共用方式為

規劃資料外洩防護 (DLP)

每個組織對資料遺失預防 (資料遺失防護的規劃與實施方式各不相同) 。 為什麼? 因為每個組織的需求、目標、資源和情況都是獨一無二的。 然而,所有成功的 DLP 實作還是有通用的元素。 本文介紹規劃 DLP 部署的最佳實務。

提示

立即開始使用 Microsoft Security Copilot,探索利用 AI 力量更聰明、更快速地工作的新方法。 在 Microsoft Purview 中了解更多關於 Microsoft Security Copilot 的資訊。

開始之前

  1. 管理單位
  2. 了解 Microsoft Purview 資料外洩防護
  3. 規劃資料外洩防護 (DLP) - 透過本文,您將:
    1. 識別專案關係人
    2. 描述要保護的敏感性資訊類型
    3. 設定目標和策略
  4. 收藏政策解決方案概述
  5. 收藏政策參考
  6. 資料外洩防護原則參考資料 - 本文介紹 DLP 原則的所有元件,以及每個元件如何影響原則的行為
  7. 設計 DLP 政策 ——本文將引導你建立政策意圖陳述,並將其映射到特定的政策配置。
  8. 建立並部署資料遺失防護政策 ——本文介紹一些常見的政策意圖情境,將這些情境映射到設定選項,然後引導你如何配置這些選項。
  9. 了解資料遺失防範警示的調查 ——本文將介紹警示從建立到最終修復及政策調整的生命週期。 同時也會介紹你用來調查警報的工具。

多重起始點

許多組織選擇實施 DLP 以符合各種政府或產業法規。 例如,歐盟的《通用資料保護條例》 (GDPR) ,或健康保險攜帶與責任法案 (HIPAA) ,或加州消費者隱私法 (CCPA) 。 他們同時實施資料遺失防護措施以保護智慧財產權。 然而,DLP旅程的起點與最終目的地各有不同。

組織可以從多個不同點開始他們的 DLP 旅程:

  • 以平台為重點,例如想保護 Teams 聊天和頻道訊息中的資訊,或是在 Windows 10 或 11 裝置上
  • 了解他們想要優先保護的敏感資訊,例如醫療紀錄,並直接制定保護這些資訊的政策
  • 在不知道他們的敏感資訊是什麼、在哪裡,或是誰在做什麼的情況下;因此,他們從發現和分類開始,採取更有條理的方法
  • 在不知道敏感資訊是什麼、在哪裡、誰在做什麼的情況下,他們會直接定義政策,然後用這些結果來精煉政策
  • 他們知道必須實施完整的 Microsoft Purview 資訊保護堆疊,並計畫採取長期且有條理的方法

這些只是客戶如何面對 DLP 的一些例子。 從哪裡開始並不重要;DLP 具備足夠的彈性,能從起點到完整實現的資料遺失防護策略,涵蓋各種資訊保護流程。

規劃流程概述

《了解 Microsoft Purview 資料外洩防護》介紹了 DLP 規劃流程的三個不同面向。 我們在此更詳細說明所有DLP計畫共有的要素。

識別專案關係人

一旦實施,DLP 政策可以應用於組織的大部分區域。 你的 IT 部門無法自行制定一個廣泛的計畫,否則會有負面後果。 你需要辨識能夠:

  • 識別您的組織所受規範、法律及產業標準
  • 識別需要保護的敏感物品類別
  • 辨識它們所使用的業務流程
  • 辨識出應該加以限制的風險行為
  • 根據項目的敏感度與風險,優先保護哪些資料
  • 概述DLP政策匹配事件審查與整治流程

一般而言,這些需求通常是85%的法規與合規保護,以及15%的智慧財產權保護。 以下是一些建議,建議你在規劃過程中加入哪些角色:

  • 監管與合規官員
  • 首席風險官
  • 法律官員
  • 安全與合規官員
  • 企業主為資料項目
  • 商業用戶
  • IT

描述要保護的敏感性資訊類型

一旦確定,利害關係人便描述需要保護的敏感資訊類別及其所使用的業務流程。 例如,DLP 定義了以下類別:

  • 財務
  • 醫療與健康資訊
  • 隱私權
  • 自訂

利害關係人可能會將敏感資訊標示為「我們是資料處理者,因此必須對資料主體資訊及財務資訊實施隱私保護」。

設定目標和策略

一旦你確定了利害關係人,知道哪些敏感資訊需要保護,以及它們的使用地點,利害關係人就能設定他們的保護目標,IT 部門也能制定實施計畫。

制定實施計畫

您的實施計畫應包含:

  • 一張你起始狀態、期望結束狀態,以及從一個狀態到另一個階段的地圖
  • 你將如何處理敏感物品的發現計畫
  • 制定政策的計畫以及你將執行政策的順序
  • 規劃如何應對任何先決條件
  • 一個計畫,說明你在實施政策執行前將如何模擬它們
  • 一個訓練最終使用者的計畫
  • 一個調整保單的計畫
  • 根據法規、法律、產業標準或智慧財產保護及業務需求變化,檢視並更新資料遺失防範策略的計畫

繪製從起點到目標終點的路徑

記錄組織如何從起點走向期望的最終狀態,對於與利害關係人溝通及設定專案範圍至關重要。 以下是一組常用來部署 DLP 的步驟。 你會想要比圖像展示更多的細節,但你可以用它來規劃你的 DLP 採用路徑。

顯示部署 DLP 的常見順序圖示。

敏感物品發現

有多種方法可以發現哪些是個別敏感物品及其所在位置。 你可能已經部署了敏感性標籤,或者你決定在所有地點部署一個只偵測和稽核項目的廣泛 DLP 政策。 欲了解更多,請參閱 「了解你的資料」。

政策規劃

當您開始採用 DLP 時,可以利用這些問題來聚焦政策設計與執行工作。

貴組織必須遵守哪些法律、法規及產業標準?

由於許多組織帶著合規的目標來到 DLP,回答這個問題是規劃 DLP 實施的自然起點。 但作為 IT 執行者,你可能沒有資格回答這個問題。 相反地,您應該諮詢您的法律團隊和企業主管以尋求答案。

您的組織受英國金融法規約束。

貴組織必須保護哪些敏感物品免於外洩?

一旦你了解組織在法規遵循需求的狀況,你就能對哪些敏感項目需要防範外洩有所了解。 你也會對如何優先執行政策以保護這些項目有個想法。 這些知識有助於你選擇最合適的 DLP 政策範本。 Microsoft Purview 附有預設定的財務、醫療與健康及隱私政策範本。 此外,你也可以用自訂範本自己建立。 在設計與建立實際的 DLP 政策時,對需要保護的敏感項目有實際了解,有助於你選擇合適的 敏感資訊類型

為了快速開始,你可以選擇預先設定 U.K. Financial Data 的政策範本,其中包含 Credit Card NumberEU Debit Card NumberSWIFT Code 敏感資訊類型。

你希望如何定義保單範圍

如果您的組織已實作 管理單位,您可以依管理單位設定 DLP 政策範圍,或保留適用範圍預設,該預設政策將政策套用於整個目錄。 欲了解更多資訊,請參閱 政策範圍界定

敏感項目在哪裡?它們參與哪些業務流程?

包含您組織敏感資訊的項目,每天都在營運過程中被使用。 你需要知道這些敏感資訊可能出現在哪裡,以及它們在哪些業務流程中被使用。 了解這些資訊有助於您選擇合適的地點來執行DLP政策。 DLP政策可適用於以下地點:

  • Exchange 線上電子郵件
  • SharePoint 網站
  • OneDrive 帳戶
  • Teams 聊天和頻道訊息
  • Windows 10、11 與 macOS 裝置
  • Microsoft Defender for Cloud Apps
  • 內部部署存放庫

你們組織的內部稽核員正在追蹤一組信用卡號碼。 他們會把這些資料放在一個安全的 SharePoint 網站上。 幾位員工會複製並儲存到他們的工作 OneDrive 網站,該網站會同步到 Windows 10 裝置。 其中一名員工將一份包含14個信用卡號碼的清單貼到電子郵件中,試圖寄給外部稽核員審查。 在這種情況下,你會想將政策套用到安全的 SharePoint 網站、所有內部稽核員的 OneDrive 帳號、他們的 Windows 10 裝置,以及 Exchange 電子郵件。

貴組織對洩漏的容忍度是多少?

你組織中不同團隊對於什麼算是可接受的敏感物品外洩程度,可能有不同看法。 達成零漏水的完美,可能對企業來說成本過高。

貴組織的安全團隊和法律團隊都認為,不應該與組織外任何人分享信用卡號碼。他們堅持零漏水。 然而,作為定期審查信用卡號碼活動的一部分,內部稽核員必須與第三方稽核員共享部分信用卡號碼。 如果您的DLP政策禁止所有信用卡號碼在組織外共享,將造成重大業務流程中斷,並增加成本以減輕內部稽核員完成追蹤。 這種額外成本對高層領導層來說是無法接受的。 要解決這個問題,必須進行內部討論,決定可接受的洩漏程度。 一旦決定,政策可為特定個人提供資訊分享的例外,或以僅審計模式適用。

重要事項

欲了解如何建立政策意圖陳述並將其映射到政策配置,請參見「設計資料遺失防止政策

先決條件的規劃

在監控某些 DLP 位置之前,必須先達成一些先決條件。 請參閱以下文章的 「開始前 」部分:

政策部署

當您制定 DLP 政策時,應考慮逐步推行,以便評估其影響並測試成效,再全面執行。 例如,你不希望新的 DLP 政策無意中阻擋數千份文件的存取,或破壞現有的業務流程。

如果您正在建立的 DLP 原則可能有重大影響,建議依照下列順序進行:

  1. 在模擬模式下執行政策,不使用政策提示 ,然後利用DLP報告及任何事件報告評估政策的影響。 您可以使用 DLP 報告來檢視原則相符項目的號碼、位置、類型和嚴重性。 根據結果,您可以根據需要微調保單。 在模擬模式下,DLP 政策不會影響組織中員工的生產力。 同時,利用這個階段來測試 DLP 事件審查和問題修復的工作流程也很有幫助。

  2. 以模擬模式執行政策,並附上通知與政策提示 ,這樣你就能開始教導使用者合規政策,並為政策實施做好準備。 在政策提示中附上組織政策頁面的連結會很有用,該頁面提供政策細節。 此階段,您也可以請使用者回報誤報,以便進一步細化條件並減少誤判數量。 當你有信心政策應用結果與利害關係人預期相符時,再進入這個階段。

  3. 開始全面執行政策 ,確保規則中的行動得以執行並保護內容。 繼續監視 DLP 報告以及任何事件報告或通知,確保得到您想要的結果。

使用者訓練

你可以設定政策,當觸發 DLP 政策時,電子郵件 通知會自動發送,並向管理員和終端使用者展示政策提示 。 政策建議是提高對敏感物品風險行為的認識,並訓練使用者避免未來此類行為的有用方式。

檢視 DLP 需求與更新策略

貴組織所受的法規、法律及產業標準會隨時間改變,DLP的業務目標也會隨時間改變。 務必定期檢視所有這些領域,確保您的組織保持合規,並持續滿足業務需求。

部署方法

客戶業務需求說明 方法
Contoso銀行 屬於高度監管的產業,並在多個地點擁有各種敏感物品。

Contoso:
- 知道哪些敏感資訊是最高優先事項
- 必須在政策推出
時減少業務中斷 - 曾涉及業務流程負責人
- 擁有 IT 資源,能聘請專家協助規劃、設計與部署
- 與 Microsoft 簽訂頂級支援合約		 - 花時間了解他們必須遵守哪些法規,以及如何遵守。
- 花時間了解 Microsoft Purview 資訊保護堆疊
的「更好合作」價值 - 為優先項目開發敏感性標示方案並套用
- 設計與編碼政策,部署於模擬模式,並訓練使用者
- 重複並精煉政策
TailSpin Toys 不知道他們擁有哪些敏感資料或資料在哪裡,且資源深度極低。 他們廣泛使用 Teams、OneDrive 和 Exchange。 - 從優先排序地點的簡單政策開始。
- 監控識別項目
- 相應
地套用敏感性標籤 - 優化政策並訓練使用者
Fabrikam 是一家小型新創公司。 他們想保護自己的智慧財產權,必須迅速行動。 他們願意投入一些資源,但無法負擔聘請外部專家。

其他考量:
- 敏感項目都在 Microsoft 365 OneDrive / SharePoint
裡 - OneDrive 和 SharePoint 的採用速度很慢。 許多員工仍使用 Dropbox 和 Google Drive 來儲存和分享物品
- 員工重視工作速度勝過資料保護紀律
- 所有 18 名員工皆擁有新的 Windows 裝置		 - 善用 Teams
預設的 DLP 政策 - 對 SharePoint 項目
使用「預設限制」設定 - 部署防止外部分享
的政策 - 將政策部署到優先位置
- 部署政策至 Windows 裝置
- 阻止 OneDrive 以外的雲端儲存平台上傳

後續步驟

重要事項

欲了解更多關於 DLP 政策部署的資訊,請參閱 部署

另請參閱

  • Last updated on