Basierend auf der GDPR / DSGVO Demopalooza hier das Demo zum Compliance Manager.
*UPDATE* Der Compliance Manager ist mittlerweile General Available (GA) – nachzulesen hier.
*UPDATE2* Screenshots des CMs nach GA upgedated und Absatz zum Scoring hinzugefügt
Wie immer aufgeteilt in zwei Bereiche: Das „Why“ und das „How“
Why
Anforderungen an Compliance sind in der Regel komplex, herausfordernd zu überwachen und zeitintensiv zu implementieren. Und mit neuen Regulatorien und Anforderungen die permanent auf die zuständigen Stellen zu kommen ist es mehr als herausfordernd (zeitlich wie monetär) mit den Neuerungen Schritt zu halten. Dies gilt natürlich auch oder grade für das Thema GDPR / DSGVO
Der Compliance Manager unterstützt sie dabei die Compliance Übersicht an einer Stelle zu halten und zu managen. Dazu werden neben real-time Risikoassesments über die Microsoft Cloud Services auch sinnhafte Insights und optimierte Compliance Prozesse dargestellt.
@Interessierte Kunden: wir unterstützen gerne dabei Partner zu finden, die dieses Thema ganzheitlich unterstützen. Bitte sprechen sie hierzu ihren dedizierten Microsoft Ansprechpartner an
@Interessierte Partner: wir unterstützen gerne dabei in dem Thema die notwendige Readiness aufzubauen, so dass ihr das Thema bei und mit Kunden umsetzen könnt. Bitte sprecht dazu euren PDM/PTS oder Andreas oder mich direkt an.
How
- Öffnen des Compliance Managers (CM)
- Wer möchte kann sich die CM Tour anschauen oder hier der Demo folgen
- Zuerst legen wir ein neues Assessment über „+ Add Assessment“ an und
- Nun können wir eine „Gruppe“ auswählen, damit ist gemeint, dass man die Assessments z.B. zu Unternehmenseinheiten oder Lokationen gruppieren kann, es hat sich gezeigt, dass etwa „Europe“, „US“, „APAC“ oder „Contoso Corp“, „Contoso Financing“, „Contoso R&D“ gute Ansätze darstellen
Ggf. können hier auch „default“ Einträge aus anderen Assessments übernommen werden um doppelte Arbeit zu vermeiden
- Nach der Gruppe wählen wir als Produkt „Office 365“ aus
- Im folgenden Dialog (natürlich) GDPR auswählen und dem Kind einen Namen geben, z.B. „GDPR“ 😉
- Durch Click auf den Namen „GDPR“ oder wie im Bild „My DSGVO“ öffnen wir nun das Assessment
- Nun sehen wir neben den statistischen Daten zu unserem Assessment insb. 3 wichtige Bereiche:
- Office 365 in-Scope Cloud Services
- Microsoft Managed Controls
- Customer Managed Controls
Der nächste Click erfolgt auf „Office 365 in-Scope Cloud Services“. In dem aufgeklappten Bereich sehen wir alle Office 365 Services, die automatisch mit in das Assessment aufgenommen worden sind.
- Danach öffnen wir den Bereich „Microsoft Managed Controls“ und anschließend direkt „Conditions for collection and processing“
- Hier sehen wir aus welchem Grund (=>Description) wir den Punkt „Legally binding personal data disclosures“ aufgenommen haben, dass der Punkt bereits den Status „Implementiert“ hat und, dass der Test dieses Controls erfolgreich statt gefunden hat. Click auf „More ⇓“
- Im „More“ Bereich wird detaillierter auf die Implementierung eingegangen. [Optional]Click auf ein weiteres Control, z.B.: „Autority and Purpose“ – wir sehen, dass alle „Microsoft Managed Controls“ bereits implementiert sind und ihren jeweiligen Test erfolgreich bestanden haben, zum (großen) Teil durch externe Reviewer, u.a. bedingt durch erfolgte Zertifizierungen wie ISO 27001, 27017 und/oder 27018
- Nun schließen wir die „Microsoft Managed Controls“ und öffnen „Customer Managed Controls“ und gleich auch „More ⇓“
- Hier sehen wir eine leicht veränderte Ansicht, denn jetzt geht es darum sich nicht auf Microsoft zu verlassen, sondern seine eigenen Aktionen – basierend auf der durch Microsoft bereitgestellten und GDPR compliant Platform – zu beschreiben und den verantwortlichen Mitarbeiter zu definieren. Dazu click unterhalb von „Assessment Users“ auf „Assign“ und suchen einen adäquaten User, vergeben eine passende Priorität und schreiben noch passende Notizen in das dafür vorgesehene Feld und beenden die Aktion mittels des Clicks auf „Assign“.
- Wer mag kann jetzt noch spannende Details über die Implementation einfügen, mir genügt i.d.R. ein Lorem Ipsum auf die Tastatur, wichtig ist in diesem Schritt, dass überhaupt eigene Zeichen in dem Details Feld stehen.
- Nun den Status aufklappen und beschließen, dass „Planned“ aktuell passend ist.
- Als Testdatum gerne ein Datum in der nahen Zukunft auswählen und „Test result“ auf „not assessed“ stellen
- Für ein vollständiges Assessment ist natürlich unumgänglich alle Controls auszufüllen, dies sparen wir uns an dieser Stelle, denn die Verwendung und der Sinn und Zweck sollten jetzt hoffentlich klar geworden sein.
Als nächstes scrollen wir nach oben [ich persönlich fände einen Button am Ende auch gar nicht verkehrt, habe ich der zuständigen PM bereits mitgeteilt/vorgeschlagen, gerne dafür voten] und clicken auf den Button „Export to Excel“ - Im bereitgestellten Excel (Beispiel) finden sich alle im CM eingetragenen Daten, incl. der „Microsoft Managed Controls“
Die Möglichkeiten des Compliance Managers werden mit der Zeit sukzessive ausgebaut und auf weitere Microsoft Dienste/Platformen wie Microsoft Azure und Microsoft Dynamics 365 ausgeweitet.
Hinweise noch zu dem seit GA verfügbaren Score/Scoring der einzelnen Controls:
Grade wenn sich die Frage stellt: „Wo fange ich an?“ bzw. „Worauf lege ich besonderen Wert?“ kann man sich anhand des von Microsoft vorgegebenen Scorings leiten lassen und eine Prioritäten Liste erstellen. Dies war eins der meist nachgefragten Features aus der Beta Phase und dient dazu den Weg zu einer möglichen GDPR Readiness einfacher, bzw. gradliniger zu gestalten. Hier fließt die Erfahrung von Microsoft hinein, so dass dies gerne als Ausgangspunkt verwendet werden kann, sofern sich die betroffenen Verantwortlichen das Scoring zu Eigen machen.
Blogs
Microsoft 365 – Compliance Manager preview
Support page
Use Compliance Manager in the Service Trust Portal – preview
Video
Compliance Manager preview product demo
Diese Demoanleitungen bieten einen Überblick zur Nutzung der jeweiligen Lösungen und Produkte im Kontext von DSGVO und stellt keine rechtlich bindende Aussage dar!
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.