Jogszabályi és megfelelőségi követelményeknek való megfelelés
A Teljes felügyelet bevezetési útmutató részeként ez a cikk a szervezetre alkalmazható szabályozási és megfelelőségi követelmények teljesítésének üzleti forgatókönyvét ismerteti.
A szervezet informatikai környezetének összetettségétől vagy a szervezet méretétől függetlenül folyamatosan bővülnek az új szabályozási követelmények, amelyek érinthetik a vállalatot. Ezek a rendeletek magukban foglalják az Európai Unió általános adatvédelmi rendeletét (GDPR), a kaliforniai fogyasztói adatvédelmi törvényt (CCPA), az egészségügyi és pénzügyi információkra vonatkozó szabályozások számtalan részét, valamint az adatok tárolására vonatkozó követelményeket.
A szabályozási és megfelelőségi követelmények teljesítésének folyamata hosszú, összetett és fárasztó lehet, ha nem megfelelően kezelik. Ez a kihívás jelentősen megnövelte a biztonsági, megfelelőségi és szabályozási csapatok munkaterhelését a megfelelőség elérése és bizonyítása, az auditra való felkészülés és a folyamatban lévő ajánlott eljárások megvalósítása érdekében.
A Teljes felügyelet megközelítés gyakran meghaladja a megfelelőségi előírások által előírt követelmények bizonyos típusait, például a személyes adatokhoz való hozzáférést szabályozókat. Azok a szervezetek, amelyek Teljes felügyelet megközelítést alkalmaztak, azt tapasztalhatják, hogy már megfelelnek néhány új feltételnek, vagy könnyen építhetnek a Teljes felügyelet architektúrájukra, hogy megfelelőek legyenek.
| A szabályozási és megfelelőségi követelmények teljesítésének hagyományos megközelítései | A szabályozási és megfelelőségi követelményeknek való megfelelés modern megközelítése Teljes felügyelet |
|---|---|
| Számos szervezet különböző örökölt megoldásokat használ összefűzve. Ezek a megoldások gyakran nem működnek zökkenőmentesen, ami az infrastruktúra hiányosságait és a működési költségek növelését teszi lehetővé. Egyes független "legjobb fajtamegoldások" akár bizonyos előírásoknak való megfelelést is megakadályozhatják, miközben egy másiknak való megfeleléshez használják őket. Az egyik széles körben elterjedt példa a titkosítás használata annak biztosítására, hogy az arra jogosult személyek biztonságosan kezeljék az adatokat. A legtöbb titkosítási megoldás azonban átlátszatlanná teszi az adatokat olyan szolgáltatások számára, mint az adatveszteség-megelőzés (DLP), az adatfeltárás vagy az archiválás. A titkosítás megakadályozza, hogy a szervezet kellő gondossággal végezze el a titkosított adatokat használó felhasználók által végrehajtott műveleteket. Ez az eredmény arra kényszeríti a szervezeteket, hogy kemény és kockázatos döntéseket hozzanak, például tiltsák be a fájlszintű titkosítás használatát bizalmas adatok átviteléhez, vagy hogy a titkosított adatok ne legyenek meghatározva a szervezeten kívül. |
A biztonsági stratégia és a szabályzat egységesítése Teljes felügyelet megközelítéssel lebontja az informatikai csapatok és rendszerek közötti silókat, így jobb láthatóságot és védelmet biztosít az informatikai veremen. A natívan integrált megfelelőségi megoldások, például a Microsoft Purview-ban, nem csak a megfelelőségi követelmények és a Teljes felügyelet megközelítések támogatása érdekében működnek együtt, hanem teljes átláthatósággal teszik lehetővé, hogy minden megoldás kihasználja mások előnyeit, például a bizalmassági címkéket használó kommunikációs megfelelőséget a tartalomban. Az integrált megfelelőségi megoldások minimális kompromisszumokkal biztosítják a szükséges lefedettséget, például az elektronikus adatfeltárás vagy a DLP-megoldások által transzparensen feldolgozott titkosított tartalmakat. A valós idejű láthatóság lehetővé teszi az eszközök automatikus felderítését, beleértve a kritikus fontosságú eszközöket és számítási feladatokat, míg a megfelelőségi megbízások besorolással és bizalmassági címkézéssel alkalmazhatók ezekre az eszközökre. A Teljes felügyelet architektúra implementálása segít megfelelni a szabályozási és megfelelőségi követelményeknek egy átfogó stratégiával. A Microsoft Purview-megoldások Teljes felügyelet architektúrában való használata segít a szervezet teljes adatvagyonának felderítésében, szabályozásában, védelmében és kezelésében a szervezetre vonatkozó előírásoknak megfelelően. Teljes felügyelet stratégiák gyakran olyan ellenőrzések végrehajtásával járnak, amelyek megfelelnek vagy túllépnek bizonyos szabályozási követelményeken, ami csökkenti a rendszerszintű módosítások végrehajtásának terheit az új szabályozási követelmények betartása érdekében. |
A cikk útmutatása bemutatja, hogyan kezdheti el a Teljes felügyelet a szabályozási és megfelelőségi követelmények teljesítésének keretrendszereként, hangsúlyt fektetve arra, hogy miként kommunikálhat és dolgozhat az üzleti vezetőkkel és csapatokkal a szervezeten belül.
Ez a cikk ugyanazokat az életciklus-fázisokat használja, mint az Azure felhőadaptálási keretrendszer – stratégia, terv, kész, bevezetés és szabályozás és kezelés definiálása – de Teljes felügyelet megfelelően.
Az alábbi táblázat az ábrának egy akadálymentes változata.
| A stratégia definiálása | Felkészülés | Kész | Bevezetés | Szabályozás és kezelés |
|---|---|---|---|---|
| Szervezeti igazítás Stratégiai célok Eredmények |
Érdekelt felek csapata Műszaki tervek Készségek készültsége |
Értékelje Teszt Próbaverzió |
Növekményes implementálás a digitális tulajdonban | Nyomon követés és mérés Monitorozás és észlelés Iterátum az érettséghez |
Stratégiai fázis definiálása
A stratégiai fázis definiálása kritikus fontosságú a forgatókönyv "Miért?" kezeléséhez szükséges erőfeszítések meghatározásához és formalizálásához. Ebben a fázisban szabályozási, üzleti, informatikai, üzemeltetési és stratégiai szempontokon keresztül értelmezi a forgatókönyvet.
Ezután meghatározhatja azokat az eredményeket, amelyek alapján mérheti a sikert ebben a forgatókönyvben, és megértheti, hogy a megfelelőség növekményes és iteratív folyamat.
Ez a cikk olyan motivációkat és eredményeket javasol, amelyek számos szervezet számára relevánsak. Ezekkel a javaslatokkal egyedi igényeinek megfelelően finomíthatja a szervezet stratégiáját.
Az üzleti vezetők motivációinak megértése
Bár Teljes felügyelet segíthet leegyszerűsíteni a szabályozási követelmények teljesítésének folyamatát, a legnagyobb kihívást talán a vezetők támogatásának és hozzájárulásának megszerzése jelenti a szervezetben. Ez a bevezetési útmutató segítséget nyújt a velük való kommunikációban, így szervezeti igazodást érhet el, meghatározhatja stratégiai céljait, és azonosíthatja az eredményeket.
Az igazítás elsajátítása azzal kezdődik, hogy megértjük, mi motiválja a vezetőket, és miért kell törődniük a szabályozási követelmények teljesítésével. Az alábbi táblázat példákat tartalmaz, de fontos, hogy találkozzon ezekkel a vezetőkkel és csapatokkal, és megismerje egymás motivációit.
| Szerepkör | Miért fontos a jogszabályi követelményeknek való megfelelés? |
|---|---|
| Vezérigazgató (vezérigazgató) | Felelős a külső naplózási szervek által ellenőrzött szervezeti stratégia védelméért. A vezérigazgató többnyire egy igazgatótanácsnak nyújt jelentést, amely a szervezetre vonatkozó jogszabályi követelményeknek való megfelelés szintjét és az éves auditálási eredményeket is értékelheti. |
| Marketingigazgató (CMO) | Felelős annak biztosításáért, hogy a bizalmas vállalati információk ne legyenek külsőleg megosztva kizárólag marketing célokra. |
| Informatikai vezető (CIO) | Általában a szervezet információs tisztviselője, és felelős az információ-szabályozókért. |
| Technológiai igazgató (CTO) | Felelős a digitális tulajdonon belüli jogszabályi megfelelőség fenntartásáért. |
| Informatikai biztonsági vezető (CISO) | Felelős az olyan iparági szabványok bevezetéséért és megfelelőségéért, amelyek közvetlenül az információbiztonsági megfelelőséghez kapcsolódó ellenőrzéseket biztosítanak. |
| Operatív igazgató (COO) | Biztosítja, hogy az információbiztonságra, az adatvédelemre és más szabályozási eljárásokra vonatkozó vállalati szabályzatok és eljárások működési szinten legyenek fenntartva. |
| Pénzügyi igazgató (pénzügyi igazgató) | Felméri a megfelelőség pénzügyi hátrányait és előnyeit, például a kiberbiztosítást és az adómegfelelőségeket. |
| Kockázatkezelési vezető (CRO) | A Vállalatirányítási kockázat és megfelelőség (GRC) keretrendszer kockázati összetevőjének tulajdonosa a szervezeten belül. Mérsékli a meg nem felelés és a megfelelőség veszélyeit. |
A szervezet különböző részeinek különböző motivációi és ösztönzői lehetnek a szabályozási és megfelelőségi követelmények munkájának elvégzésére. Az alábbi táblázat összefoglal néhányat ezekből a motivációkból. Mindenképpen kapcsolódjon az érdekelt felekkel, hogy megértse a motivációjukat.
| Terület | Motivációk |
|---|---|
| Üzleti igények | Az alkalmazandó jogszabályi és jogszabályi követelményeknek való megfelelés érdekében. |
| Informatikai igények | Olyan technológiák implementálása, amelyek automatizálják a szabályozási és megfelelőségi követelményeknek való megfelelést a szervezet által meghatározott identitások, adatok, eszközök (végpontok), alkalmazások és infrastruktúra hatókörén belül. |
| Működési igények | Olyan szabályzatokat, eljárásokat és munkautasításokat valósíthat meg, amelyek hivatkozottak és igazodnak a vonatkozó iparági szabványokhoz és a vonatkozó megfelelőségi követelményekhez. |
| Stratégiai igények | Csökkentse a nemzeti, regionális és helyi jogszabályok megsértésének kockázatát, valamint a jogsértésekből eredő esetleges pénzügyi és közjogi károkat. |
A szabályozási piramis használata a stratégia tájékoztatásához
Ebben az üzleti forgatókönyvben a legfontosabb, hogy a Teljes felügyelet keretrendszer egy nagyobb szabályozási modell részeként szolgál, amely létrehozza a szervezeten belüli különböző jogalkotási, jogszabályi, szabályozási, politikai és eljárási követelmények hierarchiáját. A megfelelőségi és szabályozási területen számos módon lehet elérni ugyanazt a követelményt vagy ellenőrzést. Fontos hangsúlyozni, hogy ez a cikk a jogszabályi megfelelőséget Teljes felügyelet megközelítéssel hajtja végre.
A szabályozási megfelelőségen belül gyakran használt stratégiai modell az itt látható szabályozási piramis.
Ez a piramis bemutatja azokat a szinteket, amelyeken a legtöbb szervezet kezeli az informatikai szabályozást. A piramis tetejétől a végéig ezek a szintek jogszabályok, szabványok, szabályzatok és eljárások, valamint munkautasítások.
A piramis teteje a legfontosabb szintet képviseli – a jogszabályokat. Ezen a szinten a szervezetek közötti különbségek kevésbé, mert a törvények sok szervezetre széles körben vonatkoznak, bár a nemzeti és az üzletspecifikus szabályozások csak egyes vállalatokra és másokra vonatkozhatnak. A piramis alapja, a munkautasítások azt a területet képviselik, ahol a legnagyobb a változás és a megvalósítás területe a szervezetek között. Ez az a szint, amely lehetővé teszi a szervezet számára, hogy a technológiát kihasználva teljesítse a magasabb szintekre vonatkozó fontosabb követelményeket.
A piramis jobb oldala példákat kínál olyan forgatókönyvekre, ahol a szervezeti megfelelőség pozitív üzleti eredményekhez és előnyökhöz vezethet. Az üzleti relevancia további ösztönzőket teremt a szervezetek számára, hogy irányítási stratégiával rendelkezzenek.
Az alábbi táblázat azt ismerteti, hogy a piramis bal oldalán található különböző szabályozási szintek hogyan biztosíthatják a stratégiai üzleti előnyöket a jobb oldalon.
| Szabályozási szint | Stratégiai üzleti relevancia és eredmények |
|---|---|
| Együttesen figyelembe vett jogszabályok és törvények | A jogi ellenőrzések során elkerülhetők a bírságok és a szankciók, és a fogyasztók bizalma és márkahűsége is kiépíthető. |
| A szabványok megbízható alapot biztosítanak ahhoz, hogy az emberek ugyanazokat az elvárásokat osztják meg egy termék vagy szolgáltatás tekintetében | A szabványok különböző iparági minőségellenőrzésekkel biztosítják a minőségbiztosítást. Egyes tanúsítványok kiberbiztosítási előnyökkel is rendelkeznek. |
| Szabályzatok és eljárások dokumentálják a szervezet napi funkcióit és műveleteit | A szabályozáshoz kapcsolódó számos manuális folyamat egyszerűsíthető és automatizálható. |
| A munkautasítások részletesen ismertetik, hogyan hajthat végre egy folyamatot a meghatározott szabályzatok és eljárások alapján | A kézikönyvek és az utasítási dokumentumok bonyolult részleteit a technológia egyszerűsítheti. Ez jelentősen csökkentheti az emberi hibákat, és időt takaríthat meg. Ilyen például a Microsoft Entra feltételes hozzáférési szabályzatainak használata az alkalmazotti előkészítési folyamat részeként. |
A szabályozási piramis modell segít a prioritások összpontosításában:
Jogszabályi és jogi követelmények
A szervezetek komoly következményeket okozhatnak, ha ezeket nem követik.
Iparágspecifikus és biztonsági szabványok
Előfordulhat, hogy a szervezeteknek iparági követelményük van ahhoz, hogy egy vagy több szabványnak megfeleljenek vagy tanúsítva legyenek. A Teljes felügyelet keretrendszer megfeleltethető a különböző biztonsági, információbiztonsági és infrastruktúra-kezelési szabványoknak.
Szabályzatok és eljárások
Szervezetspecifikus, és szabályozza a vállalaton belüli belső folyamatokat.
Munkautasítások
Részletes vezérlők, amelyek rendkívül technikai jellegűek és testre vannak szabva a szervezetek számára a szabályzatok és eljárások teljesítéséhez.
Számos olyan szabvány létezik, amely a legnagyobb értéket adja a Teljes felügyelet architektúra területeihez. A következő, Önre vonatkozó szabványokra való összpontosítás nagyobb hatást fog eredményezni:
A Center for Internet Security (CIS) benchmarkok értékes útmutatást nyújtanak az eszközfelügyeleti és végpontkezelési szabályzatokhoz. A CIS benchmarkok implementációs útmutatókat tartalmaznak a Microsoft 365-höz és a Microsoft Azure-hoz. A szervezetek minden iparágban és vertikálisan CIS-teljesítményteszteket használnak a biztonsági és megfelelőségi célok eléréséhez. különösen azok, amelyek szigorúan szabályozott környezetekben működnek.
A National Institute of Standards and Technology (NIST) biztosítja a NIST Speciális Kiadványt (NIST SP 800-63-4 ipd) digitális identitásra vonatkozó irányelveket. Ezek az iránymutatások technikai követelményeket támasztanak a digitális identitásszolgáltatásokat végrehajtó szövetségi ügynökségek számára, és nem célja, hogy ezen a célon kívül korlátozzák a szabványok fejlesztését vagy használatát. Fontos megjegyezni, hogy ezek a követelmények a Teljes felügyelet stratégia részét képező meglévő protokollok továbbfejlesztésére vonatkoznak. Mind a kormányzati, mind a közszférában működő szervezetek, különösen az Egyesült Államok NIST-hez tartoznak, a nyilvánosan jegyzett vállalatok azonban a keretrendszeren belül is használhatják az alapelveket. A NIST az NIST SP 1800-35-höz mellékelt kiadványokban is segítséget nyújt egy Teljes felügyelet architektúra implementálásához.
Az újonnan módosított ISO 27002:2022 szabvány ajánlott az általános adatszabályozáshoz és az információbiztonsághoz. Az A melléklet vezérlői azonban jó alapot biztosítanak a biztonsági ellenőrzések ellenőrzőlistájának létrehozásához, amely később megvalósítható célkitűzésekké alakítható.
Az ISO 27001:2022 átfogó iránymutatást nyújt arról is, hogyan valósítható meg a kockázatkezelés az információbiztonság kontextusában. Ez különösen hasznos lehet a legtöbb portálon és irányítópulton a felhasználók számára elérhető metrikák számával kapcsolatban.
Az ilyen szabványok rangsorolhatók, hogy a szervezet számára a szabályzatok és vezérlők alapkonfigurációja megfeleljen a gyakori követelményeknek.
A Microsoft biztosítja a Microsoft Purview Compliance Managert, amely segít megtervezni és nyomon követni a szervezetre vonatkozó értekezleti szabványok előrehaladását. A Compliance Manager segítséget nyújt a megfelelőségi folyamat során, az adatvédelmi kockázatok leltározásától a végrehajtási ellenőrzések összetettségének kezelésén át a szabályozások és tanúsítványok naprakészen tartásáig, valamint az auditorok felé történő jelentéskészítésig.
A stratégia meghatározása
A megfelelőség szempontjából a szervezetnek a belső GRC-módszertannak megfelelően kell meghatároznia a stratégiáját. Ha a szervezet nem iratkozhat fel egy adott szabványra, szabályzatra vagy keretrendszerre, akkor egy értékelési sablont kell beszereznie a Compliance Managertől. Minden aktív Microsoft 365-előfizetéshez hozzá van rendelve egy adatvédelmi alapkonfiguráció, amely megfeleltethető Teljes felügyelet üzembehelyezési irányelveknek. Ez az alapkonfiguráció nagyszerű kiindulópontot nyújt a megvalósítóknak ahhoz, hogy a megfelelőségi szempontból Teljes felügyelet gyakorlati megvalósítása hogyan nézzen ki. Ezek a dokumentált vezérlők később mérhető célkitűzésekké alakíthatók. Ezeknek a célkitűzéseknek konkrétnak, mérhetőnek, elérhetőnek, reálisnak és időkorlátnak (SMART) kell lenniük.
A Compliance Manager adatvédelmi alapkonfigurációs sablonja 36 műveletet integrál a Teljes felügyelet esetében, az alábbi vezérlőcsaládokhoz igazítva:
- Teljes felügyelet alkalmazás
- Teljes felügyelet alkalmazásfejlesztési útmutató
- Teljes felügyelet végpont
- Teljes felügyelet adatok
- Teljes felügyelet identitás
- Teljes felügyelet infrastruktúra
- Teljes felügyelet hálózat
- Teljes felügyelet láthatóság, automatizálás és vezénylés
Ezek erősen igazodnak az itt látható Teljes felügyelet referenciaarchitektúrához.
Tervezés fázisa
Számos szervezet négylépcsős megközelítést alkalmazhat ezekre a technikai tevékenységekre, az alábbi táblázatban összefoglalva.
| 1. szakasz | 2. szakasz | 3. szakasz | 4. szakasz |
|---|---|---|---|
| A szervezetre vonatkozó szabályozási követelmények azonosítása. A Compliance Manager használatával azonosíthatja az üzletmenetet érintő szabályozásokat, felmérheti a szabályozások által előírt magas szintű követelményeknek való megfelelést, és megtervezheti a feltárt hiányosságok elhárítását. Tekintse át a szervezetre vonatkozó szabályozásokkal kapcsolatos aktuális útmutatást. |
A Microsoft Purview tartalomkezelővel azonosíthatja a szabályozási követelmények hatálya alá tartozó adatokat, és felmérheti azok kockázatát és kitettségét. Egyéni osztályozókat határozhat meg, hogy ezt a képességet az üzleti igényeihez igazítsa. Mérje fel az információvédelem követelményeit, például az adatmegőrzési és rekordkezelési szabályzatokat, majd megőrzési és bizalmassági címkék használatával implementálja az alapvető információvédelmi és adatkezelési szabályzatokat. Alapvető DLP-szabályzatok implementálása a szabályozott információk áramlásának szabályozásához. Szükség esetén kommunikációs megfelelőségi szabályzatok implementálása. |
Az adatéletciklus-felügyeleti szabályzatok kiterjesztése automatizálással. A particionálási és elkülönítési vezérlőket bizalmassági címkékkel, DLP-vel vagy információkorlátokkal állíthatja be, ha a szabályozások megkövetelik. Bővítse ki az információvédelmi szabályzatokat a tárolócímkézés, az automatikus és kötelező címkézés, valamint a szigorúbb DLP-szabályzatok implementálásával. Ezután bontsa ki ezeket a szabályzatokat helyszíni adatokra, eszközökre (végpontokra) és külső felhőszolgáltatásokra a Microsoft Purview egyéb képességeinek használatával. A Megfelelőségkezelővel újraértékeli a megfelelőséget, és azonosítja és orvosolja a fennmaradó hiányosságokat. |
A Microsoft Sentinel használatával jelentéseket készíthet az egységes auditnapló alapján az adatok megfelelőségi állapotának folyamatos felméréséhez és leltározásához. Folyamatosan használja a Compliance Managert a fennmaradó hiányosságok azonosítására és elhárítására, valamint az új vagy frissített szabályozások követelményeinek való megfelelésre. |
Ha ez a szakaszos megközelítés működik a szervezet számára, a következőt használhatja:
Ez a letölthető PowerPoint-diacsomag bemutatja és nyomon követi az előrehaladást az üzleti vezetők és más érdekelt felek számára. Itt találja az üzleti forgatókönyv diája.
Ez az Excel-munkafüzet tulajdonosokat rendelhet hozzá, és nyomon követheti ezeknek a szakaszoknak, célkitűzéseknek és feladataiknak előrehaladását. Itt találja az üzleti forgatókönyv munkalapját.
Érdekelt felek csapata
Az ehhez az üzleti forgatókönyvhöz tartozó érdekelt csapat olyan vezetőket tartalmaz a szervezeten belül, akik a biztonsági helyzetbe fektettek be, és valószínűleg a következő szerepköröket is magukban foglalják:
| Programvezetők és műszaki tulajdonosok | Elszámoltathatóság |
|---|---|
| Szponzor | Stratégia, irányítás, eszkaláció, megközelítés, üzleti összehangolás és koordinációs felügyelet. |
| Projektvezető | Az előjegyzés, az erőforrások, az ütemterv és az ütemezés, a kommunikáció és más tevékenységek általános kezelése. |
| CISO | Adategységek és rendszerek védelme és szabályozása, például kockázat- és szabályzatmeghatározás, nyomon követés és jelentéskészítés. |
| IT Compliance Manager | A megfelelőségi és védelmi követelmények kezeléséhez szükséges vezérlők meghatározása. |
| Végfelhasználói biztonság és használhatóság (EUC) érdeklődő | Az alkalmazottak képviselete. |
| Vizsgálati és naplózási szerepkörök | Vizsgálat és jelentéskészítés a megfelelőségi és védelmi vezetőkkel együttműködve. |
| Information Protection Manager | Adatbesorolás és bizalmas adatok azonosítása, vezérlők és szervizelés. |
| Architektúra-érdeklődő | Technikai követelmények, architektúra, felülvizsgálatok, döntések és rangsorolás. |
| Microsoft 365-rendszergazdák | Bérlő és környezet, előkészítés, konfigurálás, tesztelés. |
A Bevezetési tartalom PowerPoint-diacsomagja az alábbi diát tartalmazza, amely egy, a saját szervezete számára testre szabható, érdekelt felekkel rendelkező nézettel rendelkezik.
Műszaki tervek és készségek felkészültsége
A Microsoft forrásokat biztosít a szabályozási és megfelelőségi követelmények teljesítéséhez. A következő szakaszok a korábban meghatározott négy szakaszban emelik ki az egyes célkitűzések erőforrásait.
1. fázis
Az 1. szakaszban azonosítja a szervezetre vonatkozó szabályokat, és elkezdi használni a Compliance Managert. A szervezetre vonatkozó szabályozásokat is áttekintheti.
| Az 1. szakasz célkitűzései | Források |
|---|---|
| Megfelelőségi követelmények azonosítása szabályozási piramis használatával. | A Compliance Manager értékelései |
| A Megfelelőségkezelővel felmérheti a megfelelőséget, és megtervezheti az azonosított hiányosságok szervizelését. | Látogasson el a Microsoft Purview megfelelőségi portál, és tekintse át a szervezet szempontjából releváns összes ügyfél által felügyelt fejlesztési műveletet. |
| Tekintse át a szervezetre vonatkozó szabályozásokkal kapcsolatos aktuális útmutatást. | Lásd az alábbi táblázatot. |
Ez a táblázat a gyakori szabályozásokat és szabványokat sorolja fel.
| Szabályozás vagy szabvány | Források |
|---|---|
| Nemzeti Szabványügyi és Technológiai Intézet (NIST) | A Microsoft Entra ID konfigurálása az NIST hitelesítői garanciális szintjeinek való megfeleléshez |
| Federal Risk and Authorization Management Program (FedRAMP) | A Microsoft Entra ID konfigurálása a FedRAMP magas hatásszintnek való megfeleléséhez |
| Kiberbiztonsági érettségi modell minősítése (CMMC) | Microsoft Entra-azonosító konfigurálása CMMC-megfelelőséghez |
| A nemzet kiberbiztonságának javításáról szóló végrehajtási rendelet (EO 14028) | A 22–09-s memorandum identitáskövetelményeinek teljesítése a Microsoft Entra-azonosítóval |
| Health Insurance Portability and Accountability Act, 1996 (HIPAA) | A Microsoft Entra-azonosító konfigurálása a HIPAA-megfelelőséghez |
| Payment Card Industry Security Standards Council (PCI SSC) | A Microsoft Entra PCI-DSS útmutatója |
| Pénzügyi szolgáltatási szabályzatok | Az egyesült államokbeli banki és tőkepiacok legfontosabb megfelelőségi és biztonsági szempontjai
|
| Észak-Amerika Electric Reliability Corporation (NERC) | Az energiaipar legfontosabb megfelelőségi és biztonsági szempontjai |
2. fázis
A 2. fázisban megkezdheti a még nem létező adatok vezérlőinek implementálását. Az adatvédelmi vezérlők tervezésére és üzembe helyezésére vonatkozó további útmutatást a bizalmas üzleti adatok azonosítása és védelme Teljes felügyelet bevezetési útmutatóban talál.
| A 2. szakasz célkitűzései | Források |
|---|---|
| A tartalomkezelővel azonosíthatja a szabályozott adatokat. | A Tartalomkezelő használatának első lépései A Tartalomkezelő segíthet áttekinteni a szabályozott adatok aktuális expozícióját, és felmérni azok megfelelőségét a tárolási helyeket és a védelem módját diktáló előírásoknak. Egyéni bizalmas információtípusok létrehozása |
| Alapvető adatszabályozási és adatvédelmi szabályzatok implementálása adatmegőrzési és bizalmassági címkék használatával. | Tudnivalók a megőrzendő vagy törölni kívánt adatmegőrzési szabályzatokról és címkékről További információ a bizalmassági címkékről |
| Ellenőrizze a DLP- és titkosítási szabályzatokat. | Purview adatveszteség-megelőzés Titkosítás bizalmassági címkézéssel Titkosítás az Office 365-höz |
| Kommunikációs szabályzatok implementálása (ha van). | Kommunikációs megfelelőségi szabályzatok létrehozása és kezelése |
3. fázis
A 3. fázisban megkezdi az adatszabályozási szabályzatok automatizálását a megőrzés és a törlés érdekében, beleértve az adaptív hatókörök használatát is.
Ez a szakasz magában foglalja a szegregáció és az elkülönítés vezérlőinek implementálását. A NIST például a projektek izolált környezetben történő üzemeltetését írja elő, ha ezek a projektek a Egyesült Államok kormányának és a Egyesült Államok kormányának meghatározott típusú minősített munkáihoz kapcsolódnak. Bizonyos esetekben a pénzügyi szolgáltatásokra vonatkozó szabályok particionálási környezeteket igényelnek annak érdekében, hogy a vállalat különböző részeinek alkalmazottai ne kommunikáljanak egymással.
| A 3. szakasz célkitűzései | Források |
|---|---|
| Az adatéletciklus-felügyeleti szabályzatok kiterjesztése automatizálással. | Adatéletciklus-kezelés |
| Particionálási és elkülönítési vezérlők beállítása (ha vannak). | Információs korlátok Adatveszteség-megelőzés Bérlők közötti hozzáférés |
| Bontsa ki az adatvédelmi szabályzatokat más számítási feladatokra. | Tudnivalók az információvédelmi szkennerről Adatveszteség-megelőzési szabályzatok használata nem Microsoft-felhőalkalmazásokhoz Adatveszteség-megelőzés és Microsoft Teams Végpont adatveszteség-megelőzés használata Bizalmassági címkék használata a Microsoft Teams, a Microsoft 365-csoportok és a SharePoint-webhelyek tartalmainak védelméhez |
| A megfelelőség újraértékelése a Compliance Manager használatával. | Compliance Manager |
4. fázis
A 4. szakasz célkitűzései a forgatókönyv üzembe helyezését célul tűzik ki azáltal, hogy folyamatosan értékelik az eszközöknek az alkalmazandó előírásoknak és szabványoknak való megfelelését.
| A 4. szakasz célkitűzései | Források |
|---|---|
| Az erőforrások megfelelőségi állapotának folyamatos felmérése és leltározása. | Ez a cikk azonosította az összes szükséges eszközt, és ehhez a célhoz egy megismételhető, iteratív folyamatot alkot, amely lehetővé teszi az erőforrások és eszközök folyamatos monitorozását a digitális tulajdonban. Keresés a naplózási naplóban a megfelelőségi portálon |
| A Microsoft Sentinel használatával jelentéseket készíthet a megfelelőség mérésére. | A Microsoft Sentinel használatával jelentéseket készíthet az egyesített naplózási napló alapján a megfelelőség felméréséhez és méréséhez, valamint a vezérlők hatékonyságának bemutatásához. Log analytics az Azure-ban |
| Használja a Compliance Managert az új hiányosságok azonosítására és elhárítására. | Compliance Manager |
Kész fázis
A legtöbb megfelelőségi munka szabályzatkényszerítéssel történik. Meghatározza, hogy milyen feltételeknek kell teljesülniük a megfelelőség eléréséhez, majd létrehozhat egy szabályzatot vagy szabályzatkészletet a vezérlők automatizálásához. A szabályzatkényszerítés Teljes felügyelet ismétlődő ellenőrzést hoz létre adott megfelelőségi vezérlők végrehajtásához. Azáltal, hogy a szervezet által napi kapcsolatban lévő üzemeltetési technológiába építi a vezérlőket, egyszerűbb feladattá válik az auditkészség elérése.
A Kész fázisban kiértékeli, teszteli és teszteli a megcélzott szabályzatokat, hogy meggyőződjön arról, hogy ezek a tevékenységek a kívánt eredményeket érik el. Győződjön meg arról, hogy ezek nem jelentenek új kockázatokat. Ebben a Teljes felügyelet üzleti forgatókönyvben fontos, hogy együttműködjön azokkal az érdekelt felekkel, akik hozzáférés-vezérlést, adatvédelmet és egyéb infrastruktúra-védelmet implementálnak. A távoli és hibrid munka engedélyezésére vonatkozó értékelési, tesztelési és próbaüzemi szabályzatok például eltérnek a bizalmas adatok digitális tulajdonban való azonosítására és védelmére vonatkozó javaslatoktól.
Példavezérlők
A Teljes felügyelet minden egyes pillére megfeleltethető egy szabályozási vagy szabványügyi keretrendszer bizonyos vezérlőinek.
1. példa
Teljes felügyelet identitáshoz a Hozzáférés-vezérlés kezelése a Center for Internet Security (CIS)) szolgáltatáson belül van leképezve. Teljesítményteszt és az A.9.2.2. melléklet felhasználói hozzáférés kiépítése az ISO 27001:2022-ben.
Ebben a diagramban a Hozzáférés-vezérlés kezelése az ISO 27001 szabvány 9.2.2. mellékletében, a Felhasználói hozzáférés kiépítése című szabvány 9.2.2- es mellékletében van definiálva. A szakasz követelményei többtényezős hitelesítés megkövetelésével teljesülnek.
Az egyes vezérlők végrehajtása, például a feltételes hozzáférési szabályzatok kikényszerítése minden szervezet számára egyedi. A szervezet kockázati profiljának és az eszközök leltárának pontos felületet és megvalósítási hatókört kell létrehoznia.
2. példa
Az Teljes felügyelet architektúra és az iparági szabványok közötti egyik nyilvánvalóbb korreláció az információbesorolást is magában foglalja. Az ISO 27001 8.2.1 mellékletében a következőt kell meghatározni:
- Az információkat a jogi követelmények, az érték, a kritikusság és a jogosulatlan közzétételre vagy módosításra való érzékenység szempontjából kell besorolni, ideális esetben úgy kell besorolni, hogy az üzleti tevékenységet tükrözze, és ne akadályozza vagy bonyolítsa azt.
Ebben a diagramban a Microsoft Purview adatbesorolási szolgáltatással definiálhatók és alkalmazhatók bizalmassági címkék e-mailekre, dokumentumokra és strukturált adatokra.
3. példa
8.1.1. melléklet Az ISO 27001:2022 (Eszközök leltára) előírja, hogy "az információ- és információfeldolgozó létesítményekhez kapcsolódó összes eszközt azonosítani és kezelni kell az életciklus során, és mindig naprakésznek kell lenniük."
Ennek a vezérlési követelménynek a teljesítése az Intune eszközfelügyeletének megvalósításával érhető el. Ez a követelmény egyértelmű leltárt biztosít, és az egyes eszközök megfelelőségi állapotát jelenti a meghatározott vállalati vagy iparági szabályzatokkal szemben.
Ehhez a vezérlési követelményhez a Microsoft Intune-t kell használnia az eszközök kezelésére, beleértve a megfelelőségi szabályzatok beállítását is, hogy jelentést készíthessenek az eszközöknek a beállított szabályzatoknak való megfelelőségéről. Feltételes hozzáférési szabályzatokkal is megkövetelheti az eszközök megfelelőségét a hitelesítési és engedélyezési folyamat során.
4. példa
Az iparági szabványoknak megfeleltetett Teljes felügyelet egyik pillérének legátfogóbb példája a fenyegetésfelderítés és az incidenskezelés. Ebben a forgatókönyvben a Microsoft Defender és a Microsoft Sentinel teljes termékkontrasztja alkalmazhatóvá válik a fenyegetésfelderítés és a valós idejű incidensmegoldás részletes elemzéséhez és végrehajtásához.
Ebben a diagramban a Microsoft Sentinel és a Microsoft Defender eszközei fenyegetésfelderítést biztosítanak.
Bevezetési fázis
A bevezetési fázisban fokozatosan valósítja meg a műszaki terveket a digitális tulajdonban. A fázis elvégzéséhez terület szerint kell kategorizálnia a műszaki terveket, és együtt kell működnie a megfelelő csapatokkal.
Az identitás- és eszközhozzáférés érdekében hozzon létre egy szakaszos megközelítést, amelyben kis számú felhasználóval és eszközzel kezd, majd fokozatosan növeli az üzembe helyezést, hogy a teljes környezetet is magában foglalja. Ezt a biztonságos távoli és hibrid munka bevezetésének forgatókönyve ismerteti. Íme egy példa.
Az adatok védelmének bevezetése magában foglalja a munka kaszkádolását és az iterálást, miközben meggyőződik arról, hogy a létrehozott szabályzatok megfelelően vannak csiszolva a környezet számára. Ezt a bizalmas üzleti adatok bevezetésének azonosítása és védelme című cikkben ismertetjük. Íme egy példa.
Szabályozás és kezelés
A szabályozási és megfelelőségi követelmények teljesítése folyamatban van. Amikor erre a fázisra vált, váltson a nyomon követésre és a figyelésre. A Microsoft néhány eszközt biztosít a segítségért.
A tartalomkezelővel figyelheti a szervezeti megfelelőség állapotát. Az adatbesoroláshoz a Tartalomkezelő áttekintést nyújt a bizalmas információk szervezeten belüli helyzetéről és terjedéséről. A betanítható osztályozóktól a bizalmas adatok különböző típusaiig – adaptív hatókörökön vagy manuálisan létrehozott bizalmassági címkéken keresztül – a rendszergazdák láthatják, hogy az előírt bizalmassági séma megfelelően van-e alkalmazva a szervezetben. Ez a lehetőség arra is lehetőséget nyújt, hogy azonosítsa azokat a kockázati területeket, ahol a bizalmas információk folyamatosan meg vannak osztva az Exchange-ben, a SharePointban és a OneDrive-ban. Íme egy példa.
A Microsoft Purview megfelelőségi portál nagyobb jelentéskészítési funkciójának használatával makrónézetet hozhat létre és számszerűsíthet a megfelelőségről. Íme egy példa.
Ugyanez a gondolkodásmód és folyamat alkalmazható az Azure-ra is. A Felhőhöz készült Defender-szabályozási megfelelőség használatával állapítsa meg a Purview Compliance Managerben megadott pontszámhoz hasonló megfelelőségi pontszámot. A pontszám több szabályozási szabványhoz és keretrendszerhez van igazítva különböző iparági vertikálisan. A szervezeten múlik, hogy a pontszámra mely szabályozási szabványok és keretrendszerek vonatkoznak. Az irányítópult által biztosított állapot állandó valós idejű értékelést jelenít meg az átadásról és a sikertelen értékelésekről az egyes standardok esetében. Íme egy példa.
A Purview-irányítópultok széles körű értékelést nyújtanak, amely segíthet tájékoztatni az üzleti vezetőket, és felhasználhatók a részlegszintű jelentésekben, például negyedéves felülvizsgálatokban. Egy operatívabb megjegyzésben a Microsoft Sentinelt használhatja egy Log Analytics-munkaterület létrehozásával az egyesített naplózási naplóadatokhoz. Ez a munkaterület csatlakoztatható a Microsoft 365-adatokhoz, és betekintést nyújt a felhasználói tevékenységbe. Íme egy példa.
Ezek az adatok testreszabhatók, és a többi irányítópulttal együtt használhatók a szervezet stratégiájához, kockázati profiljához, céljaihoz és célkitűzéseihez igazodó szabályozási követelmény kontextusba vételével.
Következő lépések
- Teljes felügyelet bevezetési keretrendszer áttekintése
- A biztonsági helyzet gyors modernizálása
- Távoli és hibrid munka biztonságossá tétele
- Bizalmas üzleti adatok azonosítása és védelme
- A jogsértésből eredő üzleti károk megelőzése vagy csökkentése
Folyamatkövetési erőforrások
Az Teljes felügyelet üzleti forgatókönyvek bármelyikéhez használhatja az alábbi folyamatkövetési erőforrásokat.
| Folyamatkövetési erőforrás | Ez segít... | Úgy tervezték, hogy... |
|---|---|---|
Bevezetési forgatókönyv- terv – A Phase Grid letölthető Visio-fájlja vagy PDF-fájlja 
|
Könnyen megértheti az egyes üzleti forgatókönyvek biztonsági fejlesztéseit, valamint a tervfázis szakaszaira és célkitűzéseire irányuló erőfeszítések szintjét. | Üzleti forgatókönyv projektvezetők, üzleti vezetők és más érdekelt felek. |
Teljes felügyelet bevezetéskövető letölthető PowerPoint-diacsomag 
|
Nyomon követheti előrehaladását a tervfázis szakaszaiban és célkitűzéseiben. | Üzleti forgatókönyv projektvezetők, üzleti vezetők és más érdekelt felek. |
Üzleti forgatókönyv célkitűzései és feladatai letölthető Excel-munkafüzet 
|
Tulajdonost rendelhet hozzá, és nyomon követheti az előrehaladást a tervfázis szakaszain, célkitűzésein és feladatain keresztül. | Üzleti forgatókönyv projektvezetők, informatikai érdeklődők és informatikai megvalósítók. |
További forrásokért tekintse meg Teljes felügyelet felmérési és folyamatkövetési erőforrásokat.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: