Microsoft 365 のリスク管理の概要
Microsoft 365 のリスク管理プログラムは、エンタープライズリスク管理 (ERM) プログラムとそのリスク管理ポリシーに合わせた独立したプログラムです。 これにより、ビジネス単位とエンジニア グループのリスク管理への一貫した比較アプローチが実現します。 ERM プログラムの配置は、Microsoft 365 のリスク管理アクティビティの優先順位を決定し、それに従って、最終的には ERM リスク管理プロセスにロールアップします。
Microsoft 365 信頼は、リスク管理だけでなく、ポリシーの準拠やセキュリティ要件に関連する保証の運用を管理しています。 Microsoft 365 信頼は、既知のリスクやリスク応答を動作し監視する状態で新しいリスクを特定します。 リスク応答の成否は、リスクの可能性と影響の解析を開発し、伝達するために追跡されます。 リスク管理の一環として、Microsoft 365 Trust は、Microsoft 365 Controls Framework の一部として実装されたコントロールの設計と運用の有効性を分析します。 Microsoft 365 のサービス チームからのフィードバックと、Microsoft 365 環境からの継続的な監視データは、リスク管理プロセスに通知します。
Microsoft 365 のリスク管理活動は、識別、評価、返信、監視、報告という4つのフェーズに分類されます。 Microsoft 365 のリスク管理は、リスクの所有者からのフィードバック、重要なサービス、重要なビジネス領域、および監査結果と統制の実装の分析が含まれた継続的な反復プロセスです。 定期的なリスク所有者とのリスク レビューの打ち合わせを行い、必要に応じて、Microsoft 365 の信頼を使用して、行動計画を更新し、管理します。 リスク評価の結果は、Microsoft 365 の管理で確認、検証され、Microsoft の取締役会向けの ERM のリスク評価レポートに組み込まれています。