Første indtryk af Microsoft Compliance Manager

Microsoft Compliance Manager - er det nok til generel GDPR dokumentation?

Microsoft har netop lanceret deres GDPR compliance værktøj. Det har dog været muligt at arbejde med en preview-version i et stykke tid.

Rigtig mange vil naturligvis se på Microsofts bud, da mange virksomheder generelt har en Microsoft strategi eller i det mindste gerne vil se på hvad mastodonten nu har begået.

Først og fremmest er det slet ikke dårligt det resultat, som Microsoft er kommet frem til. Det er et fint tunet 'regneark' til compliance-måling op mod flere standarder herunder GDPR - som er den eneste jeg vil forholde mig til her.

Det er forholdsvist enkelt at arbejde med. Gap der viser hvad du skal foretage dig fra nuværende status til compliance-status er også nem og glimrende.

Til dem der gerne vil have de dybe juridiske forklaringer glimrer Microsofts hær af advokater med at udfolde sig i rigelig grad.

Du skal holde dig for øje, at det kun er Microsofts egne produkter som Office 365, Azure og Dynamics der er omhandlet. Det er derfor ikke en erstatning for et egentlig generelt compliance værktøj. Men det er et godt supplement i forhold til de omhandlede produkter.

Sådan er Microsofts Compliance Manager organiseret

Helt overordnet så er løsningen et avanceret regneark organiseret i følgende compliance-frameworks: 

  • Office 365 – GDPR
  • Office 365 – NIST 800-53
  • Office 365 – ISO 27001:2013
  • Azure – ISO 27018: 2014
  • Azure – ISO 27001: 2013
  • Dynamics – GDPR
  • Dynamics – NIST 800-53

Office 365 –  GDPR

Dykker vi ned i O365-GDPR-frameworket, så består det af en række Kontroller og Actions (Analogt med praktisk talt alt andet vi har set af værktøjer).

Dels de ”Microsoft Managed Actions” som Microsoft selv har bragt i orden og dels de ”Customer Managed Actions", som man selv skal bringe i orden.

I eksemplet nedenfor har vi bragt 1/61 actions  i orden, mens Microsoft er klassens duks og sjovt nok har styr på det hele.

MS Compliance Scorepng

Sådan tilgår du actions

Nedenfor er de forskellige nødvendige ”Customer Managed Controls” grupperet i forskellige kategorier i forhold til GDPR:

Det er således bare at gå i gang med opgaven:

MS Actionspng

Sådan arbejder man med Actions

I eksemplet nedenfor har jeg åbnet Security området og man kan på den enkelte opgave assigne ansvarlig, angive implementeringsstatus, dato og test dato, samt angive slut-status. Hvis man angiver ”passed” er alt godt.

Konklusion

Microsoft har begået et glimrende regneark til compliance dokumentation af nogle af deres egne services. Ingen tvivl om at Microsoft Compliance Manager er kommet for at blive og vil blive løbende udviklet til at dække flere nuværende og også kommende services og produkter.

Det er ikke en komplet løsning til dokumentation af compliance, men et godt supplement hvor resultaterne kan overføres til et ægte compliance dokumentationsværktøj som f.eks. Improventos Compliance Manager.

Hvordan kommer du videre?

Der er selvfølgelig mere i Microsoft Compliance Manager, end det jeg har været omkring ovenfor. Har det givet lyst til at vide mere om Microsoft Compliance Manager og om hvordan du anvender værktøjet til compliance dokumentation af dine Microsoft services, er du meget velkommen til at kontakte mig.

Tak til Niels Vestergaard fra Improvento A/S med input til indlægget.