美國銀行和資本市場的重要合規性與安全性考量

簡介

金融服務機構對嚴格安全性、合規性和管理控制的需求幾乎超越所有商業企業。 保護資料、身分識別、裝置和應用程式不僅對業務至關重要,還受限於法規遵循需求和監管機構的規定,例如:美國證券交易委員會 (SEC)、美國金融業監管局 (FINRA)、美國聯邦金融檢查委員會 (FFIEC),以及美國商品期貨交易委員會 (CFTC)。 此外,金融機構也受到法律的制約,例如《多德-弗蘭克法案》和 2002 年簽署的《沙賓法案》。

在當今日益高漲的安全警覺性、測試人員風險關注和公用資料外洩的氣氛中,客戶也要求金融機構提供高水平的安全性,以將其個人資料和銀行資產託付給金融機構。

在過去,對全面控制的需求直接影響並限制了金融機構用來實現內部和外部共同作業的 IT 系統和平台。 如今,金融服務員工需要可輕鬆上手且易於使用的新式共同作業平台。 但是,金融服務無法犧牲強制實施原則以保護使用者和 IT 系統免受威脅的安全性和合規性控制,來換取使用者、團隊和部門之間共同作業的靈活性。

在金融服務領域,需針對設定及部署共同作業工具和安全性控制而謹慎考慮,包括:

  • 常見組織共同作業和商務程序案例的風險評估
  • 資訊保護和資料控管需求
  • 網路安全和測試人員威脅
  • 法規遵循需求
  • 其他營運風險

Microsoft 365 是一種新式工作場所雲端環境,可以解決金融服務組織面臨的當代挑戰。企業中安全且靈活的共同作業結合控制和原則執行,以因應嚴格的法規遵循架構。 本文將說明 Microsoft 365 平台如何協助將金融服務移轉至新式共同作業平台,同時協助確保資料和系統安全性及遵循各種法規:

  • 使用 Microsoft 365 和 Microsoft Teams 提高組織和員工的生產力
  • 使用 Microsoft 365 保護新式共同作業
  • 識別敏感性資料並防止資料外洩
  • 堅守堡壘
  • 透過有效管理記錄來監管資料及遵守法規
  • 建立具有資訊屏障的道德管束
  • 防範資料外流和測試人員風險

Microsoft 的合作夥伴 Protiviti 參與撰寫本文,並協助提供實質意見反應。

下列可下載圖例補充說明本文。 Woodgrove Bank 和 Contoso 是用來示範本文所述功能的套用方式,旨在解決金融服務的一般法規需求。 您可以隨意使用這些圖。

Microsoft 365 資訊保護和合規性圖例

項目 描述
模型海報:Microsoft 365 資訊保護和合規性功能。
英文:下載為 PDF| 下載為 Visio
日文:下載為 PDF| 下載為 Visio
更新日期:2020 年 11 月
包含:
  • Microsoft 資訊保護和資料外洩防護
  • 保留原則和保留標籤
  • 資訊屏障
  • 通訊合規性
  • 測試人員風險
  • 協力廠商資料攝取

使用 Microsoft 365 和 Teams 提高組織和員工的生產力

共同作業通常需要各種形式的溝通、儲存及存取文件/資料的功能,以及整合其他應用程式的能力。 金融服務的員工通常需要與其他部門或團隊成員,甚至有時與外部實體共同作業及溝通。 因此,不適合使用會建立隔閡或讓資訊共用難以進行的系統。 相反地,最好採用能讓員工根據公司政策安全地溝通、共同作業及共用資訊的平台和應用程式。

為員工提供新式雲端式共同作業平台可讓員工選擇並整合可提高生產力的工具,並賦予他們尋找靈活工作方式的能力。 將 Teams 與保護組織的安全性控制和資訊管理原則搭配使用,可協助您的員工進行有效的溝通和共同作業。

Teams 為組織提供共同作業中心。 可協助人員以高效的方式共同執行計劃和專案。 Teams 可讓團隊成員執行一對一和多方聊天交談、共同作業及共同撰寫文件,以及儲存及共用檔案。 Teams 也可透過整合式企業語音和視訊來支援線上會議。 您也可以使用 Microsoft 應用程式 (例如 Microsoft Planner、Microsoft Dynamics 365、Power Apps、Power BI 及協力廠商企業營運應用程式) 自訂 Teams。 Teams 設計為可供內部團隊成員使用,並允許外部使用者加入團隊頻道、參與聊天交談、存取儲存的檔案,以及運用其他應用程式

Microsoft 365 群組支援所有 Microsoft 小組。 該群組是眾多 Office 365 服務的成員資格服務,包括 Teams。 Microsoft 365 群組是用於安全地辨別「擁有者」和「成員」,以及控制 Teams 內各種功能的存取權。 搭配適當的控管和定期管理的存取權檢閱時,Teams 僅允許成員和擁有者使用授權的頻道和功能。

金融服務從 Teams 受益的常見案例是執行內部專案或計劃。 例如,許多金融機構 (包括銀行、財富管理公司、信用合作社和保險提供者) 都必須具備反洗錢和其他合規性計劃。 由 IT、零售和財富管理等業務範圍,以及金融犯罪部門組成的跨職能團隊可能需要彼此共用資料,並針對計劃或特定調查進行溝通。 傳統上,這些計劃使用共用網路磁碟機,但是這種方法可能會帶來許多挑戰,包括:

  • 一次只能讓一位使用者編輯文件。
  • 管理安全性是非常耗時,因為新增/移除個人通常都需要 IT 介入。
  • 資料位於共用網路磁碟機上的時間遠遠超過所需的時間。

Teams 可提供共同作業空間,以安全的方式儲存敏感性客戶資料,並在團隊成員之間進行交談,討論敏感性主題。 團隊的多個成員可以同時在單一文件上編輯或共同作業。 計劃擁有者或協調者可以設定為團隊擁有者,然後視需要新增及移除成員。

另一個常見的案例是使用 Teams 做為「虛擬資料室」,以安全的方式共同作業,包括儲存及管理文件。 投資金融、資產管理或私募股權公司內的團隊成員和企業集團可安全地在交易或投資上共同作業。 跨職能團隊通常會參與規劃及履行這類交易,而安全地共用資料及進行交談的能力是核心需求。 與外部投資者安全地共用相關文件也是重要需求。 Teams 提供安全且完全可稽核的位置,以集中儲存、保護及共用投資資料。

一群上班族在會議中討論大螢幕上的影像

Teams:改善共同作業並降低合規性風險

Microsoft 365 透過將 Microsoft 365 群組作為基礎成員資格服務,為 Teams 提供其他一般原則功能。 這些原則可協助改善共同作業並達到合規性需求。

Microsoft 365 群組命名原則 能協助確保 Microsoft 365 群組及團隊按照公司原則來命名。 如果名稱不適當,便可能發生問題。 例如,如果名稱不適當,員工可能不知道該與哪些團隊合作或共用資訊。 群組命名原則 (包括支援首碼/尾碼型原則和自訂封鎖文字) 可強制執行良好的語言「衛生」,並防止使用特定字詞,例如保留字或不適當的術語。

Microsoft 365 群組到期原則 可協助確保 Microsoft 365 群組和團隊的保留期間不超過組織所需的時間。此功能可協助防止下列兩個重要資訊管理問題:

  • 不需要或不使用的團隊數量劇增。
  • 過度保留組織不再需要或使用的資料 (法務保存措施的情況除外)。

系統管理員可指定 Microsoft 365 群組的到期時間,例如 90、180 或 365 天。如果 Microsoft 365 群組支援的服務因到期期間而處於非作用中,系統會通知群組擁有者。如果未採取任何動作,系統就會刪除 Microsoft 365 群組及其所有相關服務 (包括 Microsoft Teams)。

過度保留 Teams 和其他群組式服務中儲存的資料可能讓金融服務組織面臨風險。 建議使用 Microsoft 365 群組到期原則來協助防止保留不再需要的資料。 結合內建的保留標籤和原則,Microsoft 365 可協助確保組織只保留符合公司原則和合規性義務所需的資料。

Teams:輕鬆整合自訂需求

Teams 預設會啟用自助建立。 不過,許多受監管組織想要控制並了解其員工目前正在使用哪些共同作業頻道、哪些頻道可能包含敏感性資料,以及組織頻道的擁有權。 為了便於進行這些管理控制,Microsoft 365 可讓組織停用自助團隊建立。 透過使用商務程序自動化工具 (例如 Microsoft Power Apps 和 Power Automate),組織可建立並部署簡單的表單和核准程序,供員工要求建立新團隊。 經核准時,系統可自動佈建團隊,並將連結傳送給要求者。 這樣一來,組織就能在團隊建立程序中設計並整合其合規性控制和自訂需求。

可接受的數位通訊通道

FINRA 強調受監管企業的數位通訊符合美國證券交易法細則 17a-3 和 17a-4 的記錄保存要求,以及 FINRA Rule Series 4510。 FINRA 會提供年度報告,其中包含重要的調查結果、觀測值和有效做法,以協助組織改善合規性與風險管理。 在其 2019 年調查結果和觀測值報告 (2019 Report on Examination Findings and Observations) 中,FINRA 將數位通訊認定為企業在遵守監管和記錄保存要求方面面臨挑戰的關鍵領域。

如果組織允許員工使用特定的應用程式 (例如應用程式型訊息服務或共同作業平台),公司必須封存業務記錄,並監督這些員工在該應用程式中的活動和通訊。 組織有責任審慎調查,以遵守 FINRA 的規定和證券法,並追蹤與員工使用此類應用程式相關的潛在違規行為。

FINRA 建議的有效做法包括下列各項:

  • 為數位通訊頻道建立全面的監管計劃。 管理組織對允許數位通訊頻道的決策,並針對每個數位頻道定義合規性程序。 密切監視數位通訊頻道的快速變化,並將合規性程序保持在最新狀態。
  • 清楚定義並控制允許的數位頻道。 定義核准和禁止的數位頻道。 封鎖或限制使用禁止的數位頻道,或數位頻道內會限制組織遵守記錄管理與監管需求的禁止功能。
  • 提供數位通訊訓練。 在授權註冊代表存取經核准的數位頻道之前,先實作必要的訓練計劃。 訓練可協助闡明組織對業務和個人數位通訊的期待,並以符合規範的方式指導員工使用各頻道的允許功能。

FINRA 的數位通訊調查結果和觀測值與組織遵守 SEC 細則 17a-4 保留所有與業務相關的通訊、FINRA 細則 31103120 監督及審查通訊,以及 Rule Series 4510 保留記錄直接相關。 美國商品期貨交易委員會 (CFTC) 根據 17 CFR 131 頒布了類似的規定。 本文稍後將深入討論這些法規。

Teams 和 Microsoft 365 安全性與合規性方案的綜合性套件為金融服務機構提供企業數位通訊管道,以便有效執行業務並遵守管理法規。 本文的其餘部分將說明 Microsoft 365 內建用於記錄管理、資訊保護、資訊屏障和監督控制的功能如何為 Teams 提供穩健的工具集,以協助滿足這些法規義務。

使用 Microsoft 365 保護新式共同作業

保護使用者身分識別及控制存取權

保護對客戶資訊,財務文件和應用程式的存取權始於嚴格加強使用者身分識別。 企業必須使用安全的平台來儲存及管理身分識別、提供信任的驗證方式,並動態控制這些應用程式的存取權。

員工工作時,他們可能會在應用程式之間移動,或在多個位置和裝置之間移動。 在此過程的每個步驟中,都必須驗證資料存取權。 驗證程序必須支援強大的通訊協定和多重要素驗證 (例如一次性 SMS 密碼、驗證器應用程式和認證),以確保身分識別不遭到入侵。 實施風險式存取原則對保護財務資料和應用程式不受測試人員威脅、避免不慎資料洩漏和資料外流至關重要。

Microsoft 365 在 Azure Active Directory (Azure AD) 中提供集中儲存並安全管理身分識別的安全身分識別平台。 Azure AD 和許多相關的 Microsoft 365 安全性服務構成了為員工提供安全工作所需的存取權基礎,同時還保護組織免受威脅。

Azure AD Multi-Factor Authentication (MFA) 內建在平台中,並提供額外的驗證證明,以協助確認使用者存取敏感性財務資料和應用程式時的使用者身分識別。 Azure MFA 至少需要兩種形式的驗證,例如密碼加上已知的行動裝置。 其支援多種第二要素驗證,包括:

  • Microsoft Authenticator 應用程式
  • 透過 SMS 傳遞的一次性密碼
  • 使用者必須輸入 PIN 的電話

如果密碼遭入侵,潛在的駭客仍需要使用者的手機,才能存取組織資料。 此外,Microsoft 365 會使用新式驗證作為金鑰通訊協定,讓 Web 瀏覽器提供的強大且豐富的驗證體驗,為員工所使用的共同作業工具,包括 Microsoft Outlook 和其他 MicrosoftOffice 應用程式。

無密碼

密碼是安全鏈中最弱的連結。 如果沒有其他驗證,密碼可能成為單一失敗點。 Microsoft 支援多種驗證選擇,以滿足金融機構的需求。

無密碼 方法可協助讓 MFA 更方便使用者使用。 並非所有 MFA 都無密碼,而無密碼技術採用多重要素驗證。 Microsoft、Google 及其他業界領袖已共同開發標準,以在稱為 Fast IDentity Online (FIDO) 的群組中實現跨 Web 和行動裝置的更簡單、更強大的驗證體驗。 最新開發的 FIDO2 標準讓使用者無需密碼,即可輕鬆且安全地驗證,以杜絕網路釣魚。

無密碼的 Microsoft MFA 方法包括:

  • Microsoft Authenticator:考量靈活性、方便性和成本,我們建議使用 Microsoft Authenticator 行動裝置應用程式。 Microsoft Authenticator 為任何連線至 Azure AD 的應用程式支援生物識別技術、推播通知和一次性密碼。 可從 Apple 和 Android 應用程式市集取得。
  • Windows Hello:針對電腦的內建體驗,我們建議您使用 Windows Hello。 其使用生物特徵辨識資訊 (例如臉部或指紋) 來自動登入。
  • FIDO2 安全性金鑰可從以下幾個 Microsoft 合作夥伴取得:Yubico、Feitian Technologies 和 HID Global,並支援 USB、已啟用 NFC 的徽章或生物識別密鑰共用 USB、啟用 NFC 的徽章或生物特徵辨識金鑰。

Azure AD 條件式存取提供強大的解決方案,以自動化存取控制決策,並強制執行組織原則以保護公司資產。 一個典型的範例是財務規劃人員需要存取具有敏感性客戶資料的應用程式。 系統會自動要求執行多重要素驗證,以特別存取該應用程式,而且存取必須來自公司管理的裝置。 Azure 條件式存取整合使用者存取要求的相關信號,例如使用者的屬性、裝置、位置和網路,以及使用者嘗試存取的應用程式。 它會根據已設定的原則動態評估存取應用程式的嘗試次數。 如果使用者或裝置風險提高,或不符合其他條件,Azure AD 可自動強制實施原則,例如要求 MFA、要求安全密碼重設,以及限制或封鎖存取權。 這可協助確保敏感性組織資產在不斷變更的環境中受到保護。

Azure AD 和相關的 Microsoft 365 安全性服務提供將新式雲端共同作業平臺推廣到金融機構的基礎,以便保護資料和應用程式的存取安全,並滿足監管機構的合規性義務。這些工具提供下列關鍵功能:

  • 集中儲存並安全管理使用者身分識別。
  • 使用強大的驗證通訊協定 (包括多重要素驗證),以驗證存取要求的使用者,並在所有應用程式中提供一致且穩健的驗證體驗。
  • 動態驗證所有存取要求的原則,將多個信號納入原則決策程序中,包括身分識別、使用者/群組成員資格、應用程式、裝置、網路、位置,以及即時風險分數。
  • 根據使用者行為和檔案內容驗證細微原則,並在需要時動態強制執行其他安全性措施。
  • 識別組織中的「影子 IT」,並允許 InfoSec 團隊批准或封鎖雲端應用程式。
  • 監視及控制 Microsoft 和非 Microsoft 雲端應用程式的存取權。
  • 主動防範電子郵件網路釣魚和勒索軟體攻擊。

Azure AD Identity Protection

條件式存取可保護資源免受可疑要求的侵害,而 Identity Protection 則透過提供持續的風險偵測和可疑使用者帳戶的修正來進一步保護。 Identity Protection 可全天候通知您環境中的可疑使用者和登入行為。 其自動回應能主動防止遭入侵的身分識別被濫用。

Identity Protection 是一種可讓組織完成三項關鍵工作的工具:

  • 自動化身分識別風險的偵測和修正。
  • 使用入口網站中的資料調查風險。
  • 將風險偵測資料匯出至協力廠商工具,以便進一步分析。

Identity Protection 使用 Microsoft 在 Azure AD 組織、Microsoft 帳戶消費者領域和 Xbox 遊戲領域所獲得的知識來保護您的使用者。 Microsoft 每日分析 65 萬億個信號,以找出威脅並保護客戶。 由 Identity Protection 產生及提供的信號可進一步送到條件式存取等工具中,以便制定存取決策。 信號也可以送到安全性資訊與事件管理 (SIEM) 工具,以根據貴組織的強制執行原則進一步調查。

Identity Protection 利用基於啟發學習法、使用者與實體行為分析 (UEBA) 和整個 Microsoft 生態系統中的機器學習 (ML) 的先進偵測技術,協助組織自動防範身分識別洩露。

五名資訊人員觀看一名資訊人員進行簡報。

識別敏感性資料並防止資料外洩

Microsoft 365 讓所有組織都能透過強大的功能組合來識別組織內的敏感性資料,包括:

  • Microsoft 資訊保護 (MIP),以使用者為基礎的分類和敏感性資料的自動化分類。
  • Office 365 資料外洩防護 (DLP),以使用敏感性資料類型 (即規則運算式) 和關鍵字和原則強制執行來自動識別敏感性資料。

Microsoft 資訊保護 (MIP) 可讓組織使用敏感度標籤,聰明地將文件和電子郵件分類。 使用者可以在 Microsoft Office 應用程式的文件和 Outlook 中的電子郵件手動套用敏感度標籤。 標籤可自動套用文件標記、加密保護,以及強制執行版權管理。 還可以透過設定使用關鍵字和敏感性資料類型 (例如信用卡號碼、社會保險號碼和身份證號) 的原則來自動套用敏感度標籤,以自動尋找及分類敏感性資料。

此外,Microsoft 也提供「可訓練的分類器」,它使用機器學習模型根據內容識別敏感性資料,而不只是透過模式比對或內容中的元素。 分類器透過查看大量要分類的內容範例來學習如何識別內容類型。 訓練分類器的第一步是為分類器提供特定類別內容的範例。 從這些範例學習後,透過提供模型相符和不相符範例的組合來測試模型。 分類器會預測指定範例是否屬於某類別。 然後,人員會確認結果,並排序陽性、陰性、誤判和漏報,以提高分類器預測的準確性。 發佈訓練的分類器後,分類器會處理 Microsoft SharePoint Online、Exchange Online 和商務用 OneDrive 中的內容,並自動將內容分類。

將敏感度標籤套用到文件和電子郵件會內嵌中繼資料,以識別物件內所選的敏感度。 然後,敏感度會和資料一起移動。 因此,即使已加上標籤的文件儲存在使用者的桌上型電腦或內部部署系統中,文件仍受到保護。 此功能可讓其他 Microsoft 365 解決方案 (例如 Microsoft Defender for Cloud Apps 或網路 edge 裝置) 識別敏感性資料,並自動強制執行安全性控制。 敏感度標籤的另一個好處是可教育員工組織中哪些資料被視為敏感性資料,以及如何在收到該資料時處理資料。

Office 365 資料外洩防護 (DLP) 會透過掃描敏感性資料,然後對這些物件強制執行原則,以自動識別包含敏感性資料的文件、電子郵件和交談。 原則是在 SharePoint Online 和商務用 OneDrive 中的文件強制執行。 原則也會在使用者傳送電子郵件時,以及在 Teams 聊天和頻道交談中強制執行。 可以將原則設定為尋找關鍵字、敏感性資料類型、保留標籤,以及資料是在組織內部或外部共用。 提供控制項以協助組織微調 DLP 原則,以減少誤報。 發現敏感性資料時,可對使用 Microsoft 365 應用程式的使用者顯示可自訂的原則提示,通知他們其內容包含敏感性資料,然後建議採取更正動作。 原則也可以防止使用者存取文件、共用文件,或傳送包含特定敏感性資料類型的電子郵件。 Microsoft 365 支援 100 多種內建敏感性資料類型。 組織可以設定自訂敏感性資料類型以滿足其原則。

將 MIP 和 DLP 原則推廣到組織需要周密的規劃和使用者教育計劃,讓員工了解組織的資料分類架構,以及哪些類型的資料被視為敏感性資料。 為員工提供工具和教育計劃可協助他們識別敏感性資料,並了解如何處理這些資料,讓他們成為解決資訊安全風險問題的解決方案的一環。

由 Identity Protection 產生及提供的信號可送到條件式存取等工具中,以便制定存取決策;安全性資訊與事件管理 (SIEM) 工具,以根據組織的強制執行原則進一步調查。

Identity Protection 利用基於啟發學習法、使用者與實體行為分析和整個 Microsoft 生態系統中的機器學習的先進偵測技術,協助組織自動防範身分識別洩露。

圖為一名資訊人員站在大量監視器前。

堅守堡壘

Microsoft 最近推出 Microsoft 365 Defender 解決方案,旨在保護現代組織免受不斷演進的威脅侵害。 透過利用 Intelligent Security Graph,威脅防護解決方案可針對多種攻擊媒介提供全面的整合安全性。

Intelligent Security Graph

Microsoft 365 的安全性服務是由 Intelligent Security Graph 提供。 為了應對網路威脅,Intelligent Security Graph 使用進階分析來連結來自 Microsoft 及其合作夥伴的威脅情報和安全性信號。 Microsoft 大規模營運全球服務,並收集數以萬億計的安全性信號,以支援堆疊式防護層。 機器學習模型會評估此情報,並在我們的產品和服務中廣泛共用信號和威脅見解。 這可讓我們迅速偵測並回應威脅,並將可採取動作的警報和資訊提供給客戶,以進行修正。 我們的機器學習模型會不斷接受訓練並以新的見解進行更新,協助我們打造更安全的產品,並提供更主動的安全性。

適用於 Office 365 的 Microsoft Defender 提供整合的 Microsoft 365 服務,可保護組織免受透過電子郵件和 Office 文件傳遞的惡意連結和惡意程式碼侵害。 當今影響使用者最常見的攻擊媒介之一是電子郵件網路釣魚攻擊。 這些攻擊可針對特定使用者,而且可能非常具有說服力,並帶有召喚行動,以提示使用者按下惡意連結或開啟含有惡意程式碼的附件。 電腦受到感染後,攻擊者就可以竊取使用者的認證,並在整個組織中移動,或竊取電子郵件和資料以尋找敏感性資訊。 適用於 Office 365 的 Defender 會在按一下文件和連結時加以評估,以尋找潛在的惡意意圖並封鎖存取,以支援安全附件和安全連結。 電子郵件附件會在受保護的沙箱中開啟,再傳送到使用者的信箱。 它也會評估 Office 文件中的連結是否為惡意 URL。 適用於 Office 365 的 Defender 也能保護 SharePoint Online、商務用 OneDrive 及 Teams 中的連結和檔案。 如果偵測到惡意檔案,適用於 Office 365 的 Defender 會自動鎖定該檔案,以降低潛在的損壞。

適用於端點的 Microsoft Defender 是預防性保護、入侵後偵測、自動調查及回應的整合式端點安全性平台。 適用於端點的 Defender 提供內建功能,以在企業端點上探索及保護敏感性資料。

Microsoft Defender for Cloud Apps 可讓組織以精細的層級強制執行原則,並使用機器學習根據自動定義的個別使用者設定檔來偵測行為異常。 Defender for Cloud Apps 原則可建立於 Azure 條件式存取原則,以透過評估與使用者行為和所存取文件的屬性有關的額外信號來保護敏感性公司資產。 一段時間後,Defender for Cloud Apps 會了解每位員工在存取資料和使用的應用程式中的典型行為。 根據已知的行為模式,如果的行為超出該行為設定檔,原則便可自動強制執行安全性控制。 例如,如果某位員工通常從星期一至星期五上午 9 點到下午 5 點存取某應用程式,但突然開始在星期天晚上頻繁存取該應用程式,Defender for Cloud Apps 可以動態強制執行原則,以要求使用者重新驗證。 這可協助確保使用者的認證不遭到入侵。 Defender for Cloud Apps 也可協助識別組織中的「影子 IT」,以協助資訊安全團隊確保員工處理敏感性資料時使用批准的工具。 最後,Defender for Cloud Apps 可以保護雲端中任何位置的敏感性資料,甚至是 Microsoft 365 平台以外的資料。 它可讓組織批准 (或取消批准) 特定外部雲端應用程式,並控制存取權及監控使用方式。

適用於身分識別的 Microsoft Defender 是利用內部部署 Active Directory 訊號的雲端型安全性解決方案,它會識別、偵測及調查貴組織中的進階威脅、遭入侵的身分識別,以及惡意內部攻擊動作。 AATP 可讓 SecOp 分析師和安全性專業人員偵測混合式環境中的進階攻擊,以達到以下目的:

  • 使用學習式分析來監控使用者、實體行為和活動。
  • 保護儲存在 Active Directory 中的使用者身分識別和認證。
  • 識別並調查整個狙殺鍊中的可疑使用者活動和進階攻擊。
  • 以簡單的時間表提供清楚的事件資訊,以進行快速分級。

上班族在小型會議室內開會。其中一位正在簡報。

監管資料及管理記錄

金融機構必須依照公司保留時間表中呈現的法規、法律和業務義務來保留其記錄和資訊。 例如,SEC 規定保留期間為三到六年 (視記錄類型而定),前兩年必須提供立即存取。 如果資料未妥善保留 (即過早捨棄),組織將面臨法律和合規性風險,現在還得管理法規,以在不再需要資訊時強制捨棄資訊。 有效的記錄-管理原則強調實用且一致的做法,以便適當處理資訊,並將組織的成本和風險降到最低。

此外,美國紐約州金融服務署的監管命令要求受管轄機構維護處置非公用資訊的原則和程序。《資料保留限制》(Limitations on Data Retention) 第 500.13 節 23 NYCRR 500 要求「作為其網路安全計劃的一部分,每個受管轄機構應具有原則和程序,以定期安全處置本章第 500.01 (g)(2)-(3) 節中所確定之受管轄機構業務營運或其他合法業務目的不再需要的任何非公用資訊,除非法律或法規另外要求保留此類資訊。」

金融機構管理大量資料。 而某些保留期間則由事件觸發,例如合約到期或員工離開組織。 在這種情況下,套用記錄保留原則可能會很困難。 在組織文件中正確指派記錄保留期間的方法可能會有所不同。 有些廣泛套用保留原則,或運用自動分類和機器學習技術。 有些則確定一種需要更精細的程序的方法,將保留期間專門指派給個別文件。

Microsoft 365 提供靈活的功能來定義保留標籤和原則,以明智地實作記錄管理需求。 記錄管理員可定義保留標籤,其代表傳統保留排程中的「記錄類型」。保留標籤包含定義這些詳細資料的設定:

  • 記錄保留的時間長度
  • 保留期間到期時,會發生什麼情況 (刪除文件、開始處置檢閱或不採取任何動作)。
  • 觸發保留期間的起始點 (建立日期、上次修改日期、標籤日期或事件) 並將文件或電子郵件標示為記錄 (表示無法編輯或刪除)。

保留標籤便會發佈到 SharePoint 或 OneDrive 網站、Exchange 信箱和 Microsoft 365 群組。 使用者可以手動將保留標籤套用到文件和電子郵件。 記錄管理員可以使用情報來自動套用標籤。 情報功能可根據九十多種內建敏感性資訊類型 (例如 ABA 匯款路徑編號、美國銀行帳號或美國社會安全號碼)。 也可以根據關鍵字或電子郵件中的敏感性資料 (例如信用卡號碼或其他個人辨識資訊) 或根據 SharePoint 中繼資料來自訂。 針對不容易透過手動或自動模式比對來識別的資料,可訓練的分類器可用於根據機器學習技術聰明分類文件。

美國證券交易委員會 (SEC) 要求經紀商/自營商和其他受監管金融機構保留所有業務相關通訊。 這些要求適用於許多類型的通訊和資料,包括電子郵件、文件、立即訊息、傳真等。 SEC 細則 17a-4 定義這些組織在電子資料儲存系統中儲存記錄時必須符合的準則。 SEC 在 2003 年發行了闡明這些要求的版本。 其中包括下列準則:

  • 電子儲存系統保留的資料必須為不可重複寫入且不可抹除。 這稱為 WORM 要求 (單寫多讀)。
  • 在傳票或其他法律命令的情況下,儲存系統必須能夠儲存超出法規要求的保留期間的資料。
  • 如果組織透過使用整合式硬體和軟體控制代碼使用電子儲存系統防止在其要求的保留期間內覆寫、抹除或以其他方式變更記錄,則該組織不會違反法規 (f)(2)(ii)(A) 中的要求。
  • 僅「降低」記錄將被覆寫或抹除 (例如透過依賴存取控制) 的風險的電子儲存系統不符合法規的要求。

為了協助金融機構符合 SEC 細則 17a-4 的要求,Microsoft 365 提供與保留資料、設定原則,以及將資料儲存在服務中相關的功能組合。這些包括:

  • 資料保留 (細則 17a-4(a), (b)(4)) – 保留標籤和原則能靈活地符合組織需求,且可以自動或手動套用到不同類型的資料、文件和資訊。 支援多種資料類型和通訊,包括 SharePoint 中的文件和商務用 OneDrive、Exchange Online 信箱中的資料,以及 Teams 中的資料。

  • 不可重複寫入且不可抹除的格式 (細則 17a-4(f)(2)(ii)(A)) – 保留原則的保留鎖定功能可讓記錄管理員和系統管理員將保留原則設為受限制,以便無法再對其進行修改。 這會禁止任何人以任何方式移除、停用或修改保留原則。 這表示一旦啟用保留鎖定,便無法停用,而且在保留期間,沒有方法可以覆寫、修改或刪除任何已套用保留原則的資料。 此外,保留期間不能縮短。 不過,若法律要求繼續保留資料,則可以延長保留期間。

    將保留鎖定套用到保留原則時,會限制下列動作:

    • 原則的保留期間只能增加。無法縮短。
    • 可以將使用者新增至原則,但不能移除原則中設定的現有使用者。
    • 組織內部的任何系統管理員皆無法刪除保留原則。

    保留鎖定可協助確保使用者,甚至是具有最高特殊權限存取等級的系統管理員,皆無法變更設定、修改、覆寫或刪除已儲存的資料,從而使 Office 365 中的封存符合 SEC 2003 版本中提供的指引。

  • 儲存/序列化和資料編制索引的品質、正確性和驗證 (細則 17a-4(f)(2) (ii)(B) and (C)) – Office 365 工作負載均包含自動驗證在儲存媒體上記錄資料的程序的品質和正確性的功能。 此外,透過使用中繼資料和時間戳記來儲存資料,以確保足夠的索引,進而有效地搜尋及檢索資料。

  • 分開儲存副本 (細則 17a-4(f)(3(iii)) – Office 365 雲端服務將重複的資料複本作為其高可用性的核心環節。 這是透過在服務的所有層級 (包括所有伺服器的實體層級、資料中心內的伺服器層級,以及地理位置分散的資料中心的服務層級) 實施備援來實現。

  • 可下載且可存取的資料 (細則 17a-4(f)(2)(ii)(D)) – Office 365 通常允許就地搜尋、存取及下載已標記為保留的資料。 而且,還能使用內建的電子文件探索功能搜尋 Exchange Online 封存中的資料。 然後,可以視需要以標準格式下載資料,包括 EDRML 和 PST。

  • 稽核需求 (細則 17a-4(f)(3)(v)) – Office 365 為修改資料物件、設定或修改保留原則、執行電子文件探索搜尋或修改存取權限的每個系統管理和使用者動作提供稽核記錄。 Office 365 維護全面的稽核追蹤,包括執行動作的人員、執行動作的時間、該動作的詳細資料,以及執行的命令。 然後,可以視需要輸出稽核記錄,並將其作為正式稽核程序的一部分。

最後,細則 17a-4 要求組織保留多種交易類型的記錄,以便在兩年內立即存取。 記錄必須以非立即存取進一步保留三到六年。 相同期間的重複記錄也必須保留在異地保存點。 Office 365 記錄管理功能使記錄得以保留,以防止修改或刪除記錄,但可以在記錄管理員所控制的時段內輕鬆存取。 根據組織的合規性義務,這些期間可能持續數天、數月或數年。

若組織需要,Microsoft 將根據要求提供符合 SEC 17a-4 的證明書。

此外,這些功能也可協助 Microsoft 365 符合 美國商品期貨交易委員會 CFTC 細則 1.31(c)-(d) 的儲存要求和 美國金融業監管局FINRA Rule Series 4510。這些規則共同代表金融機構保留記錄全球最詳盡的指引。

關於 Microsoft 365 如何符合 SEC 細則 17a-4 和其他法規的其他詳細資訊,請造訪:評估 Office 365 Exchange Online SEC 細則 17a-4(f) / CFTC 1.31(c)-(d),Cohasset Associates

建立具有資訊屏障的道德管束

金融機構可能會受制於防止特定角色的員工與其他角色交換資訊或進行共同作業的法規。 例如,FINRA 已發佈細則 2241(b)(2)(G)、2242(b)(2) (D)、(b)(2)(H)(ii) 和 (b)(2)(H)(iii) 以要求成員:

「(G) 建立資訊屏障或合理設計的其他制度性防護措施,以確保研究分析師不會在判斷或監管時受從事投資銀行服務活動的人員或其他人員 (包括銷售和交易人員) 的審查、壓力或監管的影響;」和「(H) 建立資訊屏障或合理設計的其他制度性防護措施,以確保債務研究分析師不受從事以下活動的人員的審查、壓力或監管的影響:(i) 投資銀行服務;(ii) 主要交易或銷售及交易活動;以及 (iii) 其他可能影響其判斷或監管的人員;」

最終,這些細則要求組織在涉及銀行服務、銷售或交易的角色之間建立原則並實施資訊屏障,以防止與分析師交換資訊和通訊。

資訊屏障能讓您在 Office 365 環境中建立道德管束,讓規範管理員或其他獲授權的管理員定義原則,以允許或防止團隊內使用者群組之間的通訊。 資訊屏障會對特定動作執行檢查,以防止未經授權的通訊。 在內部團隊正在進行合併/收購或敏感性交易,或使用必須嚴格限制的敏感性內部資訊的情況下,資訊屏障也可以限制通訊。

Microsoft 365 中的資訊屏障支援 Teams 中的交談和檔案。 資訊屏障可以防止以下與通訊相關的動作,以協助遵守 FINRA 法規:

  • 搜尋使用者
  • 將成員新增至團隊,或繼續與其他成員一起參加團隊
  • 開始或繼續聊天工作階段
  • 開始或繼續群組聊天
  • 邀請其他人加入會議
  • 共用螢幕
  • 撥打電話

實施監管控制

金融機構通常需要在組織內建立並維護監管功能,以監控員工的活動,並協助遵守適用的證券法。具體而言,FINRA 已建立下列監管要求:

  • FINRA 細則 3110 (監督) 要求公司具備書面監督程序 (WSP),以監督其員工的活動,以及參與的業務類型。除了其他需求以外,程序還必須包括:

    • 監察主管人員
    • 審查公司的投資銀行、證券業務、內部通訊和內部調查
    • 審查內線交易
    • 審查函件和投訴

    程序必須描述負責審查的個人、每位人員執行的監察活動、審查頻率,以及審查的文件或通訊類型。

  • FINRA 細則 3120 (監督控制系統) 要求公司必須具備監督控制原則和程序 (SCP) 系統,以驗證由細則 3110 定義的書面監督程序。 公司不僅需要具備 WSP,而且還必須具有每年對這些程序進行測試的原則,以驗證其確保遵守適用的證券法和法規。 可使用風險型方法論和採樣來定義測試範圍。 除其他要求外,此細則還要求公司向高級管理層提供年度報告,其中包括測試結果摘要,以及針對測試結果的任何重大異常或修正程序。

在螢幕上檢視圖表和表格的一名辦公室工作者,同時其他人在背景中開會。

通訊合規性

Microsoft 365 中的通訊合規性可讓組織預先設定原則,由授權主管擷取員工通訊以進行監控和審查。 通訊合規性原則可擷取內部/外部電子郵件和附件、Teams 聊天和頻道通訊,以及商務用 Skype Online 聊天通訊和附件。 此外,通訊合規性可以從協力廠商服務 (例如 Bloomberg、Thomson Reuters、LinkedIn、Twitter、Facebook、Box 和 Dropbox) 收取通訊和資料。 可以在組織內擷取並審查的通訊綜合性質,以及可以設定原則的廣泛條件,讓通訊合規性原則能協助金融機構遵守 FINRA 細則3110。 可以設定原則來審查個人或群組的通訊。 可以在個別或群組層級指派指定主管。 可以將綜合條件設為根據輸入或傳出郵件、網域、保留標籤、關鍵字或片語、關鍵字字典、敏感性資料類型、附件、郵件大小或附件大小來擷取通訊。 審查者能使用儀表板審查已標記的通訊、對可能違反原則的通訊採取動作,以及將已標記的項目標示為已解決。 審查者也可以檢閱審查結果和以前解決的項目。

通訊合規性提供報告,以根據原則和審查者稽核原則審查活動。 報告可用於驗證原則是否如組織書面監督原則所定義的方式運作。 報告也可以用來識別需要審查的通訊和不符合公司原則的通訊。 最後,與設定原則及審查通訊相關的所有活動都會在 Office 365 整合稽核記錄中審核。 因此,Microsoft 365 中的通訊合規性也可協助金融機構遵守 FINRA 細則 3120。

除了遵循 FINRA 細則,通訊合規性還能讓組織監視通訊,以遵循其他法律要求、公司原則和道德標準。 通訊合規性提供內建威脅、騷擾和粗話交叉分類器,可協助減少審查通訊時的誤報,並節省審查者調查及修正程序的時間。 通訊合規性也能讓組織在進行敏感性變更 (例如合併和收購或領導層變更) 時監視通訊,以降低風險。

專注在螢幕上的一名資訊工作者。

防範資料外流和測試人員風險

企業的常見威脅是資料外流或從組織擷取資料的行為。 由於可每天存取的資訊的敏感性,此風險對金融機構來說可能是重大問題。 隨著可用的通訊頻道數量和移動資料的工具激增,通常需要先進的功能來緩解資料洩漏、原則違規和測試人員風險。

測試人員風險管理

讓員工能夠隨時隨地存取線上共同作業工具為組織帶來風險。 員工可能會不慎或惡意地將資料洩漏給攻擊者或競爭者。 員工也可能外流資料以供個人使用,或將資料帶給未來雇主。 從安全性和合規性的角度來看,這些案例為金融服務機構帶來嚴重的風險。 若要識別並迅速緩解這些風險,就需要智慧型工具進行資料收集和跨部門共同作業,例如法務部、人力資源部和資訊安全部。

Microsoft 365 最近推出了測試人員風險管理解決方案,可將整個 Microsoft 365 服務中的信號相關聯,並使用機器學習模型來分析使用者的行為,以尋找隱藏的模式和測試人員風險。 此工具可協助安全性作業、內部調查人員和 HR 之間的共同作業,讓他們可以根據預先定義的工作流程輕鬆修正案例。

例如,Microsoft 365 中的測試人員風險管理可以將來自使用者 Windows 10 Desktop 的信號 (例如,將檔案複製到 USB 硬碟,或透過電子郵件傳送個人電子郵件帳戶) 和線上服務 (例如 Office 365 電子郵件、SharePoint Online、Microsoft Teams 或 OneDrive) 中的活動相關聯,以識別資料外流模式。 還可以將這些活動與離開組織的員工相關聯,這是一種常見的資料外流模式。 可監視多個活動和一段時間的行為。 常見模式出現時,便可發出警報,並協助調查人員專注於關鍵活動,以高信賴度驗證原則違規。 測試人員風險管理可以對調查人員的資料進行匿名處理,以協助符合資料隱私權法規,同時還可以進行一些關鍵活動,以協助有效有效執行調查。 這可讓研究人員按照一般向上呈報工作流程安全地將關鍵活動資料封裝並傳送到人力資源和法務部門,以執行修正動作。

Microsoft 365 中的測試人員風險管理大幅提升組織監視及調查測試人員風險的能力,同時讓組織仍符合資料隱私權法規,並在案件需要更高級別的動作時遵循已建立的向上呈報途徑。 如需 Microsoft 365 中的內部風險管理的詳細資訊,請參閱 Microsoft 365 的內部風險管理中的新式風險痛點和工作流程

隔間中的客服中心工作者一邊打字一邊看著螢幕。

租用戶限制

處理敏感性資料並嚴格強調安全性的組織通常希望控制使用者可存取的線上資源。 同時,這些組織希望透過 Office 365 等線上服務實現安全的共同作業。 因此,控制使用者可存取的 Office 365 環境成為一項挑戰,因為非公司的 Office 365 環境可用於惡意或不小心從公司裝置外流資料。 傳統上,組織會限制使用者可從公司裝置存取的網域或 IP 位址。 但這在使用者需要合法存取 Office 365 服務的雲端優先環境中不適用。

Microsoft 365 為租用戶提供解決此挑戰的限制功能。 租用戶限制可設定為使用 Rogue 身分識別 (不屬於貴公司目錄的身分識別) 來限制員工存取外部 Office 365 企業版租用戶。 目前租用戶限制適用於所有租用戶,只允許存取您設定的清單中顯示的租用戶。 Microsoft 正持續開發這項解決方案,以提高控制的細微性並增強其所提供的保護。

圖形。

總結

Microsoft 365 和 Teams 為金融服務公司提供整合且全面的解決方案,讓整個企業都能使用簡單卻功能強大的雲端共同作業與通訊功能。 透過使用 Microsoft 365 的安全性與合規性技術,機構可以透過強大的安全性控制以更安全且更符合法規的方式運作,以保護資料、身分識別、裝置和應用程式免受各種營運風險,包括網路安全和測試人員風險。 Microsoft 365 提供基礎安全的平台,金融服務組織可以在此平台上實現更多目標,同時保護公司、員工和客戶。