데이터 분류 프레임워크를 개발, 개편 또는 구체화할 때 다음 주요 사례를 고려합니다.
1일차에 0-100부터 시작하지 마세요. Microsoft는 크롤링 연습 접근 방식을 권장하며, organization 중요한 기능의 우선 순위를 지정하고 타임라인 매핑합니다. 첫 번째 단계를 완료하고 성공했는지 확인하고 학습된 단원을 적용하는 다음 단계로 이동합니다. 데이터 분류 프레임워크를 디자인하는 동안 organization 여전히 위험에 노출될 수 있으므로 몇 가지 분류 수준으로 소규모로 시작하고 필요에 따라 나중에 확장해도 됩니다.
사이버 보안 전문가를 위해 작성하는 것만이 아닙니다. 데이터 분류 프레임워크는 일반 직원, 법률 및 규정 준수 팀 및 IT 팀을 포함하여 광범위한 대상을 위한 것입니다. 데이터 분류 수준에 대한 명확하고 이해하기 쉬운 정의를 작성하여 가능한 경우 실제 예제를 제공합니다. 전문 용어를 피하고 약어와 기술적 용어를 설명하는 용어집을 제공하는 것을 고려해 보세요. 예를 들어 '개인 식별 정보'를 사용하고 단순히 'PII'를 말하는 대신 정의를 제공합니다.
데이터 분류 프레임워크는 구현되어야 합니다. 데이터 분류 프레임워크가 성공하려면 구현해야 합니다. 이 점은 각 데이터 분류 수준에 대한 제어 요구 사항을 작성할 때 특히 관련이 있습니다. 요구 사항이 명확하게 정의되고 구현 중에 발생할 수 있는 모호성을 예측하고 해결해야 합니다. 예를 들어 개인 식별 정보에 대한 컨트롤이 있는 경우 사회 보장 또는 여권 번호와 같이 해당 컨트롤의 의미를 정확하게 설명해야 합니다.
필요한 경우에만 세분화됩니다. 데이터 분류 프레임워크에는 일반적으로 3~5개의 데이터 분류 수준이 포함됩니다. 그러나 5개의 수준을 포함할 수 있다는 것이반드시 포함해야 한다는 의미는 아닙니다. 필요한 분류 수준 수를 결정할 때 다음 조건을 고려합니다.
- 업계 및 관련 규제 의무(고도로 규제된 산업은 더 많은 분류 수준이 필요한 경향이 있습니다).
- 더 복잡한 프레임워크를 유지하는 데 필요한 운영 오버헤드
- 사용자와 더 많은 분류 수준과 관련된 복잡성 및 뉘앙스를 준수하는 능력
- 여러 디바이스 유형에 수동 분류를 적용하려는 경우 사용자 환경 및 접근성
적절한 관계자 참여: 많은 프로젝트가 고위 경영진의 지원 없이 시작하거나 더 오래 걸리는 데 어려움을 겪기 때문에 고위 이해 관계자를 갖는 것은 성공에 매우 중요합니다. 정보 기술 팀은 일반적으로 데이터 분류 프레임워크를 소유하지만 이러한 프레임워크는 법적, 규정 준수, 개인 정보 보호 및 변경 관리 영향을 미칠 수 있습니다. 비즈니스를 보호하는 데 도움이 되는 프레임워크를 만들려면 정책 개발에 최고 개인 정보 보호 책임자 및 법률 고문실과 같은 개인 정보 보호 및 법적 이해 관계자를 포함합니다. organization 규정 준수 부서, 정보 거버넌스 전문가 또는 레코드 관리 팀이 있는 경우 중요한 입력이 있을 수도 있습니다. 프레임워크가 비즈니스에 출시됨에 따라 커뮤니케이션 부서도 내부 메시징 및 채택에 중요한 역할을 합니다.
편의와 보안 균형 조정: 일반적인 실수는 안전하고 지나치게 제한적인 데이터 분류 프레임워크를 작성하는 것입니다. 이 프레임워크는 보안을 염두에 두고 설계될 수 있지만 실제로 구현하기가 어려운 경우가 많습니다. 사용자가 일상 생활에서 프레임워크를 적용하기 위해 복잡하고 엄격하며 시간이 많이 걸리는 절차를 따라야 하는 경우 더 이상 그 가치를 믿지 않으므로 절차를 따르지 않을 위험이 항상 있습니다. 이 위험은 조직 내의 경영진 수준(최고 경영진) 관리자를 포함하여 조직의 모든 수준에서 존재합니다. 사용하기 쉬운 도구를 비롯한 편리성과 보안 간의 균형이 잘 유지되면 일반적으로 더 광범위한 사용자 채택 및 사용이 구현됩니다. 프레임워크에 격차가 있다고 해도 모든 것이 구현을 시작하기에 완벽할 때까지 기다리지 마세요. 대신 위험 또는 격차를 평가하고, 완화할 계획을 수립하고, 계속 진행합니다. 정보 보호는 여정이며 하룻밤 사이에 활성화된 다음 수행되는 것이 아닙니다. 도구의 발전과 더불어 몇 가지 기능을 계획 및 구현하고 성공을 확인하고 다음 마일스톤을 반복하면서 사용자는 완성도와 경험을 쌓게 됩니다.
또한 데이터 분류 프레임워크는 organization 중요한 데이터를 보호하기 위해 수행해야 하는 작업만 다룹니다. 데이터 분류 프레임워크에는 기술 및 기술 관점에서 이러한 정책을 적용하는 방법을 정의하는 데이터 처리 규칙 또는 지침이 수반되는 경우가 많습니다. 다음 섹션에서는 데이터 분류 프레임워크를 정책 문서에서 완전히 구현되고 실행 가능한 이니셔티브로 전환하는 방법에 대한 몇 가지 실용적인 지침을 설명합니다.
데이터 분류 프레임워크 만들기의 문제점
데이터 분류 작업은 엔터프라이즈 내의 거의 모든 비즈니스 기능에 도움이 됩니다. 이러한 광범위한 scope 최신 디지털 환경에서 콘텐츠를 관리하는 복잡성으로 인해 기업은 시작 위치, 성공적인 구현 관리 방법 및 진행 상황을 측정하는 방법을 아는 데 어려움을 겪는 경우가 많습니다. 일반적인 문제점은 수시로 포함합니다:
- 분류 수준 및 관련 보안 제어를 결정하는 것을 포함하여 강력하고 이해하기 쉬운 데이터 분류 프레임워크를 설계합니다.
- 적절한 기술 솔루션 확인, 기존 비즈니스 프로세스에 계획 조정, 인력에 미치는 영향 식별을 포함하는 구현 계획 개발
- 선택한 기술 솔루션 내에서 데이터 분류 프레임워크를 설정하고 도구의 기술 기능과 프레임워크 자체 간의 격차를 해결합니다.
- 데이터 분류 작업의 지속적인 유지 관리 및 상태를 감독하는 거버넌스 구조를 설정합니다.
- 진행 상황을 모니터링하고 측정하기 위한 특정 KPI(핵심 성과 지표)를 식별합니다.
- 데이터 분류 정책에 대한 인식과 이해를 높이고, 중요한 이유와 이를 준수하는 방법을 알아보세요.
- 데이터 손실 및 사이버 보안 제어를 대상으로 하는 내부 감사 검토를 준수합니다.
- 일상적인 업무에서 올바른 분류의 필요성을 염두에 두고 올바른 분류 조치를 적용할 수 있도록 사용자를 교육하고 참여합니다.
변경 관리 및 교육
오늘날 조직은 Microsoft 365와 같은 도구를 사용하여 데이터 분류 프레임워크를 구현합니다. 목적은 데이터의 분류를 자동화하고 인력에 대한 부담을 증가시키지 않으려고 노력하는 것입니다. 이 구조는 organization 콘텐츠를 관리하고 이 문서에서 설명하는 위험으로부터 organization 보호해야 하는 필요성에 대한 인식을 높일 책임이 없음을 의미하지는 않습니다. 주요 사례는 연례 교육 일정의 일환으로 organization 전반에 걸쳐 인식 교육을 수행하는 것입니다. 우리의 경험에 따르면 이 작업을 수행하는 주요 대상 그룹인 사용자를 교육하는 데 강력하고 포괄적인 노력을 기울이면 '구매'가 증가하고 채택과 품질을 높일 수 있습니다. 레이블 권장 사항 및 앱 내 팁을 추가하면 이러한 노력이 증폭됩니다. 이 교육은 광범위한 독립 실행형 과정일 필요는 없습니다. organization 정보 보안 연간 교육과 같은 다른 정기적인 학습에 통합한 다음 데이터 분류 수준 및 정의에 대한 개요를 포함할 수 있습니다. 요점은 도구가 데이터 분류를 자동화하더라도 회사 정책에 따라 데이터를 보호하는 각 사용자의 전반적인 책임을 제거하지 않는다는 것을 인력이 이해한다는 것입니다.
또한 운영 준비를 강화하기 위해 IT 및 정보 보안 팀에 대한 보다 심층적인 교육을 고려해야 합니다. 도구 및 데이터 분류 프레임워크를 관리하는 팀은 동일한 페이지에 있어야 합니다. 이러한 조정을 위해서는 매년보다 더 자주 발생할 수 있는 보다 강력한 교육 일정에 투자해야 할 수 있습니다. 더 빈번한 교육에 대한 투자는 organization 위험을 줄이는 또 다른 길을 나타냅니다. 이 팀은 구현을 담당하므로 도구 및 정책에 대해 학습하지 않으면 실패 지점이 될 수 있습니다.
도구의 콘텐츠에 수동으로 태그를 지정해야 하는 경우 고급 교육을 받는 슈퍼 사용자 그룹을 개발하는 것이 적절합니다. 이러한 슈퍼 사용자는 사용자가 데이터 민감도 레이블을 사용하여 문서에 수동으로 태그를 지정하고 organization 데이터 분류 프레임워크 및 규정 요구 사항을 깊이 이해해야 하는 상황에 참여합니다.
마지막으로, 리더십은 정보 보안 행동 옹호의 우선 순위를 지정하여 인력에게 위험 관리 이니셔티브의 중요성을 강화해야 합니다. 이러한 동작에는 강력한 데이터 분류 프레임워크를 개발 및 구현하고 주요 리더를 할당하여 이니셔티브를 홍보하는 것이 포함되며, 이를 변화의 홍보대사 또는 챔피언이라고도 합니다.
거버넌스 및 유지 관리
데이터 분류 프레임워크를 개발하고 구현한 후에는 지속적인 거버넌스 및 유지 관리가 성공에 매우 중요합니다. 민감도 레이블이 실제로 사용되는 방식을 추적하는 것 외에도 규정 변경, 사이버 보안 선행 사례 및 관리하는 콘텐츠의 특성에 따라 제어 요구 사항을 업데이트해야 합니다. 거버넌스 및 유지 관리 노력에는 다음이 포함될 수 있습니다.
- 데이터 분류 전용 거버넌스 기관을 설정하거나 기존 정보 보안 기관의 헌장에 데이터 분류 책임을 추가합니다.
- 데이터 분류를 감독하는 사용자의 역할 및 책임 정의
- 진행률을 모니터링하고 측정하기 위한 KPI 설정
- 사이버 보안 선행 사례 및 규정 변경 내용 추적
- 데이터 분류 프레임워크를 지원하고 적용하는 표준 운영 절차 개발
업계 고려 사항
강력한 데이터 분류 프레임워크를 개발하기 위한 기본 원칙은 보편적이지만 프레임워크의 세부 정보는 산업의 특성과 데이터에 요구되는 고유한 규정 준수 및 보안 요인에 따라 달라집니다.
예를 들어 금융 서비스 회사는 비즈니스의 scope 운영 지역에 따라 여러 규제 프레임워크를 준수하는 것을 고려해야 할 수 있습니다. 미국 증권 회사는 SEC 규칙 17a-4(f) 또는 FINRA 규칙 4511과 같은 계정 규정을 준수하여 서적 및 레코드의 보안 및 보존에 대한 요구 사항을 해결해야 합니다. 마찬가지로 영국에서 운영되는 기업은 FCA 규정 준수를 고려해야 합니다.
정부 기관은 자신의 데이터를 관리하는 다양한 규정에 직면, 이는 영토와 작업의 성격에 따라 달라집니다. 미국 instance 정부 기관 및 연방 세금 정보(FTI)에 액세스하는 해당 대리인은 연방 세금 정보의 손실, 위반 또는 오용 위험을 최소화하는 것을 목표로 하는 IRS 1075의 적용을 받습니다.
금융 서비스 회사와 정부 기관은 세계에서 가장 규제가 심한 조직 중 하나이지만 대부분의 기업은 고려해야 할 업계별 고려 사항을 가지고 있습니다. 예를 들면 다음과 같습니다.
- HIPAA 준수를 보장하는 의료 산업 조직.
- 교육 기관, K-12 학교에서 대학에 이르기까지 FERPA 규정 준수를 관리합니다.
- 정보 보안과 관련하여 해당 국가 또는 지역에서 GxP 지침을 준수하기 위해 작업하는 의약품 제조업체.
- 미디어, 소매 및 GDPR 규정 준수를 다루는 다른 많은 회사.
- CDSA를 다루는 엔터테인먼트, 소프트웨어 및 정보 콘텐츠의 배달 및 저장.
- NERC CIP 표준을 준수하는 에너지 산업 정보 보안.
Microsoft 365에서 데이터 분류 프레임워크 구현
데이터 분류 프레임워크를 개발한 후 구현합니다. Microsoft Purview 포털을 사용하면 관리자가 데이터 분류 프레임워크에 따라 데이터를 검색, 분류, 검토 및 모니터링할 수 있습니다. 민감도 레이블을 사용하여 암호화 및 콘텐츠 표시와 같은 보호를 적용하여 데이터를 보호합니다. 기본적으로 정책 설정에 따라 또는 식별된 PII와 같은 조건이 충족될 때 자동으로 데이터에 민감도 레이블을 적용할 수 있습니다.
간소화된 데이터 분류 프레임워크를 사용하는 소규모 조직 또는 조직의 경우 각 데이터 분류 수준에 대해 단일 민감도 레이블을 만드는 것으로 충분할 수 있습니다. 다음 예제에서는 민감도 레이블 매핑에 대한 일대일 데이터 분류 수준을 보여줍니다.
| 분류 레이블 | 민감도 레이블 | 레이블 설정 | 다음에 게시됨 |
|---|---|---|---|
| 제한 없음 | 제한 없음 | ‘제한 없음’ 바닥글 적용 | 모든 사용자 |
| 일반 | 일반 | ‘일반’ 바닥글 적용 | 모든 사용자 |
팁
Microsoft 내부 정보 보호 파일럿 중에 사용자는 '개인' 레이블을 이해하고 사용하는 데 어려움을 겪었습니다. 그들은이 레이블이 PII 또는 개인 문제에 언급 여부에 대해 혼란스러워했다. 레이블을 더 명확하게 하려면 레이블을 '비기업'으로 변경합니다. 이 예제는 처음부터 분류가 완벽할 필요가 없다는 것을 보여줍니다. 옳다고 생각하는 것부터 시작하고, 파일럿하고, 필요한 경우 피드백에 따라 레이블을 조정합니다.
전 세계에 도달하거나 더 복잡한 정보 보안 요구 사항이 있는 대규모 조직의 경우 정책의 분류 수준 수와 Microsoft 365 환경의 민감도 레이블 수 간에 이 일대일 관계가 어려울 수 있습니다. 이 문제는 특히 'Restricted'와 같은 지정된 데이터 분류 수준이 지역에 따라 다른 정의 또는 다른 컨트롤 집합을 가질 수 있는 글로벌 조직에서 특히 그렇습니다.
구현에 대한 자세한 내용은 데이터 분류 이해 및 민감도 레이블에 대한 자세한 정보를 참조하세요.