合規性管理員評分

了解您的合規分數

合規性管理員儀錶板會顯示您的整體合規性分數。 此分數會衡量您在控制項內完成建議改善動作的進度。 您的分數可以幫助您了解當前的合規狀況。 它還可以幫助您根據降低風險的潛力確定行動的優先順序。

分數值會在下列層級指派：

1. 改進行動：每個行動都會根據所涉及的潛在風險對您的分數產生不同的影響。 如需詳細資訊，請參閱下方的 動作類型和評分 。

2. 評估：此分數是使用改進行動分數計算的。 組織所管理的每個 Microsoft 動作和每個改善動作都會計算一次，而不論控制項中參考的頻率為何。

整體合規性分數是使用改善動作分數來計算，其中每個 Microsoft 動作都會計算一次，您管理的每個技術動作都會計算一次，而您管理的每個非技術動作都會針對每個群組計算一次。 此邏輯旨在提供最準確的帳戶，瞭解如何在組織中實作和測試動作。 您可能會注意到，這可能會導致您的整體合規分數與評估分數的平均值不同。 閱讀下文有關 如何對動作進行評分的更多資訊。

初始分數以 Microsoft 365 資料保護基準為基礎

合規性管理員會根據 Microsoft 365 數據保護基準為您提供初始分數。 此基準是一組控制項，包括資料保護和一般資料控管的關鍵法規和標準。 此基準主要取材自 NIST CSF (美國國家標準與技術研究院網路安全框架) 和 ISO (國際標準化組織) ，以及 FedRAMP (聯邦風險和授權管理計劃) 和 GDPR (歐盟通用資料保護規範) 。

您的初始分數是根據提供給所有組織的預設資料保護基準評量來計算。 在您第一次造訪時，合規性管理員已經從您的 Microsoft 365 解決方案收集訊號。 您可以一目了然地看到您的組織相對於關鍵資料保護標準和法規的效能，並查看要採取的建議改進動作。

由於每個組織都有特定需求，因此合規性管理員會依賴您來設定和管理評定，以協助盡可能全面地將風險降到最低和降低風險。

動作類型和評分

改善動作具有當您完成實作需求時所獲得的分數。 您的動作狀態會在進行變更後 24 小時內在儀表板上更新。 遵循建議實作控制項後，您通常會在第二天看到控制項狀態更新。

每次評估的每個動作都會獲得積分。 例如，如果動作值 10 分，但出現在兩個評量中，則該動作對租用戶來說總體值 20 分。 例外狀況是範圍限定為租用戶的 技術動作 ;每個動作會授予這些動作一次分數，無論該動作屬於多少個群組。

適用於雲端的 Microsoft Defender 支援之服務的動作

改善動作的整體分數是根據其訂閱收到的分數平均值。 每個訂用帳戶都會根據相關虛擬資源的狀態進行評分。

例如，假設有兩個訂用帳戶 A 和 B 的動作。訂用帳戶 A 已完成 1 個資源中的 0 個，而訂用帳戶 B 已完成 2 個資源中的 1 個。 訂閱分數為：A 為 0%，B 為 50%。 將兩個訂閱分數平均得出 25% 的整體動作分數。

如何決定分數值

動作會根據動作是強制性還是自由裁量性，以及是預防性、偵探性或糾正性，來指派分數值。

強制性和酌情行動

• 強制性動作無法繞過，無論是有意還是無意。 強制動作的範例是集中管理的密碼原則，可設定密碼長度、複雜度及到期時間的需求。 使用者必須遵循這些需求來存取系統。

• 酌情操作 依賴使用者理解並遵守政策。 例如，要求使用者在無人值守時鎖定其電腦的原則是酌情動作，因為它依賴使用者。

預防、偵查和糾正措施

• 預防型動作可處理特定風險。 舉例來說，使用加密來保護資訊就是針對攻擊和資料外洩等風險的預防型動作。 職責分工是管理利益衝突及防堵詐騙的預防型動作。

• 偵探行動 主動監控系統，以識別代表風險的異常狀況或行為，或可用於偵測入侵或違規行為。 範例包括系統存取稽核和特權管理動作。 法規遵循稽核是一種用於尋找流程問題的偵探行動。

• 糾正措施 試圖將安全事件的不利影響降至最低，採取糾正措施以減少即時影響，並在可能的情況下扭轉損害。 隱私權事件回應是一種矯正型動作，會在遭到侵害後限制損傷並將系統還原至可以運作的狀態。

每個動作都會根據其所代表的風險，在合規性管理員中指派一個值：