Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Berücksichtigen Sie bei der Entwicklung, Überarbeitung oder Verfeinerung Ihres Datenklassifizierungsframeworks die folgenden führenden Methoden:
Gehen Sie nicht von 0 bis 100 am 1. Tag aus: Microsoft empfiehlt einen Durchforstungs-Run-Ansatz, bei dem wichtige Features für die organization priorisiert und sie einem Zeitleiste zugeordnet werden. Führen Sie den ersten Schritt aus, stellen Sie sicher, dass er erfolgreich war, und fahren Sie dann mit der nächsten Phase fort, indem Sie die gewonnenen Erkenntnisse anwenden. Denken Sie daran, dass Ihre organization beim Entwerfen Ihres Datenklassifizierungsframeworks immer noch Einem Risiko ausgesetzt sein kann, sodass es in Ordnung ist, mit nur wenigen Klassifizierungsebenen klein zu beginnen und später bei Bedarf zu erweitern.
Sie schreiben nicht nur für Cybersicherheitsexperten: Datenklassifizierungsframeworks sind für eine breite Zielgruppe gedacht, einschließlich Ihres durchschnittlichen Mitarbeiters, Ihrer Rechts- und Complianceteams und Ihres IT-Teams. Schreiben Sie klare, leicht verständliche Definitionen für Ihre Datenklassifizierungsebenen, und stellen Sie nach Möglichkeit beispiele aus der Praxis bereit. Versuchen Sie, Fachjargon zu vermeiden, und ziehen Sie ein Glossar für Akronyme und hochtechnische Begriffe in Betracht. Verwenden Sie beispielsweise "Personenbezogene Informationen", und geben Sie eine Definition an, anstatt einfach "PII" zu sagen.
Datenklassifizierungsframeworks sollen implementiert werden: Damit Datenklassifizierungsframeworks erfolgreich sind, müssen sie implementiert werden. Dieser Punkt ist besonders relevant, wenn die Steuerungsanforderungen für die einzelnen Datenklassifizierungsstufen erstellt werden. Stellen Sie sicher, dass die Anforderungen klar definiert sind und dass sie alle Mehrdeutigkeiten antizipieren und beheben, die während der Implementierung auftreten können. Wenn Sie beispielsweise über eine Kontrolle über personenbezogene Informationen verfügen, müssen Sie genau festlegen, was diese Kontrolle bedeutet, z. B. sozialversicherungs- oder Reisepassnummer.
Gehen Sie nur bei Bedarf präzise vor: Datenklassifizierungsframeworks enthalten in der Regel zwischen drei und fünf Datenklassifizierungsebenen. Aber nur weil man fünf Ebenen einbeziehen kann, heißt das nicht, dass man das auch sollte. Berücksichtigen Sie die folgenden Kriterien bei der Entscheidung über die Anzahl der benötigten Klassifizierungsstufen:
- Ihre Branche und Ihre damit verbundenen regulatorischen Verpflichtungen (stark regulierte Branchen benötigen in der Regel mehr Klassifizierungsstufen)
- Der betriebsbezogene Mehraufwand, der für die Verwaltung eines komplexeren Frameworks erforderlich ist
- Ihre Benutzer und ihre Fähigkeit, die erhöhte Komplexität und Nuance zu erfüllen, die mit mehr Klassifizierungsstufen verbunden ist
- Benutzerfreundlichkeit und Barrierefreiheit beim Anwenden der manuellen Klassifizierung auf mehrere Gerätetypen
Bringen Sie die richtigen Personen ins Spiel: Einen leitenden Stakeholder zu haben, ist entscheidend für den Erfolg, da viele Projekte schwierigkeiten haben, ohne unterstützung der Geschäftsleitung zu beginnen oder länger zu dauern. It-Teams besitzen in der Regel Datenklassifizierungsframeworks, aber diese Frameworks können Auswirkungen auf Rechtliches, Compliance, Datenschutz und Change Management haben. Um sicherzustellen, dass Sie ein Framework erstellen, das zum Schutz Ihres Unternehmens beiträgt, beziehen Sie Datenschutz- und rechtliche Akteure wie Ihren Chief Privacy Officer und das Office of General Counsel bei der Entwicklung Ihrer Richtlinie mit ein. Wenn Ihr organization über eine Complianceabteilung, Informationsgovernanceexperten oder ein Datensatzverwaltungsteam verfügt, verfügen diese möglicherweise auch über wertvolle Eingaben. Wenn Ihr Framework für das Unternehmen eingeführt wird, spielt Ihre Kommunikationsabteilung auch eine wichtige Rolle für interne Nachrichten und die Einführung.
Abwägen von Sicherheit und Komfort: Ein häufiger Fehler besteht darin, ein sicheres, aber zu restriktives Datenklassifizierungsframework zu entwerfen. Dieses Framework kann unter Berücksichtigung der Sicherheit entworfen werden, ist aber in der Praxis oft schwer zu implementieren. Wenn Benutzer komplexe, starre und zeitaufwändige Verfahren befolgen müssen, um das Framework in ihrem täglichen Leben anzuwenden, besteht immer das Risiko, dass sie nicht mehr den Verfahren folgen, weil sie nicht mehr an dessen Wert glauben. Dieses Risiko besteht auf allen Ebenen des Unternehmens, einschließlich der Führungsebene (C-Suite) innerhalb des Unternehmens. Ein ausgewogenes Verhältnis zwischen Sicherheit und Bequemlichkeit in Verbindung mit benutzerfreundlichen Werkzeugen führt in der Regel zu einer größeren Akzeptanz und Nutzung durch die Benutzer. Wenn Ihr Rahmenwerk noch Lücken aufweist, sollten Sie nicht warten, bis alles perfekt ist, um mit der Umsetzung zu beginnen. Bewerten Sie stattdessen das Risiko oder die Lücke, erstellen Sie einen Plan zur Entschärfung, und fahren Sie fort. Denken Sie daran, dass Informationsschutz eine Reise ist, nicht etwas, das über Nacht aktiviert und dann erledigt wird. Planen Sie, implementieren Sie einige Funktionen, bestätigen Sie den Erfolg und gehen Sie zum nächsten Meilenstein über, wenn sich die Tools weiterentwickeln und die Benutzer an Reife und Erfahrung gewinnen.
Denken Sie auch daran, dass ein Datenklassifizierungsframework nur das behandelt, was Ihre organization zum Schutz vertraulicher Daten tun sollten. Datenklassifizierungsframeworks werden häufig von Datenverarbeitungsregeln oder Richtlinien begleitet, die definieren, wie diese Richtlinien aus technischer und technologischer Sicht umgesetzt werden. In den folgenden Abschnitten finden Sie einige praktische Anleitungen dazu, wie Sie Ihr Datenklassifizierungsframework von einem Richtliniendokument zu einer vollständig implementierten und umsetzbaren Initiative machen können.
Problematische Punkte bei der Erstellung eines Rahmens für die Datenklassifizierung
Die Datenklassifizierung betrifft nahezu jede Geschäftsfunktion in einem Unternehmen. Aufgrund dieses breiten Umfangs und der Komplexität der Verwaltung von Inhalten in modernen digitalen Umgebungen stehen Unternehmen häufig vor Herausforderungen, zu wissen, wo sie anfangen, wie sie eine erfolgreiche Implementierung verwalten und wie sie ihren Fortschritt messen können. Häufige Problempunkte sind häufig:
- Entwerfen eines robusten und leicht verständlichen Datenklassifizierungsframeworks, einschließlich der Bestimmung von Klassifizierungsebenen und zugehörigen Sicherheitskontrollen.
- Entwicklung eines Implementierungsplans, der die Bestätigung der geeigneten Technologielösung, die Ausrichtung des Plans an bestehende Geschäftsprozesse und das Identifizieren der Auswirkungen auf die Mitarbeiter umfasst.
- Einrichten eines Datenklassifizierungsframeworks innerhalb der ausgewählten Technologielösung und Beheben von Lücken zwischen den technologietechnischen Funktionen des Tools und dem Framework selbst.
- Einrichten einer Governancestruktur, die die laufende Wartung und Integrität der Datenklassifizierungsbemühungen überwacht.
- Identifizieren bestimmter Key Performance Indicators (KPIs) zum Überwachen und Messen des Fortschritts.
- Verbesserung des Bewusstseins und des Verständnisses von Datenklassifizierungsrichtlinien, warum sie wichtig sind und wie sie eingehalten werden sollen.
- Einhaltung interner Überprüfungen, die auf Datenverluste und Cybersicherheitskontrollen abzielen.
- Schulung und Einbindung von Benutzern, damit sie die Notwendigkeit einer korrekten Klassifizierung in ihrer täglichen Arbeit berücksichtigen und die richtigen Klassifizierungsmaßnahmen anwenden.
Change Management und Schulungen
Organisationen verwenden heute Tools wie Microsoft 365, um ihr Datenklassifizierungsframework zu implementieren. Der Zweck besteht darin, zu versuchen, die Klassifizierung von Daten zu automatisieren und nicht die Belastung Ihrer Mitarbeiter zu erhöhen. Diese Struktur bedeutet nicht, dass Ihre organization nicht dafür verantwortlich ist, das Bewusstsein für die Notwendigkeit zu erhöhen, Inhalte zu verwalten und die organization vor den in diesem Dokument erläuterten Risiken zu schützen. Die führende Praxis besteht weiterhin in der Durchführung von Bewusstseinsschulungen über die organization im Rahmen des jährlichen Schulungsplans. Unsere Erfahrung zeigt, dass der Einsatz robuster und umfassender Anstrengungen für die Schulung Ihrer Benutzer, die die wichtigste Zielgruppe sind, die diese Arbeit ausführt, deren "Buy-in" erhöht und die Akzeptanz und Qualität steigern kann. Das Hinzufügen von Bezeichnungsempfehlungen und In-App-Tipps kann diese Bemühungen verstärken. Diese Schulung muss kein umfassender eigenständiger Kurs sein. Ihr organization kann es in andere regelmäßige Schulungen wie Ihre jährliche Informationssicherheitsschulung integrieren und dann eine Übersicht über Datenklassifizierungsstufen und -definitionen enthalten. Der Hauptpunkt ist, dass Ihre Mitarbeiter verstehen, dass, obwohl das Tool die Klassifizierung von Daten automatisiert, die allgemeine Verantwortung jedes Benutzers für den Schutz der Daten gemäß Ihrer Unternehmensrichtlinie nicht beseitigt.
Darüber hinaus sollten Sie ausführlichere Schulungen für IT- und Informationssicherheitsteams in Betracht ziehen, um die Betriebsbereitschaft zu verbessern. Die Teams, die das Tool und das Datenklassifizierungsframework verwalten, müssen sich auf derselben Seite befinden. Diese Koordination erfordert möglicherweise, dass Sie in einen robusteren Schulungsplan investieren, der häufiger als jährlich durchgeführt werden kann. Die Investition in häufigere Schulungen stellt eine weitere Möglichkeit dar, das Risiko für Ihre organization zu reduzieren. Dieses Team ist für die Implementierung verantwortlich und kann daher ein Fehlerpunkt sein, wenn es nicht mit dem Tool und der Richtlinie trainiert wird.
Wenn Sie Inhalte im Tool manuell markieren müssen, empfiehlt es sich, eine Gruppe von Superbenutzern zu entwickeln, die erweiterte Schulungen erhalten. Diese Superuser sind in Situationen aktiv, in denen Benutzer Dokumente manuell mit Vertraulichkeitsbezeichnungen für Daten markieren müssen und ein tiefes Verständnis des Datenklassifizierungsframeworks und der gesetzlichen Anforderungen Ihres organization haben müssen.
Schließlich sollte Ihre Führung die Förderung von Informationssicherheitsverhalten priorisieren, um den Mitarbeitern die Bedeutung von Risikomanagementinitiativen zu stärken. Zu diesen Verhaltensweisen gehören die Entwicklung und Implementierung eines robusten Datenklassifizierungsframeworks und die Zuweisung wichtiger Führungskräfte zur Förderung der Initiative, die manchmal als Botschafter oder Vorkämpfer der Änderung bezeichnet werden.
Verwaltung und Wartung
Nachdem Sie Ihr Datenklassifizierungsframework entwickelt und implementiert haben, sind fortlaufende Governance und Wartung entscheidend für Ihren Erfolg. Zusätzlich zur Nachverfolgung, wie Vertraulichkeitsbezeichnungen in der Praxis verwendet werden, müssen Sie Ihre Kontrollanforderungen basierend auf Änderungen an Vorschriften, führenden Cybersicherheitspraktiken und der Art der von Ihnen verwalteten Inhalte aktualisieren. Governance- und Wartungsbemühungen können Folgendes umfassen:
- Einrichtung eines Leitungsgremiums, das sich mit der Datenklassifizierung befasst, oder Aufnahme der Zuständigkeit für die Datenklassifizierung in die Charta eines bestehenden Informationssicherheitsgremiums.
- Festlegung von Rollen und Verantwortlichkeiten für Benutzer, die die Datenklassifizierung überwachen.
- Festlegung von KPIs zur Überwachung und Messung der Fortschritte.
- Verfolgung führender Praktiken im Bereich der Cybersicherheit und Änderungen der Rechtsvorschriften.
- Entwickeln von Standardbetriebsverfahren, die ein Datenklassifizierungsframework unterstützen und erzwingen.
Branchenüberlegungen
Während die Grundprinzipien für die Entwicklung eines starken Datenklassifizierungsframeworks universell sind, hängen die Details Ihres Frameworks von der Art Ihrer Branche und den einzigartigen Compliance- und Sicherheitsfaktoren ab, die Ihre Daten benötigen.
Finanzdienstleistungsunternehmen müssen z. B. die Einhaltung mehrerer gesetzlicher Rahmenbedingungen in Abhängigkeit vom Umfang ihres Geschäfts und den Regionen, in denen sie tätig sind, in Betracht ziehen. Wertpapierfirmen im USA müssen den Kontovorschriften wie SEC-Regel 17a-4(f) oder FINRA-Regel 4511 entsprechen, die Anforderungen in Bezug auf die Sicherheit und Aufbewahrung von Büchern und Aufzeichnungen erfüllen. Ebenso müssen unternehmen, die im Vereinigten Königreich tätig sind, die FCA-Konformität berücksichtigen.
Regierungsbehörden gelten verschiedenen Vorschriften für ihre Daten, die je nach Gebiet und Art ihrer Arbeit variieren. Im USA unterliegen Regierungsbehörden und deren Agenten, die auf Bundessteuerinformationen (Federal Tax Information, FTI) zugreifen, für instance dem IRS 1075, das darauf abzielt, das Risiko von Verlust, Verletzung oder Missbrauch von Steuerinformationen des Bundes zu minimieren.
Während Finanzdienstleistungsunternehmen und Regierungsbehörden zu den am stärksten regulierten Organisationen der Welt gehören, haben die meisten Unternehmen branchenspezifische Überlegungen, die Sie berücksichtigen müssen. Beispiele:
- Organisationen der Gesundheitsbranche , die die Einhaltung von HIPAA sicherstellen.
- Bildungseinrichtungen, von K-12-Schulen bis zu Universitäten, verwalten FERPA-Compliance.
- Arzneimittelhersteller, die daran arbeiten, die GxP-Richtlinien in ihrem Land oder ihrer Region rund um die Informationssicherheit einzuhalten.
- Medien, Einzelhandel und viele andere Unternehmen, die sich mit der Einhaltung der DSGVO beschäftigen.
- Lieferung und Speicherung von Unterhaltungs-, Software- und Informationsinhalten im Zusammenhang mit CDSA.
- Informationssicherheit in der Energiebranche, die dem NERC CIP-Standard entspricht.
Implementieren Ihres Datenklassifizierungsframeworks in Microsoft 365
Nachdem Sie Ihr Datenklassifizierungsframework entwickelt haben, implementieren Sie es. Mit dem Microsoft Purview-Portal können Administratoren ihre Daten gemäß ihrem Datenklassifizierungsframework ermitteln, klassifizieren, überprüfen und überwachen. Verwenden Sie Vertraulichkeitsbezeichnungen, um Ihre Daten zu schützen, indem Sie Schutzmechanismen wie Verschlüsselung und Inhaltskennzeichnung erzwingen. Sie können Vertraulichkeitsbezeichnungen auf Daten manuell anwenden, standardmäßig basierend auf Richtlinieneinstellungen oder automatisch, wenn eine Bedingung wie identifizierte personenbezogene Informationen erfüllt ist.
Für kleinere Organisationen oder Organisationen mit einem optimierten Datenklassifizierungsframework kann das Erstellen einer einzelnen Vertraulichkeitsbezeichnung für jede Datenklassifizierungsstufe ausreichen. Das folgende Beispiel zeigt eine 1:1-Datenklassifizierungsebene zur Zuordnung von Vertraulichkeitsbezeichnungen:
| Klassifizierungsbezeichnung | Vertraulichkeitsbezeichnung | Bezeichnungseinstellungen | Veröffentlicht in |
|---|---|---|---|
| Uneingeschränkt | Uneingeschränkt | Anwenden der Fußzeile "Uneingeschränkt" | Alle Benutzer |
| Allgemein | Allgemein | Anwenden der Fußzeile "Allgemein" | Alle Benutzer |
Tipp
Während eines Internen Microsoft Information Protection-Pilotprojekts hatten Benutzer Schwierigkeiten, die Bezeichnung "Persönlich" zu verstehen und zu verwenden. Sie waren verwirrt darüber, ob sich diese Bezeichnung auf personenbezogene Informationen oder eine persönliche Angelegenheit bezieht. Um die Bezeichnung deutlicher zu machen, ändern Sie sie in "nicht geschäftlich". Dieses Beispiel zeigt, dass die Taxonomie nicht von Anfang an perfekt sein muss. Beginnen Sie mit dem, was Sie für richtig halten, pilotieren Sie es, und passen Sie die Bezeichnung bei Bedarf basierend auf Feedback an.
Für größere Organisationen mit einer globalen Reichweite oder komplexeren Informationssicherheitsanforderungen kann diese 1:1-Beziehung zwischen der Anzahl der Klassifizierungsstufen in Ihrer Richtlinie und der Anzahl der Vertraulichkeitsbezeichnungen in Ihrer Microsoft 365-Umgebung eine Herausforderung darstellen. Diese Herausforderung gilt insbesondere für globale Organisationen, in denen eine bestimmte Datenklassifizierungsebene wie "Restricted" je nach Region eine andere Definition oder einen anderen Satz von Steuerelementen aufweisen kann.
Weitere Informationen zur Implementierung finden Sie unter Grundlegendes zur Datenklassifizierung und Informationen zu Vertraulichkeitsbezeichnungen.