了解內部風險管理

Microsoft Purview 內部風險管理可以透過啟用偵測、調查及處理貴組織中惡意和意外的活動，協助將內部風險降到最低。 透過內部風險政策，您可以定義組織中需要識別與偵測的風險類型。 你也可以建立處理案件的流程，並在需要時將案件升級到Microsoft電子發現 (高級) 。 組織中的風險分析師可以迅速採取適當的動作，以確保使用者符合組織的合規性標準。

欲了解更多資訊及規劃流程概述，以應對組織中可能導致安全事件的高風險活動，請參閱 啟動內部風險管理計畫。

觀看以下影片，了解內部風險管理如何幫助您的組織在優先考量組織價值觀、文化與使用者體驗的同時，預防、偵測及控制風險：

內部風險管理解決方案 & 開發：

內部風險管理工作流程：

請觀看 Microsoft Mechanics 影片 ，了解內部風險管理與通訊合規如何協同合作，幫助降低組織內使用者的資料風險。

現代化風險的困難點

管理組織中的風險並將風險降至最低，可讓您了解在現代化工作場所發現的風險類型。 有些風險來自外部事件和你無法直接控制的因素。 其他風險來自內部事件和使用者行為，你可以盡量減少並避免這些。 例如，組織內使用者因非法、不當、未經授權或不道德的行為與行為而面臨風險。 這些行為包含使用者帶來的廣泛內部風險：

• 洩漏機密資料和資料外洩
• 違反保密協定
• 智慧財產權 (IP) 竊取
• 偽造
• 測試人員交易
• 法規合規性違規

現代職場的使用者可以在廣泛的平台與服務中創建、管理及分享資料。 在大多數情況下，組織在識別與減輕組織整體風險的同時，還要符合使用者隱私標準的資源與工具有限。

Insider Risk Management 運用全方位服務與第三方指標，協助您快速識別、分流並採取行動風險活動。 透過使用 Microsoft 365 和 Microsoft Graph 的日誌，內部風險管理能讓你定義具體政策以識別風險指標。 這些政策幫助您識別風險活動並採取行動降低風險。

內部風險管理的核心原則如下：

• 透明度：以隱私設計架構平衡用戶隱私與組織風險。
• 可設定的：可根據業界、地理位置和商務群組進行設定的原則。
• 整合：跨 Microsoft Purview 解決方案的整合工作流程。
• 可行性：提供洞察以啟用審查者通知、資料調查及使用者調查。

利用分析識別潛在風險

內部風險分析讓您能在不設定任何內部風險政策的情況下，評估組織中潛在的內部風險。 此評估能協助您的組織識別潛在的高用戶風險區域，並決定您可能考慮配置的內部風險管理政策類型與範圍。 此評估也能協助您判斷是否需要額外執照或未來優化現有內部風險保單。

欲了解更多關於內部風險分析的資訊，請參閱 內部風險管理設定：分析。

從建議行動開始

無論您是首次設定內部風險管理，或是剛開始建立新保單，新的 建議行動 體驗都能幫助您充分發揮內部風險管理的功能。 建議的行動包括設定權限、選擇政策指標、建立政策等。

工作流程

內部風險管理工作流程幫助您識別、調查並採取行動，以應對組織內部風險。 透過聚焦的政策範本、Microsoft 365服務間的完整活動訊號傳遞，以及警示與案件管理工具，您可以利用可行的洞察快速識別並採取行動。

透過內部風險管理（Insider Risk Management）識別並解決內部風險活動及合規問題，使用以下工作流程：

原則

你可以利用預先定義的範本和政策條件來建立內部 風險管理政策 ，這些條件定義了在組織中要檢視哪些觸發事件和風險指標。 這些條件包括風險指標如何用於警報、哪些使用者被納入政策、哪些服務被優先排序，以及偵測時間範圍。

要快速開始內部風險管理，請從以下保單範本中選擇：

• 離職使用者竊取的資料
• 資料外洩
• 優先使用者造成的資料外洩
• 風險使用者的資料外洩
• 病患資料濫用 (預覽)
• 危險特工
• 風險AI使用問題
• 瀏覽器使用風險 (預覽)
• 安全政策違規
• 離職使用者造成的安全性原則違規
• 風險使用者違反安全政策
• 優先使用者的安全性原則違規

警示

風險指標在符合保單條件時自動產生警示。 您可以在 警示儀表板 或 分流代理儀表板中看到這些警示。 這些儀表板提供所有需要檢視的警示、持續更新的警示以及組織的警示統計資料。 所有政策警示都會顯示以下資訊，幫助您快速辨識現有警示及需要採取行動的新警示狀態：

• 識別碼
• 使用者
• 提醒
• 狀態
• 警示嚴重性
• 偵測時間
• 案例
• 案例狀態
• 風險因子

分級

需要調查的新使用者活動會自動產生警示並指派「 需求審查 」狀態。 審查者能快速識別、審查、評估並分流這些警示。

透過開啟新案件、將警報指派給現有案件，或是關閉警報來解決警報。 透過警報篩選器，您可以快速依據狀態、嚴重程度或偵測到的時間來識別警報。 作為分流過程的一部分，審查者可以查看政策所識別活動的警示細節、查看與政策匹配相關的使用者活動、警示的嚴重程度，以及檢視使用者個人資料資訊。

調查

快速調查該特定使用者的所有風險活動，並附有 使用者活動報告 (預覽) 。 這些報告讓您組織的調查人員能在特定期間內檢視特定使用者的活動，而無需暫時或明確地將他們分配到內部風險管理政策中。 調查人員在檢視使用者活動後，可以將個別行為視為無害，或透過電子郵件將報告連結分享給其他調查員，或選擇暫時或明確指派該使用者至內部風險管理政策。

案件是為需要更深入審查與調查活動細節及保單配對情況的警示而建立的。 [案例儀表板] 提供組織內所有使用中案例、一段時間後待處理以及案例統計資料的完整檢視。 檢閱者可以按照狀態、開啟案例的日期，以及上次更新案例的日期來快速篩選案例。

在案例儀表板上選取案例即可開啟要調查和檢閱的案例。 此步驟是內部風險管理工作流程的核心。 此區域將風險活動、政策狀況、警示細節及使用者細節整合成一個整合檢視者視圖。 此區域中的主要調查工具如下：

• 使用者活動：互動式圖表會自動顯示使用者風險活動。 它繪製了隨時間及依風險等級繪製當前或過去風險活動的活動。 審查者可以快速篩選並查看使用者的完整風險歷史，並深入分析特定活動以獲得更多細節。
• 內容檔案總管：內容總管會自動擷取並顯示所有與警示活動相關的資料檔案與電子郵件訊息。 檢閱者可以依照資料來源、檔案類型、標記、交談和其他更多屬性篩選和查看檔案和郵件。
• 案件筆記：審稿人可在案件筆記部分提供案件筆記。 此清單將所有筆記整合於中央檢視，並包含審閱者及提交日期資訊。

此外，新的 審計日誌 (預覽) 讓您能隨時掌握內部風險管理功能所採取的行動。 此資源允許獨立審查分配給一個或多個內部風險管理角色群組的使用者所採取的行動。

動作

調查完案件後，審查員能迅速採取行動解決案件，或與組織內其他風險相關者合作。 若使用者不小心或無意違反政策條件，審核者可透過可自訂的通知範本，向使用者發送簡易提醒通知。 這些通知可能只是簡單的提醒，也可能引導使用者進行複訓或指導，以幫助預防未來的風險行為。 欲了解更多資訊，請參閱 內部風險管理通知範本。

在較嚴重的情況下，您可能需要與組織內的其他審查員或服務分享內部風險管理案件資訊。 Insider Risk Management 與其他 Microsoft Purview 解決方案緊密整合，協助您完成端到端的風險解決。

• 電子發現 (高級) ：將案件升級調查可讓你將資料及案件管理轉移至Microsoft Purview 電子文件探索 (高級) 。 電子文件探索 (進階版) 提供端對端工作流程，可讓您保留、收集、檢閱、分析及匯出回應您組織內部及外部調查的內容。 這可讓法務小組管理整個法務保存措施通知工作流程。 欲了解更多關於電子發現 (高級) 案件，請參閱Microsoft Purview 電子文件探索 (高級) 概述。
• Office 365管理 API 整合 (預覽) ：內部風險管理支援透過 Office 365 管理 API 將警示資訊匯出至安全資訊，並 (SIEM) 服務進行事件管理。 在最適合您組織風險流程的平台上取得警示資訊，能讓您在風險活動的行動上有更多彈性。 欲了解更多關於使用 Office 365 管理 API 匯出警示資訊的資訊，請參閱匯出警示。

案例

內部風險管理能協助您偵測、調查並採取行動，在多種常見情境下降低組織內部風險：

離職使用者竊取的資料

當使用者離開組織，無論是自願還是因終止而離開時，常常會產生合理的擔憂，認為公司、客戶及使用者資料正面臨風險。 使用者可能天真地以為專案資料不是專有的，或者他們可能會被誘惑為個人利益而竊取公司資料，違反公司政策和法律標準。 使用「 離職使用者資料竊取 」政策範本的內部風險管理政策，會自動偵測通常與此類竊盜相關的活動。 透過此政策，您會自動收到離職用戶涉及資料竊取的可疑活動警示，以便採取適當的調查行動。 你需要為你的組織設定一個 Microsoft 365 HR 連接器 ，以配合這個政策範本。

故意或無意洩漏敏感或機密資訊

在大多數情況下，使用者會盡力妥善處理敏感或機密資訊。 但偶爾使用者會犯錯，資訊會不小心被分享到組織外部或違反資訊保護政策。 在其他情況下，使用者可能故意洩漏或分享敏感及機密資訊，意圖惡意並可能謀取個人利益。 使用以下政策範本建立的內部風險管理政策，會自動偵測與分享敏感或機密資訊相關的活動：

• 資料外洩
• 優先使用者造成的資料外洩
• 風險使用者的資料外洩
• AI 使用風險

有意或無意的安全政策違規 (預覽)

在現代職場中，使用者通常在管理裝置時擁有高度的控制權。 此控制可能包括安裝或卸載執行任務所需的應用程式權限，或暫時停用裝置安全功能的能力。 無論這種風險行為是無意、意外還是惡意，這些行為都可能對您的組織構成風險，因此必須識別並採取行動加以降低。 為了協助識別這些風險安全活動，以下 Insider Risk Management 安全政策違規範本會評分安全風險指標，並使用 適用於端點的 Microsoft Defender 警示，提供與安全相關活動的洞見：

• 安全政策違規
• 離職使用者造成的安全性原則違規
• 優先使用者的安全性原則違規
• 風險使用者違反安全政策

根據位置、存取權限或風險歷史制定的使用者政策

你組織中的使用者可能會根據他們的職位、敏感資訊的存取權限或風險歷史，面臨不同程度的風險。 此架構可能包括組織的執行領導團隊成員、擁有廣泛資料與網路存取權限的 IT 管理員，或有風險行為紀錄的使用者。 在這種情況下，更深入的檢查與更積極的風險評分對於揭露警示以促進調查與迅速行動至關重要。 為了幫助辨識這類使用者的風險活動，你可以建立優先使用者群組並從以下政策範本建立政策：

• 優先使用者的安全性原則違規
• 優先使用者造成的資料外洩

醫療保健 (預覽)

對於醫療產業組織，近期研究發現內部人員相關資料外洩的比例非常高。 偵測病患資料及健康紀錄資訊的濫用，是保護病患隱私及遵守合規法規（如《健康保險攜帶與責任法案 (》（HIPAA) ）及《經濟與臨床健康資訊科技 (HITECH) 法》等合規法規的重要組成部分。病患資料濫用範圍從存取特權病歷，到惡意存取家屬或鄰居的病患紀錄。 為了協助識別這類風險活動，以下的內部風險管理政策範本使用Microsoft 365人力資源連接器及醫療專用資料連接器，開始對電子健康紀錄 (電子病歷) 系統中可能發生的行為進行風險指標評分：

• 病患資料濫用 (預覽)

風險使用者的行為與行為

就業壓力事件會以多種方式影響使用者行為，這些行為與內部風險相關。 這些壓力源可能是糟糕的績效評估、職位降職，或使用者被放入績效評估計畫。 壓力源也可能導致不當行為，例如用戶在電子郵件及其他訊息中發送可能威脅、騷擾或歧視性的語言。 雖然大多數用戶不會惡意回應這些事件，但這些行為帶來的壓力可能導致部分用戶做出平常不會考慮的行為。 為協助識別這類潛在風險活動，以下內部風險管理政策範本可利用人力資源連接器及/或與 專用的通訊合規政策 整合，將使用者納入內部風險管理政策的範圍，並開始對可能發生的行為進行風險指標評分：

• 風險使用者的資料外洩
• AI 使用風險
• 瀏覽器使用風險 (預覽)
• 風險使用者違反安全政策

具潛在風險使用者活動的視覺背景與鑑識證據

在鑑識調查中，擁有視覺脈絡對於資安團隊來說至關重要，能更深入了解可能導致安全事件的潛在風險使用者活動。 這種洞察可能包括視覺捕捉這些活動，以協助評估它們是否確實有風險，或是斷章取義而非潛在風險。 對於被認定為風險活動，擁有法醫證據擷取能幫助調查人員及貴組織更好地減輕、理解並回應這些活動。 為了協助這種情況，請啟用組織內線上與離線裝置的 鑑識證據擷取 功能。

準備好開始使用了嗎？

• 請參閱「 內部風險管理計畫 」，以便為您的組織啟用內部風險管理政策做準備。
• 請參閱「 開始使用內部風險管理設定 」來設定內部風險政策的全域設定。
• 請參閱「 開始使用內部風險管理 」來設定前置條件、建立政策並開始接收警報。