當您開發、改造或精簡資料分類架構時,請考慮下列主要做法:
不要期望在第 1 天從 0 到 100:Microsoft 建議採用編目-遍歷-運行方法,優先考慮對組織至關重要的功能,並將它們映射到時間表。 完成第一步,確保成功,然後繼續下一階段應用所學到的經驗教訓。 請記住,當您設計資料分類架構時,您的組織可能仍會面臨風險,因此可以從幾個分類層級開始,稍後視需要進行擴充。
您不僅僅是為網路安全專業人士撰寫文章:資料分類框架適用於廣泛的受眾,包括您的普通員工、您的法律和合規團隊以及您的 IT 團隊。 為您的資料分類層級編寫清晰、易於理解的定義,並儘可能提供真實世界的範例。 嘗試避免使用術語,並考慮縮寫和高度技術性術語的詞彙。 例如,使用「個人識別資訊」並提供定義,而不是簡單地說「PII」。
資料分類框架旨在實現:為了使資料分類框架成功,必須實施它們。 在制定每個資料分類層級的控制需求時,這一點尤其重要。 確保明確定義需求,並預測並解決實施過程中可能出現的任何歧義。 例如,如果您有個人識別資訊的控制項,請務必詳細說明該控制項的含義,例如社會安全號碼或護照號碼。
只有在需要時才進行細微化:資料分類架構通常包含三到五個資料分類層級。 但若只因為您 可以 包含五個層級,並不表示您 應該 這麼做。 決定您需要的分類層級數目時,請考慮下列準則:
- 您的產業以及 (高度管制產業的相關監管義務往往需要更多的分類層級)
- 維護更複雜架構所需的營運額外負荷
- 您的使用者及其遵守與更多分類層級相關聯的複雜性和細微差別的能力
- 尋求跨多種裝置類型套用手動分類時的使用者體驗和協助工具
讓合適的人參與:擁有高階利害關係人對於成功至關重要,因為許多專案在沒有高階管理層支持的情況下很難啟動或花費更長的時間。 資訊技術團隊通常擁有資料分類架構,但這些架構可能具有法律、合規性、隱私權和變更管理影響。 為確保您建立有助於保護業務的框架,請讓隱私權和法律利害關係人 (例如您的隱私權長和總法律顧問辦公室) 參與您的政策制定。 如果您的組織有合規性部門、資訊控管專業人員或記錄管理小組,他們也可能有寶貴的意見。 當您的架構向企業推出時,您的通訊部門在內部訊息傳遞和採用方面也扮演著關鍵角色。
平衡安全性與便利性:一個常見的錯誤是起草一個安全但過度限制的資料分類框架。 此架構在設計時可能會考慮到安全性,但在實踐中通常難以實施。 如果使用者需要遵循複雜、嚴格且耗時的程序來將該框架應用到日常生活中,那麼他們總是有可能因為不再相信其價值而停止遵循該程序。 此風險存在於組織的所有層級,包括組織內的執行層級 (C 級高管) 主管。 安全性與便利性以及易於使用的工具之良好平衡,通常會帶來更廣泛的使用者採用和使用。 如果您的架構中有缺口,請勿等到一切都已就緒可開始實作,才來解決。 相反,評估風險或差距,制定減輕風險或差距的計劃,然後繼續前進。 請記住,資訊保護是一個旅程,它不是一夜之間啟動然後完成的事情。 規劃、實作部分功能、確認成功,並隨著工具的發展和使用者的成熟與經驗累積,而逐一邁入下一個里程碑。
另請記住,資料分類架構僅解決您的組織應採取 哪些 措施來保護敏感資料。 資料分類框架通常附帶資料處理規則或指南,定義 如何 從技術和技術角度實施這些策略。 在以下各節中,我們將轉向一些實用指南,了解如何將資料分類架構從政策文件轉變為完全實施且可操作的計劃。
建立資料分類架構的困難之處
資料分類工作幾乎涉及企業內的所有業務功能。 由於在現代數位環境中管理內容的範圍和複雜性,公司經常面臨從哪裡開始、如何管理成功實施以及如何衡量進度的挑戰。 常見的痛點通常包括:
- 設計一個強大且易於理解的資料分類框架,包括確定分類級別和相關的安全控制。
- 制定實施計劃,包括確認適當的技術解決方案、使計劃與現有業務流程保持一致,以及確定對員工的影響。
- 在所選技術解決方案中建立資料分類框架,並解決工具技術能力與框架本身之間的任何差距。
- 建立治理結構來監督資料分類工作的持續維護和健康情況。
- 確定特定的關鍵績效指標 (KPI) 監控和衡量進度。
- 提高對資料分類原則的認識和理解、它們為何重要以及如何遵守它們。
- 遵守針對資料遺失和網路安全控制的內部稽核審查。
- 培訓和吸引用戶,以便他們意識到在日常工作中正確分類的必要性並應用正確的分類措施。
變更管理和培訓
如今,組織使用 Microsoft 365 等工具來實作其資料分類架構。 目的是嘗試自動化資料分類,而不是增加員工的負擔。 此結構並不表示您的組織沒有責任提高管理內容需求的意識,並保護組織免受本文所討論的風險。 作為年度培訓計劃的一部分,主要做法仍然是在整個組織內進行意識培訓。 我們的經驗表明,投入強大而全面的努力來培訓您的用戶,他們是執行這項工作的關鍵受眾,可以增加他們對這項工作的“支持”,並可以提高採用率和質量。 添加 標籤推薦 和應用程式內提示可以放大這些努力。 此培訓不需要是廣泛的獨立課程。 您的組織可以將其納入其他定期訓練中,例如資訊安全年度訓練,然後包含資料分類層級和定義的概觀。 要點是,您的員工了解,即使該工具正在自動分類數據,這並不能消除每個用戶根據公司政策保護數據的整體責任。
此外,您應該考慮對 IT 和資訊安全團隊進行更深入的培訓,以加強營運準備。 管理工具和資料分類架構的團隊必須在同一頁上。 這種協調可能需要您投資更強大的培訓計劃,該計劃可能比每年更頻繁。 投資於更頻繁的培訓是降低組織風險的另一種途徑。 該團隊負責實施,因此如果沒有接受工具和策略的培訓,可能會成為失敗點。
如果您需要在工具中手動標記內容,則開發一組接受更進階訓練的超級使用者是合適的。 這些超級使用者會參與使用者需要使用資料敏感度標籤手動標記文件的情況,並深入了解組織的資料分類架構和法規需求。
最後,您的領導層應優先考慮倡導資訊安全行為,以向員工強調風險管理措施的重要性。 這些行為包括開發和實施強大的資料分類框架,以及指派關鍵領導者來推動該計劃,有時稱為變革大使或倡導者。
控管和維護
開發並實作資料分類架構之後,持續的治理和維護對於您的成功至關重要。 除了追蹤敏感度標籤在實務中的使用方式之外,您還需要根據法規的變更、網路安全性領先做法,以及您管理的內容的本質來更新控制需求。 治理和維護工作可能包括:
- 建立專門負責資料分類的控管機構,或者在現有資訊安全性機構的章程中新增資訊分類的職責。
- 定義監督資料分類之使用者的角色和責任。
- 建立 KPI 以監視和測量進度。
- 追蹤網路安全性最佳做法和法規變更。
- 開發支援和強制執行資料分類架構的標準作業程序。
行業考慮因素
雖然開發強大的資料分類架構的基本原則是通用的,但架構的詳細資訊取決於產業的性質,以及資料所需的獨特合規性和安全性因素。
例如,金融服務公司可能需要根據其業務範圍和營運地區考慮遵守多個監管框架。 美國證券公司必須遵守 SEC 規則 17a-4 (f) 或 FINRA 規則 4511 等帳戶法規,這些法規涉及有關帳簿和記錄的安全性和保留的要求。 同樣,在英國運營的公司需要考慮 FCA 合規性。
政府機構面臨管理其資料的各種法規,這些法規根據地區和工作性質而有所不同。 例如,在美國中, (FTI) 存取聯邦稅務資訊的政府機構及其代理人必須遵守 IRS 1075,該法規旨在最大限度地降低聯邦稅務資訊遺失、洩露或濫用的風險。
雖然金融服務公司和政府機構是世界上監管最嚴格的組織之一,但大多數企業都有您需要考慮的特定行業考慮因素。 一些範例包括:
- 確保 遵守 HIPAA 的健康產業組織。
- 從 K-12 學校到大學的教育機構管理 FERPA 合規性。
- 致力於遵守其所在國家或地區有關資訊安全的 GxP 指南 的藥品製造商。
- 媒體、零售和許多其他處理 GDPR 合規性的公司。
- 處理 CDSA 的娛樂、軟體和資訊內容的交付和儲存。
- 符合 NERC CIP標準的能源行業信息安全。
在 Microsoft 365 中實作資料分類架構
開發資料分類架構之後,請實作它。 Microsoft Purview 入口網站可讓系統管理員根據其資料分類架構來探索、分類、檢閱及監視其資料。 使用敏感度標籤,藉由強制執行加密和內容標記等保護措施來保護您的資料。 您可以根據原則設定手動套用敏感度標籤至資料,或在符合已識別 PII 等條件時自動套用敏感度標籤。
對於較小的組織或具有簡化資料分類架構的組織,為每個資料分類層級建立單一敏感度標籤可能就足夠了。 下列範例顯示敏感度標籤對應的一對一資料分類層級:
| 分類標籤 | 敏感度標籤 | 標籤設定 | 發佈至 |
|---|---|---|---|
| 不受限制 | 不受限制 | 套用「不受限制」頁尾 | 所有使用者 |
| 一般 | 一般 | 套用「一般」頁尾 | 所有使用者 |
提示
在 Microsoft 內部資訊保護試點期間,使用者難以理解和使用「個人」標籤。 他們對這個標籤指的是 PII 還是個人事務感到困惑。 為了使標籤更清楚,請將其更改為“非商業”。 此範例顯示分類法從一開始就無需完美無缺。 從您認為正確的開始,試點它,並在需要時根據回饋調整標籤。
對於具有全球影響力或更複雜資訊安全性需求的大型組織,您可能會發現原則中的分類層級數目與 Microsoft 365 環境中敏感度標籤數目之間的一對一關聯性是一項挑戰。 這項挑戰在全球組織中尤其如此,因為給定的資料分類層級(例如「受限」)可能會根據地區的不同具有不同的定義或不同的控制集。
如需實作的詳細資訊,請參閱 瞭解資料分類 和 瞭解敏感度標籤。