หมายเหตุ
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลอง ลงชื่อเข้าใช้หรือเปลี่ยนไดเรกทอรีได้
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลองเปลี่ยนไดเรกทอรีได้
ใช้กับคำแนะนำรายการตรวจสอบความปลอดภัยที่ได้รับการออกแบบอย่างดี: Power Platform
| SE:01 | สร้างพื้นฐานการรักษาความปลอดภัยที่สอดคล้องกับข้อกำหนดการปฏิบัติตาม มาตรฐานอุตสาหกรรม และคำแนะนำแพลตฟอร์ม วัดสถาปัตยกรรมของปริมาณงานและการดำเนินงานของคุณเป็นประจำโดยเทียบกับพื้นฐานเป็นประจำเพื่อรักษาหรือปรับปรุงมาตรการรักษาความปลอดภัยของคุณเมื่อเวลาผ่านไป |
|---|
คู่มือนี้จะอธิบายคำแนะนำในการสร้างพื้นฐานการรักษาความปลอดภัยสำหรับการพัฒนาปริมาณงานด้วย Microsoft Power Platform พื้นฐานการรักษาความปลอดภัยคือชุดของมาตรฐานการรักษาความปลอดภัยขั้นต่ำและแนวปฏิบัติที่ดีที่สุดที่องค์กรนำไปใช้กับระบบไอทีและบริการด้านไอที พื้นฐานการรักษาความปลอดภัยช่วยลดความเสี่ยงของการโจมตีทางไซเบอร์ การละเมิดข้อมูล และการเข้าถึงที่ไม่ได้รับอนุญาต พื้นฐานการรักษาความปลอดภัยยังช่วยรับประกันความสม่ำเสมอ ความรับผิดชอบ และการตรวจสอบทั่วทั้งองค์กร
พื้นฐานการรักษาความปลอดภัยที่ดีจะช่วยคุณ:
- ลดความเสี่ยงของการโจมตีทางไซเบอร์ การละเมิดข้อมูล และการเข้าถึงที่ไม่ได้รับอนุญาต
- รับประกันความสม่ำเสมอ ความรับผิดชอบ และการตรวจสอบทั่วทั้งองค์กร
- ทำให้ข้อมูลและระบบของคุณปลอดภัย
- ปฏิบัติตามข้อกำหนดด้านกฎระเบียบ
- ลดความเสี่ยงของการกำกับดูแลให้เหลือน้อยที่สุด
พื้นฐานการรักษาความปลอดภัยควรได้รับการเผยแพร่อย่างกว้างขวางทั่วทั้งองค์กรของคุณ เพื่อให้ผู้เกี่ยวข้องทั้งหมดตระหนักถึงความคาดหวัง
การสร้างพื้นฐานการรักษาความปลอดภัยสำหรับ Microsoft Power Platform เกี่ยวข้องกับหลายขั้นตอนและการพิจารณา เช่น
ทำความเข้าใจเกี่ยวกับสถาปัตยกรรมและส่วนประกอบของ Power Platform เช่น สภาพแวดล้อม ตัวเชื่อมต่อ Dataverse, Power Apps, Power Automate และ Copilot Studio
การกําหนดค่าการตั้งค่าความปลอดภัยและบทบาทสําหรับ Power Platform ในระดับผู้เช่า สภาพแวดล้อม และทรัพยากร เช่น นโยบายข้อมูล สิทธิ์ทางสภาพแวดล้อม และกลุ่มความปลอดภัย
การใช้ประโยชน์จาก Microsoft Entra ID เพื่อจัดการข้อมูลประจำตัวผู้ใช้ การตรวจสอบสิทธิ์และการอนุญาตสำหรับ Power Platform และการผสานรวมเข้ากับฟีเจอร์ Entra ID อื่นๆ เช่น การเข้าถึงแบบมีเงื่อนไขและการรับรองความถูกต้องโดยใช้หลายปัจจัย
การใช้วิธีการคุ้มครองข้อมูลส่วนบุคคลและการเข้ารหัสเพื่อรักษาความปลอดภัยข้อมูลที่จัดเก็บและประมวลผลโดย Power Platform เช่น ป้ายชื่อระดับความลับและคีย์ที่จัดการโดยลูกค้า
การตรวจสอบและตรวจสอบกิจกรรมและการใช้งาน Power Platform โดยใช้เครื่องมือเช่น ศูนย์การจัดการ Power Platform สภาพแวดล้อมที่มีการจัดการ และ Microsoft Purview
การใช้กระบวนและนโยบายการกำกับดูแลสำหรับ Power Platform เช่น การกำหนดบทบาทและความรับผิดชอบของผู้เกี่ยวข้องต่างๆ การสร้างขั้นตอนการอนุมัติและการจัดการการเปลี่ยนแปลง และการให้คำแนะนำและการฝึกอบรมสำหรับผู้ใช้และนักพัฒนา
คู่มือนี้ช่วยคุณกำหนดพื้นฐานการรักษาความปลอดภัยที่พิจารณาทั้งปัจจัยภายในและภายนอก ปัจจัยภายในประกอบด้วยความต้องการทางธุรกิจ ปัจจัยความเสี่ยง และการประเมินสินทรัพย์ ปัจจัยภายนอก ได้แก่ มาตรฐานอุตสาหกรรมและมาตรฐานที่เป็นระเบียบบังคับ การทำตามขั้นตอนและข้อควรพิจารณาเหล่านี้ทำให้องค์กรสามารถสร้างพื้นฐานการรักษาความปลอดภัยสำหรับ Power Platform ที่สอดคล้องกับวัตถุประสงค์ทางธุรกิจ ข้อกำหนดในการปฏิบัติตามข้อกำหนด และความเสี่ยงที่ยอมรับได้ พื้นฐานการรักษาความปลอดภัยสามารถช่วยให้องค์กรได้รับประโยชน์สูงสุดจาก Power Platform พร้อมทั้งลดภัยคุกคามและความท้าทายที่อาจเกิดขึ้น
คำนิยาม
| เงื่อนไข | ข้อกำหนด |
|---|---|
| เกณฑ์พื้นฐาน | ระดับขั้นต่ำของการรักษาความปลอดภัยที่ปริมาณงานต้องมีเพื่อหลีกเลี่ยงการถูกเอารัดเอาเปรียบ |
| เกณฑ์มาตรฐาน | มาตรฐานที่บ่งบอกถึงมาตรการรักษาความปลอดภัยที่องค์กรปรารถนา มีการประเมิน วัดผล และปรับปรุงอยู่ทุกเมื่อ |
| ควบคุม | การควบคุมทางเทคนิคหรือการปฏิบัติงานเกี่ยวกับปริมาณงานที่ช่วยป้องกันการโจมตีและเพิ่มต้นทุนของผู้โจมตี |
| ข้อกำหนดที่เป็นระเบียบบังคับ | ชุดข้อกำหนดทางธุรกิจซึ่งขับเคลื่อนโดยมาตรฐานอุตสาหกรรมที่กฎหมายและหน่วยงานกำหนด |
กลยุทธ์การออกแบบที่สำคัญ
ข้อมูลพื้นฐานด้านความปลอดภัยเป็นแนวทางที่อธิบายข้อกำหนดและคุณลักษณะด้านความปลอดภัยที่ปริมาณงานต้องปฏิบัติตามเพื่อปรับปรุงและรักษาความปลอดภัย คุณสามารถสร้างพื้นฐานให้ก้าวหน้ายิ่งขึ้นได้โดยการเพิ่มนโยบายที่คุณใช้ในการกำหนดขอบเขต พื้นฐานควรเป็นมาตรฐานที่คุณใช้วัดระดับการรักษาความปลอดภัยของคุณ ตั้งเป้าที่จะบรรลุเป้าหมายพื้นฐานโดยสมบูรณ์ในขณะที่ครอบคลุมขอบเขตที่กว้าง
สร้างพื้นฐานโดยการได้รับความเห็นพ้องต้องกันระหว่างผู้นำทางธุรกิจและผู้นำทางเทคนิค พื้นฐานควรมีการควบคุมทางเทคนิค รวมถึงแง่มุมการปฏิบัติงานในการจัดการและรักษามาตรการรักษาความปลอดภัย
หากต้องการสร้างพื้นฐานความปลอดภัยสำหรับ Power Platform ให้พิจารณากลยุทธ์การออกแบบที่สำคัญดังต่อไปนี้
ใช้ เกณฑ์มาตรฐานการรักษาความปลอดภัยของระบบคลาวด์ของ Microsoft (MCSB) เป็นเฟรมเวิร์กอ้างอิง MCSB คือชุดแนวปฏิบัติด้านการรักษาความปลอดภัยที่ครอบคลุมซึ่งรวมแง่มุมต่างๆ ของการรักษาความปลอดภัยบนระบบคลาวด์ เช่น การจัดการข้อมูลประจำตัวและการเข้าถึง การคุ้มครองข้อมูลส่วนบุคคล ความปลอดภัยของเครือข่าย การป้องกันภัยคุกคาม และการกำกับดูแล คุณสามารถใช้ MCSB เพื่อประเมินมาตรการรักษาความปลอดภัยปัจจุบันของคุณ และระบุช่องว่างและขอบเขตการปรับปรุง
ปรับแต่ง MCSB ให้เหมาะกับความต้องการทางธุรกิจเฉพาะของคุณ ข้อกำหนดด้านการปฏิบัติตามข้อกำหนด และความเสี่ยงที่ยอมรับได้ คุณอาจต้องเพิ่ม แก้ไข หรือลบการควบคุม MCSB บางส่วนตามบริบทและวัตถุประสงค์ขององค์กรของคุณ ตัวอย่างเช่น คุณอาจต้องปรับพื้นฐานการรักษาความปลอดภัยให้สอดคล้องกับมาตรฐานอุตสาหกรรม (เช่น ISO 27001 หรือ NIST 800-53) หรือกรอบการทำงานด้านระเบียบข้อบังคับ (เช่น GDPR, ข้อบังคับทั่วไปเกี่ยวกับการคุ้มครองข้อมูล หรือ HIPAA, พระราชบัญญัติการพกพาและความรับผิดชอบในการประกันสุขภาพ) ที่เกี่ยวข้องกับโดเมนหรือภูมิภาคของคุณ
กำหนดขอบเขตและการบังคับใช้ของพื้นฐานการรักษาความปลอดภัยสำหรับ Power Platform คุณควรระบุอย่างชัดเจนว่าส่วนประกอบ คุณลักษณะ และบริการของ Power Platform ใดบ้างที่ครอบคลุมตามพื้นฐานการรักษาความปลอดภัยของคุณ และองค์ประกอบใดอยู่นอกขอบเขตหรือจำเป็นต้องพิจารณาเป็นพิเศษ ตัวอย่างเช่น คุณอาจต้องกำหนดข้อกำหนดด้านการรักษาความปลอดภัยที่แตกต่างกันสำหรับสภาพแวดล้อม Power Platform ประเภทต่างๆ (เช่น การผลิต การพัฒนา หรือ Sandbox) ตัวเชื่อมต่อ (เช่น มาตรฐาน กำหนดเอง หรือพรีเมียม) หรือแอป (เช่น พื้นที่ทำงาน แบบจำลอง หรือหน้าเพจ)
เมื่อปฏิบัติตามกลยุทธ์การออกแบบเหล่านี้ คุณจะสามารถสร้างเอกสารพื้นฐานด้านการรักษาความปลอดภัยสำหรับ Power Platform ที่สะท้อนถึงเป้าหมายและมาตรฐานด้านความปลอดภัยของคุณ และช่วยปกป้องข้อมูลและทรัพย์สินของคุณในระบบคลาวด์
เมื่อปริมาณงานเปลี่ยนแปลงและสภาพแวดล้อมเพิ่มขึ้น สิ่งสำคัญคือต้องอัปเดตข้อมูลพื้นฐานของคุณด้วยการเปลี่ยนแปลงเพื่อให้แน่ใจว่าการควบคุมพื้นฐานยังคงทำงานอยู่ ต่อไปนี้เป็นคำแนะนำบางส่วนสำหรับกระบวนการสร้างพื้นฐานการรักษาความปลอดภัย:
การตรวจสอบบัญชีสินทรัพย์ ระบุผู้เกี่ยวข้องของสินทรัพย์ปริมาณงานและวัตถุประสงค์ด้านความปลอดภัยสำหรับสินทรัพย์เหล่านั้น ในรายการสินทรัพย์ ให้จำแนกตามข้อกำหนดด้านความปลอดภัยและความสำคัญ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับสินทรัพย์ข้อมูล ดูที่คำแนะนำสำหรับการจัดประเภทข้อมูล
กำหนดระดับของปริมาณงาน เมื่อคุณกำหนดพื้นฐานการรักษาความปลอดภัย สิ่งสำคัญคือต้องพิจารณาว่าคุณจะจัดหมวดหมู่โซลูชันที่สร้างขึ้นตามความสำคัญอย่างไรเพื่อให้คุณสามารถพัฒนากระบวนการที่รับรองว่าแอปพลิเคชันที่สำคัญมีรั้วกั้นที่จำเป็นอยู่รอบๆ ในขณะที่ไม่ปิดกั้นนวัตกรรมของสถานการณ์การผลิต
การประเมินความเสี่ยง ระบุความเสี่ยงที่อาจเกิดขึ้นที่เกี่ยวข้องกับสินทรัพย์แต่ละรายการและจัดลำดับความสำคัญ
ข้อกำหนดการปฏิบัติตาม วางแนวทางพื้นฐานด้านกฎระเบียบหรือการปฏิบัติตามข้อบังคับสำหรับสินทรัพย์เหล่านั้นและใช้แนวทางปฏิบัติที่ดีที่สุดในอุตสาหกรรม
มาตรฐานการกำหนดค่า กำหนดและบันทึกการกำหนดค่าและการตั้งค่าความปลอดภัยเฉพาะสำหรับสินทรัพย์แต่ละรายการ หากเป็นไปได้ ให้สร้างเทมเพลตหรือค้นหาวิธีอัตโนมัติที่ทำซ้ำได้เพื่อใช้การตั้งค่าอย่างสม่ำเสมอทั่วทั้งสภาพแวดล้อม พิจารณาการกำหนดค่าในทุกระดับ เริ่มต้นด้วยการกำหนดค่าความปลอดภัยระดับผู้เช่าที่เกี่ยวข้องกับการเข้าถึงหรือเครือข่าย จากนั้นให้พิจารณาการกำหนดค่าความปลอดภัยเฉพาะทรัพยากรใน Power Platform เช่น การกำหนดค่าเฉพาะ Power Pages ลอดจนการกำหนดค่าความปลอดภัยเฉพาะปริมาณงาน เช่น วิธีการแชร์ปริมาณงาน
การควบคุมการเข้าถึงและการตรวจสอบสิทธิ์ ระบุข้อกำหนดการควบคุมการเข้าถึงตามบทบาท (RBAC) และการรับรองความถูกต้องโดยใช้หลายปัจจัย (MFA) บันทึกความหมายของการเข้าถึงที่เพียงพอในระดับสินทรัพย์ เริ่มต้นด้วยหลักการสิทธิ์การใช้งานขั้นต่ำเสมอ
การจัดทำเอกสารและการสื่อสาร บันทึกการกำหนดค่า นโยบาย และขั้นตอนทั้งหมด สื่อสารรายละเอียดไปยังผู้เกี่ยวข้อง
การบังคับใช้และความรับผิดชอบ กำหนดกลไกการบังคับใช้ที่ชัดเจนและผลที่ตามมาสำหรับการไม่ปฏิบัติตามพื้นฐานการรักษาความปลอดภัย ให้บุคคลและทีมงานรับผิดชอบในการรักษามาตรฐานความปลอดภัย
การตรวจสอบอย่างต่อเนื่อง ประเมินประสิทธิผลของพื้นฐานการรักษาความปลอดภัยผ่านการสังเกตและทำการปรับปรุงการทำงานล่วงเวลา
องค์ประกอบของพื้นฐาน
ต่อไปนี้คือหมวดหมู่ทั่วไปบางส่วนที่ควรเป็นส่วนหนึ่งของข้อมูลพื้นฐาน รายการต่อไปนี้ยังไม่ครบถ้วนสมบูรณ์ โดยมีวัตถุประสงค์เพื่อเป็นภาพรวมของขอบเขตของเอกสาร
การปฏิบัติตามกฎระเบียบ
ตัวเลือกการออกแบบของคุณอาจได้รับผลกระทบจากข้อกำหนดการปฏิบัติตามกฎระเบียบสำหรับกลุ่มอุตสาหกรรมเฉพาะหรือเนื่องจากข้อจำกัดทางภูมิศาสตร์ สิ่งสำคัญคือการทำความเข้าใจข้อกำหนดการปฏิบัติตามกฎระเบียบและรวมไว้ในสถาปัตยกรรมของปริมาณงานของคุณ
ข้อมูลพื้นฐานควรรวมการประเมินปริมาณงานอย่างสม่ำเสมอโดยเทียบกับข้อกำหนดด้านกฎระเบียบ ใช้ประโยชน์จากเครื่องมือแพลตฟอร์ม เช่น หน้าการดําเนินการของศูนย์ดูแล Power Platform ซึ่งสามารถระบุพื้นที่ของความไม่สอดคล้องกันและให้คําแนะนําได้ ทำงานร่วมกับทีมฝ่ายปฏิบัติตามกฎระเบียบขององค์กรของคุณเพื่อให้แน่ใจว่าเป็นไปตามและรักษาข้อกำหนดทั้งหมด
ตัวอย่างเช่น
องค์กรด้านวิทยาศาสตร์ชีวภาพสร้างโซลูชันที่ต้องเป็นไปตามข้อกำหนดภายใต้แนวปฏิบัติด้านการวิจัยทางคลินิกที่ดี ห้องปฏิบัติการ และการผลิต (GxP) คุณสามารถใช้ประโยชน์จากประสิทธิภาพของระบบคลาวด์ในขณะเดียวกันก็ปกป้องความปลอดภัยของผู้ป่วย คุณภาพผลิตภัณฑ์ และความสมบูรณ์ของข้อมูล สำหรับข้อมูลเพิ่มเติม ให้ดูที่แนวทาง Microsoft GxP สำหรับ Dynamics 365 และ Power Platform
แม้ว่าจะไม่มีการรับรอง GxP เฉพาะสำหรับผู้ให้บริการระบบคลาวด์ Microsoft Azure (ซึ่งโฮสต์ Power Platform) ได้ผ่านการตรวจสอบโดยบุคคลที่สามที่เป็นอิสระสำหรับการจัดการคุณภาพและความปลอดภัยของข้อมูล รวมถึงการรับรอง ISO 9001 และ ISO/IEC 27,001 หากคุณกำลังปรับใช้แอปพลิเคชันบน Power Platform ให้พิจารณาขั้นตอนต่อไปนี้
- กำหนดข้อกำหนด GxP ที่ใช้กับระบบคอมพิวเตอร์ของคุณตามวัตถุประสงค์การใช้งาน
- ปฏิบัติตามขั้นตอนภายในสำหรับกระบวนการกำหนดคุณสมบัติและการตรวจสอบเพื่อแสดงให้เห็นถึงการปฏิบัติตามข้อกำหนดของ GxP
กระบวนการในการพัฒนา
ข้อมูลพื้นฐานต้องมีคำแนะนำเกี่ยวกับ:
- ประเภททรัพยากร Power Platform ที่ได้รับอนุมัติให้ใช้
- การตรวจสอบทรัพยากร
- การใช้ความสามารถในการบันทึกและการตรวจสอบ
- การแชร์ทรัพยากร
- การบังคับใช้นโยบายสำหรับการใช้หรือการกำหนดค่าทรัพยากร
- การคุ้มครองข้อมูลส่วนบุคคลและความปลอดภัยของเครือข่าย
ทีมพัฒนาจำเป็นต้องมีความเข้าใจที่ชัดเจนเกี่ยวกับขอบเขตของการตรวจสอบความปลอดภัย วิธีการออกแบบและพัฒนาโซลูชัน Power Platform โดยคำนึงถึงความปลอดภัย และวิธีการประเมินความปลอดภัยเป็นประจำ ตัวอย่างเช่น การใช้หลักการของสิทธิ์การใช้งานขั้นต่ำ การแยกสภาพแวดล้อมการพัฒนาและสภาพแวดล้อมการทำงานจริง การใช้ตัวเชื่อมต่อและเกตเวย์ที่ปลอดภัย และการตรวจสอบอินพุตและเอาต์พุตของผู้ใช้เป็นข้อกำหนดในการทำให้แน่ใจว่าปริมาณงานมีความปลอดภัย สื่อสารถึงวิธีการระบุภัยคุกคามที่อาจเกิดขึ้นและระบุวิธีดำเนินการตรวจสอบอย่างเจาะจง
ดูข้อมูลเพิ่มเติมที่คำแนะนำในการวิเคราะห์ภัยคุกคาม
กระบวนการพัฒนาควรกำหนดมาตรฐานเกี่ยวกับวิธีการทดสอบต่างๆ ดูข้อมูลเพิ่มเติมที่คำแนะนำในการทดสอบความปลอดภัย
ฝ่ายการปฏิบัติงาน
ข้อมูลพื้นฐานจะต้องมีมาตรฐานเกี่ยวกับวิธีการตรวจจับภัยคุกคาม และวิธีแจ้งเตือนกิจกรรมที่ผิดปกติซึ่งบ่งบอกถึงเหตุการณ์ที่เกิดขึ้นจริง
ข้อมูลพื้นฐานควรรวมคำแนะนำสำหรับการตั้งค่ากระบวนการตอบสนองต่อเหตุการณ์ รวมถึงการสื่อสารและแผนการกู้คืน และบันทึกว่ากระบวนการใดที่สามารถเป็นอัตโนมัติได้เพื่อเร่งการตรวจจับและวิเคราะห์ ตัวอย่างเช่น โปรดดูเกณฑ์มาตรฐานการรักษาความปลอดภัยของ Microsoft Cloud: การตอบสนองต่อเหตุการณ์
ใช้มาตรฐานอุตสาหกรรมเพื่อพัฒนาแผนเหตุการณ์ด้านความปลอดภัยและการละเมิดข้อมูล และตรวจสอบให้แน่ใจว่าทีมปฏิบัติการมีแผนที่ครอบคลุมในการปฏิบัติตามเมื่อค้นพบการละเมิด ตรวจสอบกับองค์กรของคุณเพื่อดูว่ามีความคุ้มครองผ่านการประกันภัยทางไซเบอร์หรือไม่
การฝึกอบรม
การฝึกอบรมเป็นสิ่งสำคัญ โปรดทราบว่าบ่อยครั้งที่ผู้พัฒนาแอปพลิเคชันไม่ได้ตระหนักถึงความเสี่ยงด้านความปลอดภัยอย่างเต็มที่ หากองค์กรของคุณมีการฝึกอบรมเกี่ยวกับวิธีสร้างปริมาณงานด้วย Power Platform ให้รวมพื้นฐานการรักษาความปลอดภัยของคุณเข้ากับความพยายามเหล่านั้น หรือหากองค์กรของคุณจัดการฝึกอบรมด้านความปลอดภัยทั่วทั้งองค์กร ให้รวมพื้นฐานการรักษาความปลอดภัย Power Platform ไว้ในการฝึกอบรมนั้นด้วย
การฝึกอบรมของคุณควรรวมการศึกษาเกี่ยวกับรั้วกั้นทั่วทั้งผู้เช่าและการกำหนดค่าที่อาจส่งผลกระทบต่อปริมาณงานที่กำลังสร้างขึ้น พวกเขายังต้องการการฝึกอบรมเกี่ยวกับการกำหนดค่าที่ผู้สร้างจำเป็นต้องสร้างสำหรับปริมาณงานของตน เช่น Security Role และวิธีการเชื่อมต่อกับข้อมูล กำหนดกระบวนการในการทำงานร่วมกับพวกเขาตามคำขอใดๆ ที่พวกเขาอาจมี
พัฒนาและบำรุงรักษาโปรแกรมการฝึกอบรมด้านความปลอดภัยเพื่อให้แน่ใจว่าทีมดูแลปริมาณงานมีทักษะที่เหมาะสมเพื่อสนับสนุนเป้าหมายและข้อกำหนดด้านความปลอดภัย ทีมต้องการการฝึกอบรมด้านความปลอดภัยขั้นพื้นฐาน และการฝึกอบรมเกี่ยวกับแนวคิดด้านความปลอดภัยใน Power Platform
ใช้ข้อมูลพื้นฐาน
ใช้ข้อมูลพื้นฐานเพื่อขับเคลื่อนความคิดริเริ่มและการตัดสินใจ ต่อไปนี้เป็นวิธีการใช้ข้อมูลพื้นฐานเพื่อขับเคลื่อนการปรับปรุงมาตรการรักษาความปลอดภัยของปริมาณงานของคุณ:
เตรียมการตัดสินใจออกแบบ ใช้พื้นฐานด้านความปลอดภัยเพื่อทำความเข้าใจข้อกำหนดและความคาดหวังด้านความปลอดภัยสำหรับปริมาณงาน Power Platform ของคุณ ตรวจสอบให้แน่ใจว่าสมาชิกในทีมได้รับความรู้เกี่ยวกับความคาดหวังก่อนที่จะเริ่มการออกแบบสถาปัตยกรรม ป้องกันการปรับเปลี่ยนที่มีราคาแพงในระหว่างขั้นตอนการดำเนินการโดยทำให้แน่ใจว่าสมาชิกในทีมตระหนักถึงพื้นฐานการรักษาความปลอดภัยและบทบาทของพวกเขาในการปฏิบัติตามข้อกำหนดด้านความปลอดภัย ใช้พื้นฐานการรักษาความปลอดภัยเป็นข้อกำหนดด้านปริมาณงาน และออกแบบปริมาณงานของคุณภายในขอบเขตและข้อจำกัดที่กำหนดโดยข้อมูลพื้นฐาน
วัดการออกแบบของคุณ ใช้พื้นฐานการรักษาความปลอดภัยเพื่อประเมินมาตรการรักษาความปลอดภัยปัจจุบันของคุณ และระบุช่องว่างและขอบเขตการปรับปรุง บันทึกความเบี่ยงเบนใด ๆ ที่เลื่อนออกไปหรือถือว่ายอมรับได้ในระยะยาว และระบุการตัดสินใจใดๆ ที่เกี่ยวข้องกับความเบี่ยงเบนอย่างชัดเจน
การปรับปรุงไดรฟ์ พื้นฐานด้านการรักษาความปลอดภัยจะกำหนดเป้าหมายของคุณ แต่คุณอาจไม่สามารถบรรลุเป้าหมายทั้งหมดได้ในทันที บันทึกช่องว่างและจัดลำดับความสำคัญตามความสำคัญ ระบุให้ชัดเจนว่าช่องว่างใดที่ยอมรับได้ในระยะสั้นหรือระยะยาว และระบุเหตุผลสำหรับการตัดสินใจเหล่านี้
ติดตามความคืบหน้าของคุณเทียบกับค่าพื้นฐาน ตรวจสอบมาตรการรักษาความปลอดภัยของคุณโดยเทียบกับพื้นฐานการรักษาความปลอดภัยเพื่อระบุแนวโน้มและเปิดเผยความเบี่ยงเบนจากข้อมูลพื้นฐาน ใช้ระบบอัตโนมัติเมื่อเป็นไปได้ และใช้ข้อมูลที่รวบรวมจากการติดตามความคืบหน้าเพื่อระบุและแก้ไขปัญหาปัจจุบัน และเตรียมพร้อมสำหรับภัยคุกคามในอนาคต
ตั้งราวกั้น ใช้พื้นฐานการรักษาความปลอดภัยของคุณเพื่อสร้างและจัดการตัวป้องกันและเฟรมเวิร์กการกำกับดูแลสำหรับปริมาณงาน Power Platform ของคุณ ตัวป้องกันบังคับใช้การกำหนดค่าความปลอดภัย เทคโนโลยี และการดำเนินงานที่จำเป็น โดยอิงตามปัจจัยภายในและปัจจัยภายนอก ตัวป้องกันช่วยลดความเสี่ยงของความผิดพลาดโดยไม่ตั้งใจและค่าปรับจากการไม่ปฏิบัติตามข้อบังคับ คุณสามารถใช้ฟีเจอร์สำเร็จรูปในศูนย์การจัดการของ Power Platform และสภาพแวดล้อมที่มีการจัดการเพื่อสร้างแนวป้องกัน หรือสร้างของคุณเองโดยใช้ชุดเริ่มต้นอ้างอิงสำหรับ Power Platform Center of Excellence (CoE) หรือสคริปต์/เครื่องมือที่คุณมีอยู่เอง คุณอาจใช้การผสมผสานระหว่างเครื่องมือแบบสำเร็จรูปและเครื่องมือแบบกำหนดเองเพื่อตั้งค่าตัวป้องกันและเฟรมเวิร์กการกำกับดูแลของคุณ คุณลองนึกถึงว่าส่วนใดที่พื้นฐานการรักษาความปลอดภัยสามารถบังคับใช้ในเชิงรุกได้ และส่วนใดที่คุณจะตรวจสอบในเชิงรับ
สํารวจ Microsoft Purview สําหรับ Power Platform คุณลักษณะที่มีอยู่ภายในของศูนย์การจัดการ Power Platform สําหรับนโยบายข้อมูลและการแยกผู้เช่า คําแนะนําส่วนบุคคล บนหน้าการดําเนินการ และการใช้งานการอ้างอิง เช่น CoE Starter Kit เพื่อใช้และบังคับใช้การกําหนดค่าความปลอดภัยและข้อกําหนดการปฏิบัติตามกฎระเบียบ
ประเมินข้อมูลพื้นฐานอย่างสม่ำเสมอ
ปรับปรุงมาตรฐานความปลอดภัยอย่างต่อเนื่องเพื่อนำไปสู่สถานะในอุดมคติที่สุดเพื่อให้แน่ใจว่าจะสามารถลดความเสี่ยงได้อย่างต่อเนื่อง ติดตามการอัปเดตความปลอดภัยล่าสุดใน Power Platform โดยการตรวจสอบแผนงานและประกาศอย่างสม่ำเสมอ จากนั้น ระบุว่าคุณลักษณะใหม่ใดที่สามารถปรับปรุงพื้นฐานการรักษาความปลอดภัยของคุณได้ และวางแผนวิธีใช้งาน การปรับเปลี่ยนข้อมูลพื้นฐานจะต้องได้รับการอนุมัติอย่างเป็นทางการและผ่านกระบวนการจัดการการเปลี่ยนแปลงที่เหมาะสม
วัดระบบเทียบกับข้อมูลพื้นฐานใหม่และจัดลำดับความสำคัญของการแก้ไขตามความเกี่ยวข้องและผลกระทบต่อปริมาณงาน
ตรวจสอบให้แน่ใจว่ามาตรการรักษาความปลอดภัยจะไม่ลดลงเมื่อเวลาผ่านไปโดยจัดให้มีการตรวจสอบและติดตามการปฏิบัติตามมาตรฐานขององค์กร
การรักษาความปลอดภัยใน Microsoft Power Platform
Power Platform ถูกสร้างขึ้นบนรากฐานการรักษาความปลอดภัยที่แข็งแกร่ง ซึ่งใช้กองรักษาความปลอดภัยเดียวกันกับที่วางตำแหน่ง Azure ให้เป็นผู้ดูแลข้อมูลที่ละเอียดอ่อนที่สุดในโลกที่เชื่อถือได้ และผสานรวมเข้ากับเครื่องมือปกป้องข้อมูลและการปฏิบัติตามข้อกำหนดขั้นสูงที่สุดของ Microsoft 365 Power Platform มอบการป้องกันแบบครอบคลุมที่ออกแบบโดยคำนึงถึงข้อกังวลที่ท้าทายที่สุดของลูกค้า
บริการ Power Platform ถูกควบคุมโดย เงื่อนไขบริการออนไลน์ของ Microsoft และ คำชี้แจ้งสิทธิส่วนบุคคลขององค์ของ Microsoft สำหรับตำแหน่งที่ตั้งของการประมวลผลข้อมูล โปรดอ้างอิงเงื่อนไขบริการออนไลน์ของ Microsoft และ เอกสารแนบท้ายเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
ศูนย์ความเชื่อถือของ Microsoft เป็นทรัพยากรหลักสำหรับข้อมูลการปฏิบัติตามกฎระเบียบ Power Platform สำหรับข้อมูลเพิ่มเติม โปรดดูข้อเสนอการปฏิบัติตามข้อบังคับของ Microsoft
บริการ Power Platform เป็นไปตามวัฏจักรการพัฒนาความปลอดภัย (SDL) SDL คือชุดของแนวทางปฏิบัติที่เข้มงวดซึ่งสนับสนุนข้อกำหนดด้านการประกันความปลอดภัยและการปฏิบัติตามข้อกำหนด สำหรับข้อมูลเพิ่มเติม โปรดดูแนวปฏิบัติของ Microsoft Security Development Lifecycle
การอำนวยความสะดวกของ Power Platform
มาตรฐานการรักษาความปลอดภัยบน Microsoft cloud (MCSB) เป็นเฟรมเวิร์กแนวปฏิบัติที่ดีที่สุดด้านการรักษาความปลอดภัยที่ครอบคลุมที่คุณสามารถใช้เป็นจุดเริ่มต้นสำหรับพื้นฐานการรักษาความปลอดภัยของคุณ ใช้ข้อมูลดังกล่าวร่วมกับแหล่งข้อมูลอื่นๆ ที่ให้ข้อมูลพื้นฐานของคุณ สำหรับข้อมูลเพิ่มเติม โปรดดูข้อมูลเบื้องต้นเกี่ยวกับเกณฑ์มาตรฐานการรักษาความปลอดภัยของ Microsoft Cloud
หน้าความปลอดภัย ใน ศูนย์ผู้ดูแลระบบช่วยให้คุณจัดการความปลอดภัยขององค์กรด้วยแนวทางปฏิบัติที่ดีที่สุดและชุดคุณลักษณะที่ครอบคลุมเพื่อให้มั่นใจถึงความปลอดภัยสูงสุด Power Platform เช่น:
- ประเมินสถานะความปลอดภัยของคุณ: ทำความเข้าใจและปรับปรุงนโยบายความปลอดภัยขององค์กรของคุณเพื่อตอบสนองความต้องการเฉพาะของคุณ
- ดำเนินการตามคำแนะนำ: ระบุและนำคำแนะนำที่มีประสิทธิผลมากที่สุดมาใช้เพื่อปรับปรุงการประเมิน
- ตั้งค่านโยบายเชิงรุก: ใช้ชุดเครื่องมืออันหลากหลายและความสามารถด้านความปลอดภัยที่มีอยู่เพื่อให้มองเห็นได้ชัดเจน ตรวจจับภัยคุกคาม และกำหนดนโยบายเชิงรุกเพื่อช่วยปกป้ององค์กรจากช่องโหว่และความเสี่ยง
การจัดตำแหน่งองค์กร
ตรวจสอบให้แน่ใจว่าพื้นฐานความปลอดภัยที่คุณสร้างขึ้นสำหรับ Power Platform สอดคล้องกับพื้นฐานการรักษาความปลอดภัยขององค์กรของคุณเป็นอย่างดี ทำงานอย่างใกล้ชิดกับทีมรักษาความปลอดภัยด้านไอทีในองค์กรของคุณเพื่อใช้ประโยชน์จากความเชี่ยวชาญของพวกเขา
ข้อมูลที่เกี่ยวข้อง
- การปฏิบัติตามข้อกำหนดของ Microsoft
- เอกสารความปลอดภัยและการกำกับดูแล Microsoft Power Platform
- Microsoft Copilot Studio เอกสารความปลอดภัยและการกำกับดูแล
- Microsoft Copilot Studio ข้อเสนอการปฏิบัติตามข้อกำหนด
- คำถามที่พบบ่อยเกี่ยวกับ AI ที่มีความรับผิดชอบสำหรับ Microsoft Power Platform
- คำถามที่ถามบ่อยเกี่ยวกับ AI ที่รับผิดชอบสำหรับ Copilot Studio
- ภาพรวมของเกณฑ์มาตรฐานความปลอดภัยบนคลาวด์ของ Microsoft
- การตอบสนองต่อเหตุการณ์คืออะไร แผนและขั้นตอน
- ทําความเข้าใจเกี่ยวกับท่าทางด้านความปลอดภัยและความท้าทายของคุณ
รายการตรวจสอบความปลอดภัย
โปรดดูชุดคำแนะนำทั้งหมด