Nota
L'accés a aquesta pàgina requereix autorització. Pots provar d'iniciar sessió o canviar de directori.
L'accés a aquesta pàgina requereix autorització. Pots provar de canviar directoris.
S'aplica a la recomanació de Power Platform la llista de verificació de seguretat ben arquitectada:
| SE:03 | Classificar i aplicar etiquetes de confidencialitat de manera coherent a totes les dades de càrrega de treball i sistemes implicats en el processament de dades. Utilitzeu la classificació per influir en el disseny, la implementació i la priorització de la seguretat de la càrrega de treball. |
|---|
Aquesta guia proporciona recomanacions per classificar les dades en funció de la seva sensibilitat. Els diferents tipus de dades tenen diferents nivells de sensibilitat i la majoria de les càrregues de treball emmagatzemen diversos tipus de dades. La classificació de dades us ajuda a categoritzar les dades segons la sensibilitat que tenen, quin tipus d'informació conté i quines normes de compliment han de seguir. D'aquesta manera, podeu aplicar el nivell adequat de protecció, com ara controls d'accés, polítiques de retenció per a diferents tipus d'informació, etc.
Definicions
| Terme | Definició |
|---|---|
| Classificació | Un procés per categoritzar els actius de càrrega de treball per nivells de sensibilitat, tipus d'informació, requisits de compliment i altres criteris proporcionats per l'organització. |
| Metadades | Una implementació per aplicar la taxonomia als actius. |
| Taxonomia | Un sistema per organitzar dades classificades mitjançant una estructura acordada. Normalment, una representació jeràrquica de la classificació de dades. Té entitats anomenades que indiquen criteris de categorització. |
Estratègies clau de disseny
La classificació de dades us ajuda a dimensionar correctament les garanties de seguretat i ajuda l'equip de triatge a accelerar el descobriment durant la resposta a incidents. Un requisit previ per al procés de disseny és entendre clarament si les dades s'han de tractar com a confidencials, restringides, públiques o qualsevol altra classificació de sensibilitat. També és essencial determinar les ubicacions on s'emmagatzemen les dades, ja que les dades es poden distribuir en diversos entorns. Amb el coneixement d'on s'emmagatzemen les dades, podeu dissenyar una estratègia que compleixi els requisits de seguretat.
Classificar les dades pot ser una tasca tediosa. Podeu utilitzar eines que poden trobar recursos de dades i recomanar classificacions. Però no depenguis només de les eines. Assegureu-vos que els membres del vostre equip facin els exercicis amb cura. A continuació, utilitzeu eines per automatitzar quan tingui sentit.
Juntament amb aquestes pràctiques recomanades, vegeu Crear un marc de classificació de dades ben dissenyat.
Entendre la taxonomia definida per l'organització
La taxonomia és una representació jeràrquica de la classificació de dades. Té entitats anomenades que indiquen els criteris de categorització.
Diferents organitzacions poden tenir diferents marcs de classificació de dades; tanmateix, solen constar de tres a cinc nivells amb noms, descripcions i exemples. Aquests són alguns exemples de taxonomia de classificació de dades:
| Sensibilitat | Tipus d'informació | Descripció |
|---|---|---|
| Pública | Material de màrqueting públic, informació disponible al vostre lloc web | Informació de lliure accés i no sensible |
| Intern | Polítiques, procediments o pressupostos relacionats amb la vostra organització | Informació relacionada amb una organització específica |
| Confidencial | Secrets comercials, dades de clients o registres finals | Informació sensible i que requereix protecció |
| Altament confidencial | Informació confidencial d'identificació personal (PII sensible), dades del titular de la targeta, informació sanitària protegida (PHI), dades del compte bancari | Informació altament sensible i que requereix el màxim nivell de seguretat. Pot requerir notificacions legals si s'incompleix o es divulga d'una altra manera. |
Important
Com a propietari de la càrrega de treball, hauríeu de seguir la taxonomia que ha establert la vostra organització. Tots els rols de càrrega de treball han d'estar d'acord en l'estructura, els noms i els significats dels nivells de sensibilitat. No creeu el vostre propi sistema de classificació.
Definiu l'abast de la classificació
La majoria de les organitzacions tenen un conjunt divers d'etiquetes.
Assegureu-vos que sabeu quins actius i components de dades pertanyen a cada nivell de sensibilitat i quins no. L'objectiu podria ser una resolució de problemes més ràpida, una recuperació de desastres més ràpida o auditories legals. Quan coneixes bé el teu objectiu, t'ajuda a fer el teu treball de classificació correctament.
Comenceu amb aquestes preguntes senzilles i amplieu-les segons sigui necessari en funció de la complexitat del vostre sistema:
- Quin és l'origen de les dades i el tipus d'informació?
- Quina és la restricció prevista en funció de l'accés? Per exemple, són dades d'informació pública, reguladores o altres casos d'ús esperats?
- Quina és la petjada de dades? On s'emmagatzemen les dades? Quant de temps s'han de conservar les dades?
- Quins components de l'arquitectura interactuen amb les dades?
- Com es mouen les dades pel sistema?
- Quina informació s'espera en els informes d'auditoria?
- Necessites classificar les dades de preproducció?
Fer un inventari dels magatzems de dades
La classificació de dades s'aplica al sistema en el seu conjunt. Fes un inventari de tots els magatzems de dades i components que estan dins de l'abast. Si esteu dissenyant un sistema nou, assegureu-vos de tenir una categorització inicial per definicions de taxonomia. Penseu en com les dades fluiran a través del vostre sistema entre components i assegureu-vos que les dades no creuin els límits de classificació de dades.
Tingueu en compte com us connectareu a les dades:
Dades noves: si la càrrega de treball genera dades noves que no s'emmagatzemaven anteriorment, com ara quan es fa la transició d'un procés en paper, us recomanem que emmagatzemeu aquestes dades Microsoft Dataverse. A continuació, podeu connectar i gestionar Microsoft Dataverse dades a través de Microsoft Purview.
Lectura/escriptura des d'un sistema existent: si la vostra càrrega de treball necessita connectar-se a dades que ja existeixen, heu de dissenyar com llegir i escriure a la base de dades o al sistema existent. Podeu utilitzar taules virtuals, connectar-vos a les dades mitjançant connectors, fluxos de dades o utilitzar una passarel·la local per a dades locals.
Definiu el vostre abast
Sigues granular i explícit a l'hora de definir l'abast. Suposem que el vostre magatzem de dades és un sistema tabular. Voleu classificar la sensibilitat al nivell de taula o fins i tot a les columnes de la taula. A més, assegureu-vos d'estendre la classificació als components que no són del magatzem de dades que puguin estar relacionats o tenir part en el processament de les dades. Per exemple, heu classificat la còpia de seguretat del vostre magatzem de dades altament sensible? Si esteu emmagatzemant a la memòria cau dades sensibles de l'usuari, el magatzem de dades de memòria cau està en l'abast? Si utilitzeu magatzems de dades analítiques, com es classifiquen les dades agregades?
Disseny segons etiquetes de classificació
La classificació ha d'influir en les vostres decisions arquitectòniques. L'àrea més òbvia és la vostra estratègia de segmentació, que hauria de tenir en compte les diferents etiquetes de classificació.
La informació de classificació s'ha de moure amb les dades a mesura que transiten pel sistema i entre els components de la càrrega de treball. Les dades etiquetades com a confidencials han de ser tractades com a confidencials per tots els components que interactuen amb elles. Per exemple, assegureu-vos de protegir les dades personals eliminant-les o ofuscant-les de qualsevol tipus de registre d'aplicacions.
La classificació afecta el disseny de l'informe de la manera en què s'han d'exposar les dades. Per exemple, en funció de les etiquetes de tipus d'informació, heu d'aplicar un algorisme d'emmascarament de dades per a l'ofuscació com a resultat de l'etiqueta de tipus d'informació? Quins rols haurien de tenir visibilitat de les dades en brut enfront de les dades emmascarades? Si hi ha requisits de compliment per als informes, com s'assignen les dades a les regulacions i estàndards? Quan teniu aquesta comprensió, és més fàcil demostrar el compliment de requisits específics i generar informes per als auditors.
També afecta les operacions de gestió del cicle de vida de les dades, com ara la retenció de dades i els programes de desmantellament.
Aplicar la taxonomia per a les consultes
Hi ha moltes maneres d'aplicar etiquetes de taxonomia a les dades identificades. L'ús d'un esquema de classificació amb metadades és la manera més comuna d'indicar les etiquetes. El procés de disseny de l'arquitectura ha d'incloure el disseny de l'esquema.
Tingueu en compte que no totes les dades es poden classificar clarament. Preneu una decisió explícita sobre com s'han de representar les dades que no es poden classificar als informes.
La implementació real depèn del tipus de recursos. Les dades consumides per la càrrega Power Platform de treball poden provenir de fonts de dades externes Power Platform. L'esquema ha d'incloure detalls sobre com les dades de diferents fonts de dades es mouen a través de la càrrega de treball o es transfereixen potencialment d'un magatzem de dades a l'altre, mantenint la integritat de la classificació.
Alguns recursos Azure tenen sistemes de classificació integrats. Per exemple, Azure SQL Server té un motor de classificació, admet l'emmascarament dinàmic i pot generar informes basats en metadades. Microsoft Teams, Microsoft 365 els grups i SharePoint els llocs poden tenir etiquetes de confidencialitat aplicades al nivell de contenidor. Microsoft Dataverse s'integra amb Microsoft Purview per aplicar etiquetes de dades.
Quan dissenyeu la vostra implementació, avalueu les característiques admeses per la plataforma i aprofiteu-les. Assegureu-vos que les metadades utilitzades per a la classificació estiguin aïllades i emmagatzemades per separat dels magatzems de dades.
També hi ha eines de classificació especialitzades que poden detectar i aplicar etiquetes automàticament. Aquestes eines estan connectades a les vostres fonts de dades. Microsoft Purview té capacitats de descobriment automàtic. També hi ha eines de tercers que ofereixen capacitats similars. El procés de descobriment s'ha de validar mitjançant verificació manual.
Reviseu la classificació de dades regularment. El manteniment de la classificació s'ha d'incorporar a les operacions, en cas contrari, les metadades obsoletes poden conduir a resultats erronis per als objectius identificats i problemes de compliment.
Compensació: tingueu en compte la compensació de costos de les eines. Les eines de classificació requereixen formació i poden ser complexes.
En última instància, la classificació ha d'arribar a l'organització a través d'equips centrals. Obteniu informació sobre l'estructura de l'informe esperada. A més, aprofiteu les eines i processos centralitzats per tenir alineació organitzativa i també alleujar els costos operatius.
Power Platform facilitació
La classificació ha d'influir en les vostres decisions arquitectòniques.
Microsoft Purview proporciona visibilitat dels actius de dades de tota la vostra organització. Per obtenir més informació, consulta Informació sobre Microsoft Purview.
Microsoft Purview Data Map permet el descobriment automatitzat de dades i la classificació de dades sensibles. La integració entre Microsoft Purview us Microsoft Dataverse ajudarà a entendre i governar millor el patrimoni de dades de les vostres aplicacions empresarials, protegir aquestes dades i millorar la seva postura de risc i compliment.
Amb aquesta integració, podeu:
- Creeu un mapa de dades holístic i actualitzat a través Microsoft Dynamics de 365 Power Platform i altres fonts compatibles amb Microsoft Purview.
- Classifica automàticament els actius de dades en funció de les classificacions del sistema integrades o de les classificacions personalitzades definides per l'usuari, per ajudar a identificar i entendre les dades sensibles.
- Capaciteu els consumidors de dades per descobrir dades valuoses i fiables.
- Permetre que els curadors de dades i els administradors de seguretat gestionin i mantinguin segurs el patrimoni de dades, redueixin l'exposició de les dades i protegeixin millor les dades sensibles.
Per obtenir més informació, vegeu Connectar-se i gestionar Microsoft Dataverse a Microsoft Purview.
Alineació organitzativa
Cloud Adoption Framework proporciona orientació per als equips centrals sobre com classificar les dades perquè els equips de càrrega de treball puguin seguir la taxonomia organitzativa.
Per obtenir més informació, vegeu Què és la classificació de dades?
Informació relacionada
- Classificació de dades i taxonomia d'etiquetes de sensibilitat
- Crear un marc de classificació de dades ben dissenyat
- Connectar-se i gestionar Microsoft Dataverse a Microsoft Purview
Llista de comprovació de seguretat
Consulteu el conjunt complet de recomanacions.