Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Berlaku untuk Power Platform rekomendasi daftar periksa Well-Architected Security:
| SE:03 | Mengklasifikasikan dan menerapkan label sensitivitas secara konsisten pada semua data dan sistem beban kerja yang terlibat dalam pemrosesan data. Gunakan klasifikasi untuk memengaruhi desain, implementasi, dan prioritas keamanan beban kerja. |
|---|
Panduan ini memberikan rekomendasi untuk mengklasifikasikan data berdasarkan sensitivitasnya. Jenis data yang berbeda memiliki tingkat sensitivitas yang berbeda, dan sebagian besar beban kerja menyimpan berbagai jenis data. Klasifikasi data membantu Anda mengkategorikan data berdasarkan seberapa sensitifnya, jenis informasi apa yang dikandungnya, dan aturan kepatuhan apa yang perlu diikuti. Dengan cara ini, Anda dapat menerapkan tingkat perlindungan yang tepat, seperti kontrol akses, kebijakan retensi untuk berbagai jenis informasi, dan sebagainya.
Definisi
| Istilah | Devinisi |
|---|---|
| Klasifikasi | Proses untuk mengkategorikan aset beban kerja berdasarkan tingkat sensitivitas, jenis informasi, persyaratan kepatuhan, dan kriteria lain yang disediakan oleh organisasi. |
| Metadata | Implementasi untuk menerapkan taksonomi pada aset. |
| Taksonomi | Sistem untuk mengatur data rahasia dengan menggunakan struktur yang disepakati. Biasanya, penggambaran hierarkis klasifikasi data. Ini telah menamai entitas yang menunjukkan kriteria kategorisasi. |
Strategi desain utama
Klasifikasi data membantu Anda mengukur jaminan keamanan dengan benar dan membantu tim triase mempercepat penemuan selama respons insiden. Prasyarat untuk proses desain adalah memahami dengan jelas apakah data harus diperlakukan sebagai rahasia, terbatas, publik, atau klasifikasi sensitivitas lainnya. Penting juga untuk menentukan lokasi tempat data disimpan, karena data mungkin didistribusikan di beberapa lingkungan. Dengan pengetahuan tentang di mana data disimpan, Anda dapat merancang strategi yang melayani persyaratan keamanan.
Mengklasifikasikan data bisa menjadi tugas yang membosankan. Anda dapat menggunakan alat yang dapat menemukan aset data dan merekomendasikan klasifikasi. Tapi jangan hanya bergantung pada alat. Pastikan anggota tim Anda melakukan latihan dengan hati-hati. Kemudian gunakan alat untuk mengotomatiskan saat masuk akal.
Seiring dengan praktik terbaik ini, lihat Membuat kerangka kerja klasifikasi data yang dirancang dengan baik.
Memahami taksonomi yang ditentukan organisasi
Taksonomi adalah penggambaran hierarkis klasifikasi data. Ini telah menamai entitas yang menunjukkan kriteria kategorisasi.
Organisasi yang berbeda mungkin memiliki kerangka kerja klasifikasi data yang berbeda; namun, mereka biasanya terdiri dari tiga hingga lima level dengan nama, deskripsi, dan contoh. Berikut adalah beberapa contoh taksonomi klasifikasi data:
| Sensitivitas | Jenis informasi | Description |
|---|---|---|
| Publik | Materi pemasaran publik, informasi yang tersedia di situs web Anda | Informasi yang dapat diakses secara bebas dan tidak sensitif |
| Internal | Kebijakan, prosedur, atau anggaran yang berhubungan dengan organisasi Anda | Informasi yang berhubungan dengan organisasi tertentu |
| Rahasia | Rahasia dagang, data pelanggan, atau catatan akhir | Informasi yang sensitif dan memerlukan perlindungan |
| Sangat yakin | Informasi Identitas Pribadi Sensitif (PII Sensitif), data pemegang kartu, Informasi Kesehatan yang Dilindungi (PHI), data rekening bank | Informasi yang sangat sensitif dan membutuhkan tingkat keamanan tertinggi. Mungkin memerlukan pemberitahuan hukum jika dilanggar atau diungkapkan. |
Penting
Sebagai pemilik beban kerja, Anda harus mengikuti taksonomi yang telah ditetapkan organisasi Anda. Semua peran beban kerja harus menyetujui struktur, nama, dan arti tingkat sensitivitas. Jangan membuat sistem klasifikasi Anda sendiri.
Menentukan cakupan klasifikasi
Sebagian besar organisasi memiliki serangkaian label yang beragam.
Pastikan Anda mengetahui aset dan komponen data mana yang termasuk dalam setiap tingkat sensitivitas, dan mana yang tidak. Tujuannya bisa berupa pemecahan masalah yang lebih cepat, pemulihan bencana yang lebih cepat, atau audit hukum. Ketika Anda mengetahui tujuan Anda dengan baik, itu membantu Anda melakukan pekerjaan klasifikasi Anda dengan benar.
Mulailah dengan pertanyaan sederhana ini dan perluas seperlunya berdasarkan kompleksitas sistem Anda:
- Apa asal data dan jenis informasi?
- Apa pembatasan yang diharapkan berdasarkan akses? Misalnya, apakah itu data informasi publik, peraturan, atau kasus penggunaan lain yang diharapkan?
- Apa jejak datanya? Di mana data disimpan? Berapa lama data harus disimpan?
- Komponen arsitektur mana yang berinteraksi dengan data?
- Bagaimana data bergerak melalui sistem?
- Informasi apa yang diharapkan dalam laporan audit?
- Apakah Anda perlu mengklasifikasikan data praproduksi?
Inventarisasi penyimpanan data Anda
Klasifikasi data berlaku untuk sistem secara keseluruhan. Inventarisasi semua penyimpanan data dan komponen yang berada dalam cakupan. Jika Anda merancang sistem baru, pastikan untuk memiliki kategorisasi awal per definisi taksonomi. Pikirkan tentang bagaimana data akan mengalir melalui sistem Anda antar komponen, dan pastikan data tidak melewati batas klasifikasi data.
Pertimbangkan bagaimana Anda akan terhubung ke data:
Data baru: Jika beban kerja Anda menghasilkan data baru yang sebelumnya tidak disimpan di mana pun, seperti saat bertransisi dari proses berbasis kertas, sebaiknya simpan data Microsoft Dataverse ini. Anda kemudian dapat menyambungkan dan mengelola Microsoft Dataverse data melalui Microsoft Purview.
Baca/tulis dari sistem yang ada: Jika beban kerja Anda perlu terhubung ke data yang sudah ada, Anda perlu merancang cara membaca dan menulis ke database atau sistem yang ada. Anda dapat menggunakan tabel virtual, menyambungkan ke data melalui konektor, aliran data, atau menggunakan gateway lokal untuk data lokal.
Tentukan cakupan Anda
Bersikaplah terperinci dan eksplisit saat menentukan cakupan. Misalkan penyimpanan data Anda adalah sistem tabel. Anda ingin mengklasifikasikan sensitivitas di tingkat tabel atau bahkan kolom dalam tabel. Selain itu, pastikan untuk memperluas klasifikasi ke komponen penyimpanan nondata yang mungkin terkait atau memiliki bagian dalam pemrosesan data. Misalnya, sudahkah Anda mengklasifikasikan cadangan penyimpanan data Anda yang sangat sensitif? Jika Anda menyimpan data yang sensitif terhadap pengguna, apakah penyimpanan data penembolokan dalam cakupan? Jika Anda menggunakan penyimpanan data analitik, bagaimana data agregat diklasifikasikan?
Desain sesuai dengan label klasifikasi
Klasifikasi harus memengaruhi keputusan arsitektur Anda. Area yang paling jelas adalah strategi segmentasi Anda, yang harus mempertimbangkan label klasifikasi yang bervariasi.
Informasi klasifikasi harus bergerak bersama data saat transisi melalui sistem dan di seluruh komponen beban kerja. Data yang diberi label rahasia harus diperlakukan sebagai rahasia oleh semua komponen yang berinteraksi dengannya. Misalnya, pastikan untuk melindungi data pribadi dengan menghapus atau mengaburkannya dari semua jenis log aplikasi.
Klasifikasi memengaruhi desain laporan Anda dalam cara data harus diekspos. Misalnya, berdasarkan label jenis informasi Anda, apakah Anda perlu menerapkan algoritme penyamaran data untuk pengaburan sebagai hasil dari label jenis informasi? Peran mana yang harus memiliki visibilitas ke dalam data mentah versus data tersembunyi? Jika ada persyaratan kepatuhan untuk pelaporan, bagaimana data dipetakan dengan peraturan dan standar? Ketika Anda memiliki pemahaman ini, lebih mudah untuk menunjukkan kepatuhan terhadap persyaratan khusus dan membuat laporan untuk auditor.
Ini juga memengaruhi operasi manajemen siklus hidup data, seperti retensi data dan jadwal penonaktifan.
Menerapkan taksonomi untuk kueri
Ada banyak cara untuk menerapkan label taksonomi ke data yang diidentifikasi. Menggunakan skema klasifikasi dengan metadata adalah cara paling umum untuk menunjukkan label. Proses desain arsitektur harus mencakup desain skema.
Perlu diingat bahwa tidak semua data dapat diklasifikasikan dengan jelas. Buat keputusan eksplisit tentang bagaimana data yang tidak dapat diklasifikasikan harus diwakili dalam pelaporan.
Implementasi sebenarnya tergantung pada jenis sumber daya. Data yang digunakan oleh beban kerja Anda Power Platform mungkin berasal dari sumber data di luar Power Platform. Skema Anda harus menyertakan detail tentang bagaimana data dari sumber data yang berbeda bergerak melalui beban kerja, atau berpotensi ditransfer dari satu penyimpanan data ke penyimpanan data lainnya, sambil mempertahankan integritas klasifikasi.
Sumber daya Azure tertentu memiliki sistem klasifikasi bawaan. Misalnya, Azure SQL Server memiliki mesin klasifikasi, mendukung penyamaran dinamis, dan dapat menghasilkan laporan berdasarkan metadata. Microsoft Teams,groups Microsoft 365 , dan SharePoint sites dapat memiliki label sensitivitas yang diterapkan di tingkat kontainer. Microsoft Dataverse terintegrasi dengan Microsoft Purview untuk menerapkan label data.
Saat Anda merancang implementasi, evaluasi fitur yang didukung oleh platform dan manfaatkan. Pastikan metadata yang digunakan untuk klasifikasi diisolasi dan disimpan secara terpisah dari penyimpanan data.
Ada juga alat klasifikasi khusus yang dapat mendeteksi dan menerapkan label secara otomatis. Alat-alat ini terhubung ke sumber data Anda. Microsoft Purview memiliki kemampuan penemuan otomatis. Ada juga alat pihak ketiga yang menawarkan kemampuan serupa. Proses penemuan harus divalidasi melalui verifikasi manual.
Tinjau klasifikasi data secara teratur. Pemeliharaan klasifikasi harus dibangun ke dalam operasi, jika tidak, metadata kedaluwarsa dapat menyebabkan hasil yang salah untuk tujuan yang diidentifikasi dan masalah kepatuhan.
Pengorbanan: Perhatikan pengorbanan biaya pada perkakas. Alat klasifikasi memerlukan pelatihan dan bisa rumit.
Pada akhirnya, klasifikasi harus digulirkan ke organisasi melalui tim pusat. Dapatkan masukan dari mereka tentang struktur laporan yang diharapkan. Selain itu, manfaatkan alat dan proses terpusat untuk memiliki keselarasan organisasi dan juga meringankan biaya operasional.
Power Platform Fasilitasi
Klasifikasi harus memengaruhi keputusan arsitektur Anda.
Microsoft Purview menyediakan visibilitas ke aset data di seluruh organisasi Anda. Untuk informasi selengkapnya, lihat Pelajari tentang Microsoft Purview.
Microsoft Purview Data Map memungkinkan penemuan data otomatis dan klasifikasi data sensitif. Integrasi antara Microsoft Purview dan Microsoft Dataverse akan membantu Anda lebih memahami dan mengatur data estate aplikasi bisnis Anda, melindungi data tersebut, dan meningkatkan risiko dan postur kepatuhannya.
Dengan integrasi ini, Anda dapat:
- Buat peta data yang holistik dan terkini di 365 Microsoft Dynamics , Power Platform, dan sumber lain yang didukung oleh Microsoft Purview.
- Klasifikasikan aset data secara otomatis berdasarkan klasifikasi sistem bawaan atau klasifikasi kustom yang ditentukan pengguna, untuk membantu mengidentifikasi dan memahami data sensitif.
- Berdayakan konsumen data untuk menemukan data yang berharga dan dapat dipercaya.
- Memungkinkan kurator data dan administrator keamanan untuk mengelola dan menjaga keamanan data estate, mengurangi paparan data, dan melindungi data sensitif dengan lebih baik.
Untuk informasi selengkapnya, lihat Menyambungkan ke dan mengelola Microsoft Dataverse di Microsoft Purview.
Penyelarasan organisasi
Cloud Adoption Framework memberikan panduan bagi tim pusat tentang cara mengklasifikasikan data sehingga tim beban kerja dapat mengikuti taksonomi organisasi.
Untuk informasi selengkapnya, lihat Apa itu klasifikasi data?
Informasi terkait
- Klasifikasi data dan taksonomi label sensitivitas
- Membuat kerangka kerja klasifikasi data yang dirancang dengan baik
- Menyambungkan ke dan mengelola Microsoft Dataverse di Microsoft Purview
Daftar periksa keamanan
Lihat rangkaian lengkap rekomendasi.