Поделиться через

Программа управления рисками Microsoft 365

  • Статья

Программа управления рисками Microsoft 365 предназначена для выявления, оценки и управления рисками в Microsoft 365. Наивысшим приоритетом корпорации Майкрософт является упреждающее определение и устранение рисков, которые могут повлиять на нашу инфраструктуру служб, а также наших клиентов, их данные и их доверие. Кроме того, надежная программа управления рисками необходима для выполнения договорных обязательств и поддержания открытых аккредитаций, на которые наши клиенты полагаются для удовлетворения собственных требований к соответствию. Хотя программа управления рисками Microsoft 365 работает независимо друг от друга, она соответствует политикам, приоритетам и методологиям программы управления корпоративными рисками (ERM). Работа с программой ERM позволяет согласованно сравнивать бизнес-подразделения и группы инженеров, что способствует более согласованному подходу к управлению рисками на предприятии.

Команда Microsoft 365 Trust отвечает за управление программой управления рисками Microsoft 365 и выполнение действий, определенных программой ERM. Группа управления безопасностью ориентирована на интеграцию платформы управления рисками с существующим процессом проектирования, обслуживания и соответствия требованиям Microsoft 365, чтобы сделать программу управления рисками более эффективной и эффективной.

Группа управления безопасностью также поддерживает Платформу элементов управления Microsoft 365— набор рационализированных элементов управления, которые при правильной реализации с помощью поддержки действий по обеспечению соответствия требованиям позволяют командам инженеров соответствовать ключевым нормативным требованиям и сертификациям. Эта платформа постоянно обновляется на основе отзывов и результатов в рамках процесса управления рисками.

Действия по управлению рисками делятся на четыре этапа: идентификация, оценка, реагирование, мониторинг и отчетность.

Действия процесса управления рисками.

Идентификации

Процесс управления рисками начинается с определения всех возможных рисков для всех ключевых областей управления, внутренних и внешних угроз и уязвимостей в среде Microsoft 365. Информация, направляющая этот процесс, поступает из нескольких источников, включая собеседования, проверки уязвимостей, упражнения по моделированию атак, результаты аудита и действия по управлению инцидентами.

Группа управления безопасностью опрашивает профильных экспертов (SMES) из нескольких команд обслуживания по ранее выявленным рискам и потенциальным рискам в будущем, которые могут появиться по мере роста служб. Кроме того, smes помогают проверить точность и полноту рисков, выявленных из других источников непрерывного мониторинга.

Этап идентификации также происходит при проверке журналов принятия решений, активных исключений безопасности и соответствия требованиям и устранения рисков из предыдущих оценок рисков.

Оценка

Каждый выявленный риск оценивается с помощью трех метрик: влияния, вероятности и недостатков управления.

  • Это относится к ущербу, который будет причиняться службе, бизнесу или корпорации Майкрософт, если этот риск будет реализован. Это может влиять на репутацию, потерю клиентов или юридические последствия или последствия для соответствия требованиям.
  • Вероятность определяет вероятность возможного риска и вычисляется путем анализа вероятности и частоты ее возникновения.
  • Недостатки элементов управления измеряет эффективность реализованных средств управления устранением рисков.

Эти метрики используются для вычисления оценки риска, которая представляет серьезность каждого риска, учитывая существующие стратегии устранения рисков. Риски агрегируются и представляются ключевым заинтересованным лицам из каждой службы для проверки точности и полноты состояния риска Microsoft 365.

Отклик

Используя проверенный список рисков для Microsoft 365, группа доверия назначает риски затронутой службе для реагирования на риски. Определенные рекомендации помогают определить соответствующую стратегию реагирования на риски на основе оценки риска и эффективности управления. Стратегии реагирования на риски разделены на четыре указанные ниже категории.

  • Допускать: области с малыми рисками и низким уровнем контроля.
  • Управлять: области с малыми рисками, для которых средства контроля считаются адекватными.
  • Отслеживать: области с большими рисками, для которых средства контроля считаются адекватными и в которых следует отслеживать эффективность.
  • Улучшение. Области с высоким риском с низким уровнем контроля, которые являются наивысшими приоритетами в адресной области.

Группа управления безопасностью координирует работу со службами для разработки планов по устранению каждого риска. Уровень серьезности определяет соответствующий уровень проверки и утверждения для каждого плана. Для рисков, которые требуют действий, существующие процессы проектирования ошибок используются для отслеживания, управления и принятия решений об исключениях. Использование процесса, знакомого специалистам по проектированию и эксплуатации, делает реагирование на риски более эффективным и эффективным.

Наблюдение и отчеты

Мы отслеживаем риски, выявленные в рамках процесса оценки рисков, и сообщаем о них соответствующим заинтересованным лицам. Стратегии мониторинга включают мониторинг безопасности, периодические проверки рисков, тестирование на проникновение и сканирование уязвимостей. Эти усилия по мониторингу выступают в качестве источников данных для создания отчетов по ключевым индикаторам производительности, создания панелей мониторинга и разработки формальных отчетов, которые информируют о будущих решениях о рисках.

Несколько раз в год группа "Доверие" встречается с владельцами рисков из каждой службы для просмотра оценок рисков, оценки эффективности своих планов действий и внесения обновлений при необходимости. Кроме того, действия по оценке рисков в Microsoft 365 влияют на оценку корпоративных рисков в программе ERM, которая предоставляет общий обзор состояния риска Корпорации Майкрософт для высшего руководства Майкрософт и программы ERM.