3.8

A.7.3.1

7.4.1

A.7.3.10

7.4.10

A.7.3.2

7.4.2

A.7.3.3

7.4.3

A.7.3.4

7.4.4

A.7.3.5

7.4.5

A.7.3.6

7.4.6

A.7.3.7

7.4.7

A.7.3.8

7.4.8

A.7.3.9

7.4.9

A.7.4.1

7.5.1

A.7.4.2

7.5.2

A.7.4.3

7.5.3

A.7.4.4

7.5.4

A.7.4.5

7.5.5

B.8.1.1

8.2.1

B.8.1.2

8.2.2

B.8.1.3

8.2.3

B.8.1.4

8.2.4

B.8.1.5

8.2.5

B.8.1.6

8.2.6

B.8.2.1

8.3.1

B.8.3.1

8.4.1

B.8.3.2

8.4.2

B.8.3.3

8.4.3

B.8.4.1

8.5.1

B.8.4.2

8.5.2

B.8.4.3

8.5.4

B.8.4.4

8.5.5

B.8.4.5

8.5.3

B.8.4.6

8.5.6

B.8.4.7

8.5.7

B.8.4.8

8.5.8

回到頁首

另請參閱

增進您的 Office 技巧
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×