建立設計完善的資料分類架構
當您開發、revamp 或提煉您的資料分類架構時,請考慮下列前置做法:
在第1天中,您預計不會收到 0-100: Microsoft 建議使用編目前方法,以優先順序劃分組織的重要功能,並將其對應至時程表。 完成第一個步驟,確定成功,然後移至下一個階段,以套用經驗教訓。 請記住,當您設計資料分類架構時,您的組織可能仍然面臨風險,所以您可以只以少數分類層級開始,並視需要展開之後。
您不只是針對 cybersecurity 專業人員進行撰寫:資料分類架構適用于廣泛的物件,包括您的平均員工、法律和合規性小組,以及您的 IT 團隊。 請務必為您的資料分類層級編寫清楚明瞭的定義,盡可能提供真實的範例。 請嘗試避免行話,並考慮詞彙的縮寫和高技術字詞。 例如,使用「個人身分識別資訊」並提供定義,而不只是說「PII」。
應執行資料分類 架構:若要使資料分類框架成功,必須加以實施。 在起草每個資料分類層級的控制項需求時,尤其適用。 請確定已清晰定義需求,並確定其預期並解決執行期間可能發生的任何歧義。 例如,如果您有一個圍繞個人身分識別資訊的控制項,請務必確切拼寫該控制項的含義,例如社會保險或護照號碼。
只有在您需要時才會進行精細:資料分類框架通常會包含3-5 資料分類層級的任何地方。 不過,只要您 可以 包含五個層級,並不表示您 應該 這樣做。 決定所需的分類層級數目時,請考慮下列準則:
- 您的行業和您關聯的規章義務 (高管制的行業,都傾向于需要更多保密等級)
- 維護更複雜的框架所需的運作負荷
- 您的使用者及其符合其他分類層級相關聯的複雜性和細微性的能力
- 使用者經驗和協助工具,可在搜尋跨多種裝置類型的手動分類時使用
取得適當的人員:讓資深的利益相關者非常重要的是成功的專案,因為許多專案都不需要使用資深的管理支援。 資料分類框架通常是由資訊技術小組所擁有,但他們可能會有法律、法規遵從性、隱私權及變更管理的含義。 為了確保您建立的架構有助於保護您的業務,請務必加入隱私權和法律相關人員,例如您的主要隱私權監察官和您的原則開發中的一般顧問 Office。 如果您的組織有法規遵從性部門、資訊管理專業人員或記錄管理小組,也可能會有重要的輸入。 當您的架構向內推廣到公司時,您的通訊部門也會有一個重要角色,可供內部訊息和採用之用。
對照便利性權衡安全性:常見的錯誤是要草擬安全但限制性過於嚴格的資料分類架構。 此架構可能是設計為考慮安全性,但通常很難實際執行。 如果使用者需要追蹤複雜、嚴格且耗時的程式,以便在日常生活中套用架構,則總會有可能不再相信其價值的風險,最後會停止後續的程式。 組織的所有階層都有這項風險,包括組織內的高層級 (C 套件) 管理員。 合理的安全性和便於使用的工具的安全性比較合理,通常會導致更廣泛的使用者採用和使用。 如果您的架構中有間隙,請勿等到一切都開始實施。 請改為評估風險或缺口,建立要緩解的計畫,並繼續向前移動。 請記住,資訊保護是一項旅程,它不是整夜啟動的,而是一整夜就能完成。 規劃、執行某些功能、確認成功,並在工具演變時,依序迴圈執行下一個里程碑,而且使用者可獲得成熟度和經驗。
此外,請記住,資料分類架構只會解決組織應執行 哪些 動作來保護機密資料。 資料分類框架通常會附帶資料處理規則或指導方針,以定義 如何 將這些原則放在技術和技術的觀點。 在下列各節中,我們將針對如何將您的資料分類架構從原則檔帶到完全執行且可操作的計畫,變成一些切實可行的指導方針。
建立資料分類架構的痛點
資料分類的運作依本質上的整體,接觸整個企業中的任何商務功能。 由於這項廣泛的範圍,以及管理新式數位環境中的內容,因此,在瞭解開始的位置、如何管理成功的實施,以及如何衡量其進度方面,公司通常面臨挑戰。 常見的痛點通常包括:
- 設計可靠且易於理解的資料分類架構,包括決定分類層級和關聯的安全性控制。
- 開發執行計畫,以確認適當的技術解決方案、將計畫與現有的業務流程對齊,以及識別對工作力的影響。
- 在所選的技術解決方案內設定資料分類架構,並解決工具和架構本身的技術功能之間的任何差距。
- 建立控制結構,以監督資料分類的不斷進行維護和健康情況。
- 識別特定的關鍵效能指標 (KPIs) 監視及度量進度。
- 提高資料分類原則的認知度和瞭解程度,以及它們為何很重要,以及如何遵守這些原則。
- 遵守針對資料遺失和 cybersecurity 控制項的內部審核檢查。
- 訓練和吸引使用者,讓他們在日常工作中不需要正確分類,並套用正確的分類措施。
變更管理和訓練
目前的組織使用 Microsoft 365 之類的工具來執行其資料分類架構。 目的是嘗試自動化資料分類,而不會增加工作力的負擔。 此結構不表示您的組織沒有任何責任,可進一步瞭解管理內容及保護組織的需求,以避免此白皮書中所討論的風險。 前面的做法繼續是在組織中做為年度訓練排程的一部分意識訓練。 我們的經驗表明,將強大且全面的工作加入訓練您的使用者,這是執行這項工作的主要物件,增加其「購買」的工作量,並可提高採用和品質。 新增 標籤建議 和應用程式中的秘訣可以 amplify 這些工作。 這種訓練不需要是大量獨立的課程。 您的組織可能會將它納入其他一般訓練,如您的資訊安全性年度訓練,然後包含資料分類層級和定義的概述。 主要的一點是,您的員工也可以瞭解,即使該工具會自動化資料分類,也不會為了避免每個使用者對依照公司原則來保護資料的整體責任。
此外,您還應考慮對 IT 和資訊安全小組進行更深入的訓練,以加強運作準備。 管理工具和資料分類架構的團隊必須位於相同頁面上。 這種協調可能需要您以更強健的訓練排程來投資,但可能會比一年更常見。 更常見訓練的投資代表降低組織風險的另一種途徑。 此小組負責實施,因此如果未在工具和原則上進行訓練,就可能是失敗點。
如果您需要在工具中手動標記內容,請開發出適當的超級使用者群組。 這些超級使用者會涉嫌從事使用者以資料敏感度標籤手動標記檔的情況,以及對您組織的資料分類架構和規章要求具有深入瞭解。
最後,您的領導能力應優先考慮資訊安全性行為的 championing,以強化風險管理計劃的重要性。 這包括開發及實施強健的資料分類架構,以及指派重要的領導者,以推廣計畫,有時稱為變更的 ambassadors 或冠軍。
控管和維護
在您開發及實施資料分類架構之後,持續的控管和維護對於您的成功很重要。 除了追蹤在實踐中使用靈敏度標籤的方式之外,您還必須根據法規、cybersecurity 的主要作法和您管理的內容性質來更新您的控制需求。 管理與維護工作可能包括:
- 建立專門用於資料分類的控管,或將資料分類責任新增至現有資訊安全主體的宗旨。
- 定義使用者的角色和責任,以監督資料分類。
- 建立 KPIs 以監視及度量進度。
- 追蹤 cybersecurity 的主要做法和法規變更。
- 開發支援及強制執行資料分類架構的標準運作程式。
行業考慮
開發強大的資料分類架構基本原則是通用的,您的架構詳細資料將取決於您的行業性質,以及您的資料需求的獨特法規遵從性和安全性因素。
例如,金融服務公司可能需要視其運作範圍及其運作地區而定,考慮使用數種規章架構的規範。 美國的證券公司必須符合像是《 rule 17a-4-4 (f) 或 FINRA 規則 4511 的帳戶法規,以解決手冊和記錄的安全性和保留需求。 同樣地,在英國運作的公司必須考慮 FCA 合規性。
政府機構會面臨管理其資料的各種管理法規,這會因區域和其運作性質而異。 例如,在美國,政府機構和其可存取聯邦稅收資訊的代理商 (FTI) 會受限於 IRS 1075,其目的是為了將聯邦稅收資訊遺失、破壞或誤用的風險降至最低。
雖然金融服務公司和政府機構是世界上最受管制組織的組織,但大部分的企業都有需要考慮的行業特有考慮。 一些範例包括:
- 健康情況行業組織 ,以確保符合 HIPAA。
- 教育機構從 K-12 學校到大學,以管理 FERPA 合規性。
- 藥品製造商遵循在資訊安全方面的國家或地區內的 GxP 指導方針 。
- 處理 GDPR 合規性的媒體、零售業及其他許多公司。
- 與 CDSA打交道的娛樂、軟體和資訊內容的傳遞和儲存。
- 能源行業資訊安全性遵循 NERC CIP standard。
在 Microsoft 365 中執行您的資料分類架構
一旦您已開發資料分類架構,下一步是實施。 Microsoft 365 合規性中心可讓系統管理員根據資料分類架構來探索、分類、審閱及監視其資料。 敏感度標籤可用來保護您的資料,方法是強制執行各種保護,例如加密和內容標示。 可以手動套用至資料;根據預設,根據原則設定;或自動,成為已識別 PII 等狀況的結果。
針對規模較小的組織或組織,其資料分類架構比較簡單,針對每個資料分類層級建立單一敏感度標籤可能會足夠。 下列範例顯示敏感度標籤對應的一對一資料分類層級:
| 分類標籤 | 敏感度標籤 | 標籤設定 | 發佈至 |
|---|---|---|---|
| 無限制 | 無限制 | 套用「不受限制的」尾 | 所有使用者 |
| 一般 | 一般 | 套用「一般」尾 | 所有使用者 |
提示
在 Microsoft 內部資訊保護試驗中,瞭解和使用「個人」標籤有很困難。 使用者對此人員是否有其意義的困惑,或僅僅與個人事宜有關。 標籤已變更為「非商務」,以更清晰。 本範例顯示此分類不需要從開始的完美。 請從您想像的專案開始,並根據需要以意見來調整標籤。
針對具有全球範圍或更複雜資訊安全性需求的大型組織,您可能會發現原則中的分類層級數目與 Microsoft 365 環境中的靈敏度標籤數量是一項挑戰。 在全球組織中,如果指定的資料分類層級(例如「限制」)可能會有不同的定義或一組不同的控制項,視地區而定,這項挑戰尤其明顯。
如需有關執行的詳細資訊,請參閱 瞭解資料分類 及 瞭解敏感度標籤。