Microsoft 365 Compliance Score - open deur naar informatiebeveiliging

Richard Fransen
20-aug-2020 9:27:00

Het klinkt paradoxaal, een 'open deur' als het gaat om 'informatiebeveiliging'. Een deur is er toch juist om de toegang tot iets te regelen? Kwaadwillenden liggen tegenwoordig altijd en overal op de loer. Dan zet je die informatiebeveiliging deur toch niet uitnodigend open?

Helemaal mee eens! Maar in deze blog wil ik het hebben over een ander type 'open deur', “een waarheid die zo evident is, dat zij eigenlijk niet hoeft te worden verwoord. En die waarheid is:

Veel organisaties die Microsoft 365 gebruiken doen zichzelf tekort omdat zij de Compliance Score niet kennen, laat staan gebruiken.

De afgelopen jaren heb ik een aantal organisaties - van MKB tot multinational - geholpen bij het inrichten en verbeteren van hun informatiebeveiliging binnen Microsoft 365. In de komende blogs deel ik graag wat van de opgedane kennis en ervaring. Maar eens beginnen met het verminderen van die onbekendheid. 

Wat is de Compliance Score?

De Compliance Score is een functie in het Microsoft 365-compliance centrum die een organisatie helpt om de informatiebeveiliging binnen Microsoft 365 beter te begrijpen, in te richten, te monitoren en te verbeteren. Het is een op risico's gebaseerde score die uw vooruitgang meet bij het voltooien van acties die helpen de risico's rond informatiebeveiliging te verminderen. De startpagina is een dashboard.

Microsoft compliance score dashboard


Wat heb je aan de Compliance Score? 

De Compliance Score kun je zien als een multi-tool. Het biedt meerdere functies die zijn gericht op zowel ICTers, de CIO als de directie van een organisatie. Die functies zijn:

functies microsoft compliance score

  1. Dagelijks inzicht in de (ontwikkeling van de) status van de informatiebeveiliging.
    Microsoft monitort dagelijks de score in uw Microsoft 365 omgeving en presenteert die in (historisch) overzicht. Zo ziet u de status en de ontwikkeling van de informatiebeveiliging in uw Microsoft 365 omgeving, ook t.o.v. de Microsoft 365 omgevingen van vergelijkbare organisaties. Komt er een nieuwe informatiebeveiliging functie beschikbaar binnen Microsoft 365? Dan ziet u dat op uw dashboard. U ziet wanneer het tijd is om in te grijpen.

  2. Raamwerk om de ambities te verwoorden en prioriteiten te bepalen.
    U kunt zelf de voor uw organisatie relevante en urgente normen selecteren. De Compliance Score ondersteunt circa 30 normen, zowel generieke normen (zoals de ISO-27001 en de AVG) als land- en branche-specifieke normen (HIPPAA en SOC). Maar u kunt ook een start maken met de door Microsoft standaard geactiveerde 'baseline', die een samenvoeging bevat van elementen uit de ISO-27001, de EU-AVG en het CSF van het US NIST. Mijn advies: begin niet met die baseline, maar start met de ISO-27001.

  3. Checklist met uit te voeren verbeter acties
    Microsoft 365 bevat een scala aan functies om de informatiebeveiliging te verbeteren. Bij de keuze voor een norm worden automatisch de functies getoond, die horen bij die norm. Die technische functies worden aangevuld met verbeteracties gericht op de procedures en documentatie. Aan alle acties hangt tevens een classificatie. Zo kunt u de acties filteren op bijvoorbeeld de module binnen Microsoft 365 (Exchange, SharePoint, OneDrive, Azure AD, Intune, etc.), op de het domein van de actie (toegangscontrole, apparaat beheer, informatie governance, en meer), en het bereik (preventie, monitoring en herstel).

    Hierdoor bent u in staat om op basis van relevantie en prioriteit een de ambities te vertalen naar een actielijst en deze acties toe te wijzen.

  4. Handleiding voor het gebruik van de vele functies binnen Microsoft 365 voor het beheer van informatiebeveiliging
    Bij iedere verbeteractie staat een status en uitleg, en vaak ook een link naar: de functie binnen Microsoft 365 die ingesteld of beoordeeld moet worden; achtergrondinformatie in Microsofts kennisportaal. Zo wordt u ondersteund bij het uitvoeren van de verbeteractie.
  5. Verantwoording over de uitgevoerde acties.
    Tijdens de uitvoering en validatie van een verbeteractie kunt u notities maken en documenten koppelen. Op ieder moment kunt u een export maken van de - als onderdeel van een norm - verbeter acties en hun status en notities. Deze kunt u als documentatie overleggen aan interne compliance stakeholders of aan controllers die een onafhankelijke evaluatie van de informatiebeveiliging uitvoeren.

Bent u geïnteresseerd geraakt in de toepassing van de Compliance Score binnen uw organisatie? In het volgende blog ga ik in op het starten met de Compliance Score. Wilt u daarop niet wachten? Of heeft u een vraag op opmerking? Neem dan contact op!

Nog geen reacties

Voel je vrij om te reageren...