KVKK ve GDPR terimlerinin hayatımıza girmesi ile veri güvenliği, gizliliği ve uyumluluğu en hassas konulardan biri haline gelmiştir. Microsoft bulut hizmetlerinde veri gizliliği, güvenliği ve uyumluluğu konusunda şeffaflık sağlamanın yanı sıra yönetim araçlar ve raporlar sunar.
Microsoft 365 Compliance Manager, firmaların Microsoft bulut hizmetleri ile ilgili yasal düzenleme, uyumluluk etkinliklerini izlemesine, atamasına ve doğrulamasına olanak sağlayan iş akışı tabanlı risk değerlendirme aracıdır. Çeşitli standartlara (Örneğin ISO 27001, ISO 27018 ve NIST) yönelik çeşitli üçüncü taraflar denetimlerinin bir parçası olarak denetleyici ve düzenleyiciler için ayrıntılı bilgiler yer alır. Microsoft’un buradaki standartlara göre uyumluluk için derlediği bilgileri birleştirir. Compliance Manager’da Office 365 değerlendirmelerine dair her denetim hem Microsoft hem de müşteri tarafından yönetilen uyumsuzluk ya da denetim hatası nedeniyle ilişkili risk düzeyini değerlendirilmesine yardımcı olan risk tabanlı Uyumluluk Puanı yer alır. Uyumluluk puanı ile firmalar ilerlemenizi izlerken, riske maruz kalmasını azaltmaya yardımcı olacak denetimlere öncelik vermesini sağlar. BT ekipleri Compliance Manager ile uyumluluk faaliyetlerinin yönetimini sağlar. Denetçiler, düzenleyiciler ve diğer uyumluluk ile ilgili çalışmanın parçası olan kişiler Microsoft ve firmalar tarafından gerçekleştirilen uyumluluk etkinliklerini belgeleyen zengin ve ayrıntılı raporlara sahip olur. Yapılacak işlemler, ilgili sorumlu, yapılan işlemler ve bunların puanlar ile sonuçlarının gözlemlenmesi ve raporlanması gibi kullanıcılara uyumluluk sürecinde uçtan uca çözüm sunar.
Compliance Manager arayüzüne giriş yapabilmek ilgili linkten giriş yapılır. Yetkili kullanıcı ile giriş yapılır ve Compliance Manager arayüzüne erişim sağlanır. Burada “Assessments” ve “Action Items” başlıkları yer alır. Assessment bölümünde Microsoft hizmetleri bir sertifika standardı ya da veri koruma düzenlemelerine (ISO 27001, GDPR vs.) göre değerlendirilir. Böylelikle firmalar seçtikleri Microsoft bulut hizmetleri için veri koruma ve uyumluluk puanını seçilen endüstri standartlarına göre durumunu analiz eder. Her Assessment içerisinde Microsoft tarafından yönetilen aksiyonlar ve firmalar tarafından yönetilen aksiyonlar yer alır. Buradaki yapılması gereken aksiyonlar tamamlanınca ilgili standarta ait kontroller tamamlanmış olur.
Veri uyumluluğu noktasında çalışma yapılacak Microsoft teknolojisi ve belirlenen standart ile ilgili assessment’a tıklanarak, assessment’a ait bileşenler görüntülenir. Bunun için ilgili assessment tıklanır.
Şekilde de görüldüğü üzere Assessment ile ilgili detaylar görüntülenir ve yapılacak değerlendirmeler ve tamamlanan değerlendirmelere dair yüzde değeri görüntülenir. Şu anki durum bilgisi ve tüm işlemlerin tamamlanması durumunda alınacak puan ve şu anki puan durumu bu arayüzde görüntülenir. Uyumluluk için scope içerisinde yer alan teknolojiler, Microsoft tarafından yönetilen kontroller ve firmaların yönetmesi gereken kontroller olmak üzere 3 ana başlıkta değerlendirmeler yer alır. Her ana başlığın altında alt başlıklar yer almaktadır. Her alt başlık ile toplam değerlendirme maddeleri ve o maddelere ait ayarlar yer alır.
Şekilde de görüntülendiği üzere firma tarafından yönetilmesi gereken bir değerlendirmeye tıklanıldığında ilgili kontrole dair bazı birleşenler yer alır. Control ID ilgili sertifika ya da regulasyondan gelen bölüm ya da makale numarasını gösterir. Title ilgili sertifikasyon ya da regulasyon ile ilgili belgelendirme ya da düzenlemenin başlığı, Article ID ise GDPR ile ilgili değerlendirmelerde yer alan GDPR makale numarasıdır. Description bölümü ise yapılacak kontrol ile ilgili açıklamaların yer aldığı bölümdür. Her kontrolün Compliance Score’u vardır. İlgili kontrol kimin tarafından yapılacaksa “Assigned User” başlığında ilgili kullanıcıya atanır. Bu işlemin ya da kontrolün yapılması için implemantation date bölümünde yapılacak implementasyon tarihi ve test date başlığı altında ise yapılan işlemin testinin ne zaman yapılacağı ve test sonucuna dair bilgiler görüntülenir.
İlgili kontrolün ilgili sorumluya atanma işlemi için “Assign” butonuna tıklanır. Assing’a tıklanması ile “Assign To” bölümünde ilgili kullanıcı seçilir ve öncelik değerini gösteren “Low”, “Medium” ve “High” seçeneklerinden biri seçilir. İlgili kişiye mail bildirimi iletilmesi için send email notification seçeneğine tıklanır. İstenirse not eklenebilir ve ilgili işlem sorumlu kişiye “Assign” butonuna tıklanarak atanır. “Manage Documents” seçeneğine tıklanarak kullanıcıların ilgili işlemlerle ya da kontrollerle ilgili doküman yükleyebilirler.
“Assign” işleminin başarılı olarak tamamlanmasının ardından atama yapılan kullanıcıya şekildeki gibi bir mail iletilir. Böylelikle kullanıcı ilgili kontrol ve aksiyon alacağı işlem ile ilgili detaylara erişebileceği butona tıklar ve işlem ile ilgili girdilerini yapar. Aynı zamanda ilgili mailde kim tarafından kime ilgili işlemin aktarıldığına dair detaylar yer alır.
Kontrolü yapılacak olan işlem ile ilgili sorumlu kişiye atama işleminin tamamlanmasının ardından implimentasyon işlemi ile ilgili durum ve zaman bilgisi girilir. Böylelikle merkezi portaldan kimlerin neler yaptığına hangi aşamada olduklarına dair tüm işlemler merkezi portaldan takip edilir.
İmplementasyon işlemlerinin ve süreçlerinin tamamlanmasının ardından test zamanı ve test durum bilgileri girilmelidir. Böylelikle yapılan işlemlerle ilgili sonuç durumu gözlemlenir. Başarılı ya da başarısız olduğu gözlemlenir.
“Action Items” bölümünde ise ilgili kontrol ya da alınacak aksiyonun atandığı kullanıcının üzerindeki alınacak aksiyonlar listelenir. Böylelikle her kullanıcı kendi üzerine atanan işlemleri görüntüler. Alınacak aksiyon ile ilgili implimentasyon ya da test notları yazabilir. Kendi işlemi ile ilgili güncelleştirmeler yapabilir.
Compliance Manager arayüzünde roller ve bu roller ile ilgili yetki farklılıkları vardır. Bu yetkiler ile ilgili farklılıklar aşağıdaki tabloda listelenmiştir.
| Compliance Manager Reader | Compliance Manager Contributor | Compliance Manager Assessor | Compliance Manager Administrator | Portal Admin | |
| Read data – Users can read but not edit data. |
|
|
|
|
|
| Edit data – Users can edit all fields, except the Test Result and Test Date fields. |
|
|
|
|
|
| Edit test results – Users can edit the Test Result and Test Date fields. |
|
|
|
||
| Manage assessments – Users can create, archive, and delete Assessments. |
|
|
|||
| Manage users – Users can add other users in their organization to the Reader, Contributor, Assessor, and Administrator roles. Only those users with the Global Administrator role in your organization can add or remove users from the Portal Admin role. |
|
İlgili rolleri atama işlemi için Compliance Manager arayüzünde Admin bölümüne gelinir ve buradaki “Settings” bölümünde tıklanır. “Settings” bölümünde ilgili rol ilgili kullanıcıya atanır.
İlgili Assessment’a dair tüm detaylar ve bilgiler excel raporu olarak dışa aktarılabilir. Bunun için “Export to Excel” seçilir ve ilgili assessment ile ilgili Microsoft ve Customer aksiyonları Excel raporu olarak kullanıcılara sunulur.
https://docs.microsoft.com/tr-tr/office365/securitycompliance/meet-data-protection-and-regulatory-reqs-using-microsoft-cloud
