Memenuhi persyaratan peraturan dan kepatuhan
Sebagai bagian dari panduan adopsi Zero Trust , artikel ini menjelaskan skenario bisnis persyaratan peraturan dan kepatuhan yang mungkin berlaku untuk organisasi Anda.
Terlepas dari kompleksitas lingkungan TI organisasi Anda atau ukuran organisasi Anda, persyaratan peraturan baru yang mungkin memengaruhi bisnis Anda terus bertambah. Peraturan ini termasuk Peraturan Perlindungan Data Umum (GDPR) Uni Eropa, California Consumer Privacy Act (CCPA), segudang peraturan layanan kesehatan dan informasi keuangan serta persyaratan residensi data.
Proses memenuhi persyaratan peraturan dan kepatuhan bisa panjang, kompleks, dan melelahkan ketika tidak dikelola dengan benar. Tantangan ini telah meningkatkan beban kerja tim keamanan, kepatuhan, dan peraturan untuk mencapai dan membuktikan kepatuhan, mempersiapkan audit, dan menerapkan praktik terbaik yang sedang berlangsung.
Pendekatan Zero Trust sering melebihi beberapa jenis persyaratan yang diberlakukan oleh peraturan kepatuhan, misalnya, yang mengontrol akses ke data pribadi. Organisasi yang telah menerapkan pendekatan Zero Trust mungkin menemukan bahwa mereka sudah memenuhi beberapa kondisi baru atau dapat dengan mudah membangun arsitektur Zero Trust mereka agar sesuai.
| Pendekatan tradisional untuk memenuhi persyaratan peraturan dan kepatuhan | Pendekatan modern untuk memenuhi persyaratan peraturan dan kepatuhan dengan Zero Trust |
|---|---|
| Banyak organisasi menggunakan berbagai solusi warisan yang dijahit bersama-sama. Solusi ini sering kali tidak bekerja sama dengan mulus, mengekspos kesenjangan infrastruktur dan meningkatkan biaya operasional. Beberapa "solusi ras terbaik" independen bahkan dapat mencegah kepatuhan terhadap peraturan tertentu saat mereka terbiasa bertemu yang lain. Salah satu contoh yang tersebar luas adalah penggunaan enkripsi untuk memastikan bahwa individu yang berwenang menangani data dengan aman. Tetapi sebagian besar solusi enkripsi membuat data buram ke layanan seperti Pencegahan Kehilangan Data (DLP), eDiscovery, atau pengarsipan. Enkripsi mencegah organisasi melakukan uji kelayakan pada tindakan yang dilakukan oleh pengguna yang menggunakan data terenkripsi. Hasil ini memaksa organisasi untuk membuat keputusan yang keras dan berisiko, seperti melarang semua penggunaan enkripsi tingkat file untuk transfer data sensitif atau membiarkan data terenkripsi keluar dari organisasi tanpa disadari. |
Menyatukan strategi dan kebijakan keamanan Anda dengan pendekatan Zero Trust memecah silo antara tim IT dan sistem, memungkinkan visibilitas dan perlindungan yang lebih baik di seluruh tumpukan TI. Solusi kepatuhan terintegrasi secara asli, seperti yang ada di Microsoft Purview, tidak hanya bekerja sama untuk mendukung persyaratan kepatuhan Anda dan pendekatan Zero Trust, tetapi mereka melakukannya dengan transparansi penuh, memungkinkan setiap solusi untuk memanfaatkan manfaat orang lain, seperti kepatuhan komunikasi yang memanfaatkan label sensitivitas dalam konten. Solusi kepatuhan terintegrasi dapat memberikan cakupan yang diperlukan dengan tradeoff minimal, seperti konten terenkripsi yang diproses secara transparan oleh solusi eDiscovery atau DLP. Visibilitas real time memungkinkan penemuan aset otomatis, termasuk aset dan beban kerja penting, sementara mandat kepatuhan dapat diterapkan ke aset ini melalui klasifikasi dan pelabelan sensitivitas. Menerapkan arsitektur Zero Trust membantu Anda memenuhi persyaratan peraturan dan kepatuhan dengan strategi yang komprehensif. Penggunaan solusi Microsoft Purview dalam arsitektur Zero Trust membantu Anda menemukan, mengatur, melindungi, dan mengelola seluruh data estate organisasi Anda sesuai dengan peraturan yang memengaruhi organisasi Anda. Strategi Zero Trust sering melibatkan penerapan kontrol yang memenuhi atau melebihi persyaratan peraturan tertentu, yang mengurangi beban melakukan perubahan di seluruh sistem untuk mematuhi persyaratan peraturan baru. |
Panduan dalam artikel ini memandu Anda melalui cara memulai Zero Trust sebagai kerangka kerja untuk memenuhi persyaratan peraturan dan kepatuhan Anda dengan penekanan tentang cara berkomunikasi dan bekerja dengan pemimpin bisnis dan tim di seluruh organisasi Anda.
Artikel ini menggunakan fase siklus hidup yang sama dengan Cloud Adoption Framework for Azure—Menentukan strategi, Rencana, Siap, Adopsi, dan Kelola—tetapi disesuaikan untuk Zero Trust.
Tabel berikut adalah versi ilustrasi yang dapat diakses.
| Menentukan strategi | Paket | Siap | Mengadopsi | Mengatur dan mengelola |
|---|---|---|---|---|
| Perataan organisasi Tujuan strategis Hasil |
Tim pemangku kepentingan Rencana teknis Kesiapan keterampilan |
Mengevaluasi Tes Pilot |
Menerapkan secara bertahap di seluruh estat digital Anda | Melacak dan mengukur Memantau dan mendeteksi Iterasi untuk kematangan |
Menentukan fase strategi
Fase Tentukan strategi sangat penting untuk menentukan dan meresmikan upaya untuk mengatasi "Mengapa?" dari skenario ini. Dalam fase ini, Anda memahami skenario melalui perspektif peraturan, bisnis, TI, operasional, dan strategis.
Anda kemudian menentukan hasil untuk mengukur keberhasilan dalam skenario ini, memahami bahwa kepatuhan adalah perjalanan bertahap dan berulang.
Artikel ini menyarankan motivasi dan hasil yang relevan dengan banyak organisasi. Gunakan saran ini untuk mengasah strategi organisasi Anda berdasarkan kebutuhan unik Anda.
Memahami motivasi pemimpin bisnis Anda
Meskipun Zero Trust dapat membantu menyederhanakan proses memenuhi persyaratan peraturan, mungkin tantangan terbesarnya adalah mendapatkan dukungan dan kontribusi dari para pemimpin di seluruh organisasi Anda. Panduan adopsi ini dirancang untuk membantu Anda berkomunikasi dengan mereka sehingga Anda dapat memperoleh keselarasan organisasi, menentukan tujuan strategis Anda, dan mengidentifikasi hasil.
Mendapatkan keselarasan dimulai dengan memahami apa yang memotivasi pemimpin Anda dan mengapa mereka harus peduli dengan memenuhi persyaratan peraturan. Tabel berikut ini menyediakan contoh perspektif, tetapi penting bagi Anda untuk bertemu dengan masing-masing pemimpin dan tim ini dan mencapai pemahaman bersama tentang motivasi satu sama lain.
| Peran | Mengapa memenuhi persyaratan peraturan penting |
|---|---|
| Chief Executive Officer (CEO) | Bertanggung jawab untuk mengamankan strategi organisasi yang divalidasi oleh badan audit eksternal. CEO sebagian besar melaporkan kepada dewan direksi yang juga dapat mengevaluasi tingkat kepatuhan terhadap persyaratan legislatif di seluruh organisasi dan temuan audit tahunan. |
| Chief Marketing Officer (CMO) | Bertanggung jawab untuk memastikan bahwa informasi perusahaan rahasia tidak dibagikan secara eksternal hanya untuk tujuan pemasaran. |
| Chief Information Officer (CIO) | Biasanya petugas informasi dalam organisasi dan akan bertanggung jawab atas peraturan informasi. |
| Chief Technology Officer (CTO) | Bertanggung jawab untuk menjaga kepatuhan terhadap peraturan dalam estat digital. |
| Chief Information Security Officer (CISO) | Bertanggung jawab atas adopsi dan kesamaan dengan standar industri yang memberikan kontrol yang terkait langsung dengan kepatuhan keamanan informasi. |
| Chief Operations Officer (COO) | Memastikan bahwa kebijakan dan prosedur perusahaan yang berkaitan dengan keamanan informasi, privasi data, dan praktik peraturan lainnya ditegakkan pada tingkat operasional. |
| Chief Financial Officer (CFO) | Menilai kelemahan keuangan dan keuntungan terhadap kepatuhan, seperti asuransi cyber dan kepatuhan pajak. |
| Chief Risk Officer (CRO) | Memiliki komponen Risiko dari kerangka kerja Risiko dan Kepatuhan Tata Kelola (GRC) dalam organisasi. Mengurangi ancaman terhadap ketidaksuaian dan kepatuhan. |
Berbagai bagian organisasi Anda mungkin memiliki motivasi dan insentif yang berbeda untuk melakukan pekerjaan persyaratan peraturan dan kepatuhan. Tabel berikut ini meringkas beberapa motivasi ini. Pastikan untuk terhubung dengan pemangku kepentingan Anda untuk memahami motivasi mereka.
| Luas | Motivasi |
|---|---|
| Kebutuhan bisnis | Untuk mematuhi persyaratan peraturan dan legislatif yang berlaku. |
| Kebutuhan IT | Untuk menerapkan teknologi yang mengotomatiskan kesamaan dengan persyaratan peraturan dan kepatuhan, sebagaimana ditetapkan oleh organisasi Anda dalam lingkup identitas, data, perangkat (titik akhir), aplikasi, dan infrastruktur. |
| Kebutuhan operasional | Terapkan kebijakan, prosedur, dan instruksi kerja yang direferensikan dan selaras dengan standar industri yang relevan dan persyaratan kepatuhan yang relevan. |
| Kebutuhan strategis | Mengurangi risiko pelanggaran hukum nasional, regional, dan lokal serta potensi kerusakan reputasi keuangan dan publik yang dapat diakibatkan oleh pelanggaran. |
Menggunakan piramida tata kelola untuk menginformasikan strategi
Hal terpenting yang perlu diingat dengan skenario bisnis ini adalah bahwa kerangka kerja Zero Trust berfungsi sebagai bagian dari model tata kelola yang lebih besar yang menetapkan hierarki berbagai persyaratan legislatif, undang-undang, peraturan, kebijakan, dan prosedural dalam suatu organisasi. Dalam ruang kepatuhan dan peraturan, mungkin ada banyak cara untuk mencapai persyaratan atau kontrol yang sama. Penting untuk menyatakan bahwa artikel ini mengejar kepatuhan terhadap peraturan menggunakan pendekatan Zero Trust.
Model strategi yang sering digunakan dalam kepatuhan terhadap peraturan adalah piramida tata kelola yang ditunjukkan di sini.
Piramida ini menggambarkan berbagai tingkat di mana sebagian besar organisasi mengelola tata kelola teknologi informasi (IT). Dari bagian atas piramida ke bawah, tingkat ini adalah undang-undang, standar, kebijakan dan prosedur, dan instruksi kerja.
Bagian atas piramida mewakili tingkat yang paling penting—undang-undang. Pada tingkat ini, variasi antar organisasi kurang karena undang-undang berlaku secara luas untuk banyak organisasi, meskipun peraturan nasional dan khusus bisnis hanya dapat berlaku untuk beberapa perusahaan dan bukan yang lain. Dasar piramida, instruksi kerja, mewakili area dengan variasi terbesar dan luas permukaan implementasi di seluruh organisasi. Ini adalah tingkat yang memungkinkan organisasi memanfaatkan teknologi untuk memenuhi persyaratan yang lebih penting untuk tingkat yang lebih tinggi.
Sisi kanan piramida memberikan contoh skenario di mana kepatuhan organisasi dapat menyebabkan hasil dan manfaat bisnis yang positif. Relevansi bisnis menciptakan lebih banyak insentif bagi organisasi untuk memiliki strategi tata kelola.
Tabel berikut menjelaskan bagaimana berbagai tingkat tata kelola di sisi kiri piramida dapat memberikan keuntungan bisnis strategis di sisi kanan.
| Tingkat tata kelola | Relevansi dan hasil bisnis strategis |
|---|---|
| Undang-undang dan undang-undang, dianggap secara kolektif | Lulus audit hukum dapat menghindari denda dan hukuman dan membangun kepercayaan konsumen dan loyalitas merek. |
| Standar memberikan dasar yang dapat diandalkan bagi orang untuk berbagi harapan yang sama tentang produk atau layanan | Standar memberikan jaminan kualitas melalui berbagai kontrol kualitas industri. Beberapa sertifikasi juga memiliki manfaat asuransi cyber. |
| Kebijakan dan prosedur mendokumenkan fungsi dan operasi sehari-hari organisasi | Banyak proses manual yang terkait dengan tata kelola dapat disederhanakan dan otomatis. |
| Instruksi kerja menjelaskan cara melakukan proses berdasarkan kebijakan dan prosedur yang ditentukan dalam langkah-langkah terperinci | Detail rumit manual dan dokumen instruksi dapat disederhanakan oleh teknologi. Ini dapat sangat mengurangi kesalahan manusia dan menghemat waktu. Contohnya adalah menggunakan kebijakan Microsoft Entra Conditional Access sebagai bagian dari proses onboarding karyawan. |
Model piramida tata kelola membantu prioritas fokus:
Persyaratan legislatif dan hukum
Organisasi dapat menghadapi dampak serius jika tidak diikuti.
Standar khusus industri dan keamanan
Organisasi mungkin memiliki persyaratan industri untuk mematuhi atau bersertifikat dengan satu atau beberapa standar ini. Kerangka kerja Zero Trust dapat dipetakan terhadap berbagai standar keamanan, keamanan informasi, dan manajemen infrastruktur.
Kebijakan dan prosedur
Khusus organisasi dan mengatur proses yang lebih intrinsik dalam bisnis.
Instruksi kerja
Kontrol terperinci yang sangat teknis dan disesuaikan bagi organisasi untuk memenuhi kebijakan dan prosedur.
Ada beberapa standar yang menambahkan nilai terbanyak ke area arsitektur Zero Trust. Memfokuskan perhatian pada standar berikut yang berlaku untuk Anda akan menghasilkan lebih banyak dampak:
Tolok Ukur Center for Internet Security (CIS) memberikan panduan berharga untuk manajemen perangkat dan kebijakan manajemen titik akhir. Tolok Ukur CIS mencakup panduan implementasi untuk Microsoft 365 dan Microsoft Azure. Organisasi di semua industri dan vertikal menggunakan tolok ukur CIS untuk membantu mereka mencapai tujuan keamanan dan kepatuhan. terutama yang beroperasi di lingkungan yang sangat diatur.
National Institute of Standards and Technology (NIST) menyediakan Pedoman Identitas Digital Nist Special Publication (NIST SP 800-63-4 ipd). Pedoman ini memberikan persyaratan teknis untuk lembaga federal yang menerapkan layanan identitas digital dan tidak dimaksudkan untuk membatasi pengembangan atau penggunaan standar di luar tujuan ini. Penting untuk dicatat bahwa persyaratan ini dibuat untuk meningkatkan protokol yang ada yang merupakan bagian dari strategi Zero Trust. Baik organisasi pemerintah maupun sektor publik khususnya dalam Amerika Serikat berlangganan NIST, namun perusahaan yang terdaftar di publik juga dapat menggunakan prinsip panduan dalam kerangka kerja. NIST juga menyediakan bantuan untuk menerapkan arsitektur Zero Trust dalam publikasi yang disertakan dengan NIST SP 1800-35.
Standar ISO 27002:2022 yang baru direvisi direkomendasikan untuk tata kelola data dan keamanan informasi secara keseluruhan. Namun, kontrol Annexure A memberikan fondasi yang baik untuk membuat daftar periksa kontrol keamanan, yang nantinya dapat dikonversi menjadi tujuan yang dapat dikerjakan.
ISO 27001:2022 juga memberikan panduan komprehensif tentang bagaimana manajemen risiko dapat diterapkan dalam konteks keamanan informasi. Ini mungkin sangat bermanfaat dengan jumlah metrik yang tersedia untuk pengguna di sebagian besar portal dan dasbor.
Standar seperti ini dapat diprioritaskan untuk memberi organisasi Anda garis besar kebijakan dan kontrol untuk memenuhi persyaratan umum.
Microsoft menyediakan Microsoft Purview Compliance Manager untuk membantu Anda merencanakan dan melacak kemajuan menuju standar rapat yang berlaku untuk organisasi Anda. Manajer Kepatuhan dapat membantu Anda sepanjang perjalanan kepatuhan Anda, mulai dari mengambil inventaris risiko perlindungan data Anda hingga mengelola kompleksitas penerapan kontrol, tetap terkini dengan peraturan dan sertifikasi, dan melaporkan kepada auditor.
Menentukan strategi Anda
Dari perspektif kepatuhan, organisasi Anda harus menentukan strateginya sesuai dengan metodologi GRC intrinsiknya. Jika organisasi tidak berlangganan standar, kebijakan, atau kerangka kerja tertentu, templat penilaian harus diperoleh dari Manajer Kepatuhan. Setiap langganan Microsoft 365 aktif diberi garis besar perlindungan data yang dapat dipetakan terhadap pedoman penyebaran Zero Trust. Garis besar ini memberi implementasi Anda titik awal yang bagus untuk seperti apa implementasi praktis Zero Trust dari perspektif kepatuhan. Kontrol yang didokumenkan ini nantinya dapat dikonversi ke tujuan yang terukur. Tujuan ini harus Spesifik, Terukur, Dapat Dicapai, Realistis, dan Terikat Waktu (SMART).
Templat Garis Besar Perlindungan Data di Manajer Kepatuhan mengintegrasikan 36 tindakan untuk Zero Trust, yang selaras di seluruh keluarga kontrol berikut:
- Aplikasi Zero Trust
- Panduan pengembangan Aplikasi Zero Trust
- Titik Akhir Zero Trust
- Zero Trust Data
- Identitas Zero Trust
- Infrastruktur Zero Trust
- Jaringan Zero Trust
- Visibilitas, otomatisasi, dan orkestrasi Zero Trust
Ini sangat selaras dengan arsitektur referensi Zero Trust, yang ditunjukkan di sini.
Fase rencana
Banyak organisasi dapat mengambil pendekatan empat tahap untuk aktivitas teknis ini, yang dirangkum dalam tabel berikut.
| Tahap 1 | Tahap 2 | Tahap 3 | Tahap 4 |
|---|---|---|---|
| Identifikasi persyaratan peraturan yang berlaku untuk organisasi Anda. Gunakan Manajer Kepatuhan untuk mengidentifikasi peraturan yang mungkin memengaruhi bisnis Anda, menilai kepatuhan terhadap persyaratan tingkat tinggi yang diberlakukan oleh peraturan tersebut, dan merencanakan remediasi untuk kesenjangan yang diidentifikasi. Tinjau panduan saat ini untuk peraturan yang berlaku untuk organisasi Anda. |
Gunakan penjelajah konten di Microsoft Purview untuk mengidentifikasi data yang tunduk pada persyaratan peraturan dan menilai risiko dan paparannya. Tentukan pengklasifikasi kustom untuk menyesuaikan kemampuan ini dengan kebutuhan bisnis Anda. Menilai persyaratan untuk perlindungan informasi, seperti kebijakan retensi data dan manajemen rekaman, lalu menerapkan kebijakan perlindungan informasi dasar dan tata kelola data menggunakan label retensi dan sensitivitas. Terapkan kebijakan DLP dasar untuk mengontrol alur informasi yang diatur. Menerapkan kebijakan kepatuhan komunikasi jika diperlukan oleh peraturan. |
Perluas kebijakan manajemen siklus hidup data dengan otomatisasi. Siapkan kontrol partisi dan isolasi menggunakan label sensitivitas, DLP, atau hambatan informasi jika diperlukan oleh peraturan. Perluas kebijakan perlindungan informasi dengan menerapkan pelabelan kontainer, pelabelan otomatis dan wajib, dan kebijakan DLP yang lebih ketat. Kemudian perluas kebijakan ini ke data lokal, perangkat (titik akhir), dan layanan cloud pihak ketiga menggunakan kemampuan lain di Microsoft Purview. Menilai kembali kepatuhan menggunakan Manajer Kepatuhan dan mengidentifikasi dan memulihkan celah yang tersisa. |
Gunakan Microsoft Azure Sentinel untuk membuat laporan berdasarkan log audit terpadu untuk terus menilai dan menginventarisasi status kepatuhan informasi Anda. Lanjutkan menggunakan Manajer Kepatuhan secara berkelanjutan untuk mengidentifikasi dan memulihkan kesenjangan yang tersisa dan memenuhi persyaratan peraturan baru atau yang diperbarui. |
Jika pendekatan bertahap ini berfungsi untuk organisasi Anda, Anda dapat menggunakan:
Dek slide PowerPoint yang dapat diunduh ini untuk menyajikan dan melacak kemajuan Anda melalui tahap dan tujuan ini untuk pemimpin bisnis dan pemangku kepentingan lainnya. Berikut slide untuk skenario bisnis ini.
Buku kerja Excel ini untuk menetapkan pemilik dan melacak kemajuan Anda untuk tahapan, tujuan, dan tugasnya ini. Berikut lembar kerja untuk skenario bisnis ini.
Tim pemangku kepentingan
Tim pemangku kepentingan Anda untuk skenario bisnis ini mencakup pemimpin di seluruh organisasi Anda yang diinvestasikan dalam postur keamanan Anda dan kemungkinan akan menyertakan peran berikut:
| Pemimpin program dan pemilik teknis | Akuntabilitas |
|---|---|
| Sponsor | Strategi, kemudi, eskalasi, pendekatan, keselarasan bisnis, dan manajemen koordinasi. |
| Pemimpin proyek | Manajemen keseluruhan keterlibatan, sumber daya, garis waktu dan jadwal, komunikasi, dan lainnya. |
| CISO | Perlindungan dan tata kelola aset dan sistem data, seperti penentuan risiko dan kebijakan serta pelacakan dan pelaporan. |
| Manajer Kepatuhan TI | Penentuan kontrol yang diperlukan untuk memenuhi persyaratan kepatuhan dan perlindungan. |
| Prospek keamanan dan kegunaan pengguna akhir (EUC) | Representasi karyawan Anda. |
| Peran investigasi dan audit | Investigasi dan pelaporan bekerja sama dengan prospek kepatuhan dan perlindungan. |
| Manajer perlindungan informasi | Klasifikasi data dan identifikasi, kontrol, dan remediasi data sensitif. |
| Prospek arsitektur | Persyaratan teknis, arsitektur, ulasan, keputusan, dan prioritas. |
| Admin Microsoft 365 | Penyewa dan lingkungan, persiapan, konfigurasi, pengujian. |
Dek slide PowerPoint sumber daya untuk konten adopsi ini menyertakan slide berikut dengan tampilan pemangku kepentingan yang bisa Anda kustomisasi untuk organisasi Anda sendiri.
Rencana teknis dan kesiapan keterampilan
Microsoft menyediakan sumber daya untuk membantu Anda memenuhi persyaratan peraturan dan kepatuhan. Bagian berikut menyoroti sumber daya untuk tujuan tertentu dalam empat tahap yang ditentukan sebelumnya.
Tahap 1
Di Tahap 1, Anda mengidentifikasi peraturan yang berlaku untuk organisasi Anda dan mulai menggunakan Manajer Kepatuhan. Anda juga meninjau peraturan yang berlaku untuk organisasi Anda.
| Tujuan untuk Tahap 1 | Sumber |
|---|---|
| Identifikasi persyaratan kepatuhan menggunakan piramida tata kelola. | Penilaian Manajer Kepatuhan |
| Gunakan Manajer Kepatuhan untuk menilai kepatuhan dan merencanakan remediasi untuk kesenjangan yang diidentifikasi. | Kunjungi portal kepatuhan Microsoft Purview dan tinjau semua tindakan peningkatan yang dikelola pelanggan yang relevan dengan organisasi Anda. |
| Tinjau panduan saat ini untuk peraturan yang berlaku untuk organisasi Anda. | Lihat tabel berikut. |
Tabel ini mencantumkan peraturan atau standar umum.
| Peraturan atau standar | Sumber |
|---|---|
| Institut Standar dan Teknologi Nasional (NIST) | Mengonfigurasi ID Microsoft Entra untuk memenuhi tingkat jaminan pengautentikasi NIST |
| Federal Risk and Authorization Management Program (FedRAMP) | Mengonfigurasi ID Microsoft Entra untuk memenuhi tingkat Dampak Tinggi FedRAMP |
| Sertifikasi Model Keamanan Jatuh Tempo (CMMC) | Mengonfigurasi ID Microsoft Entra untuk kepatuhan CMMC |
| Perintah Eksekutif untuk Meningkatkan Keamanan Cyber Bangsa (EO 14028) | Memenuhi persyaratan identitas memorandum 22-09 dengan ID Microsoft Entra |
| Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan tahun 1996 (HIPAA) | Mengonfigurasi ID Microsoft Entra untuk kepatuhan HIPAA |
| Dewan Standar Keamanan Industri Kartu Pembayaran (PCI SSC) | Panduan Microsoft Entra PCI-DSS |
| Peraturan layanan keuangan | Pertimbangan kepatuhan dan keamanan utama untuk perbankan AS dan pasar modal
|
| Amerika Utara Electric Reliability Corporation (NERC) | Pertimbangan Kepatuhan dan Keamanan Utama untuk Industri Energi |
Tahap 2
Di Tahap 2, Anda mulai menerapkan kontrol untuk data yang belum ada. Panduan selengkapnya untuk merencanakan dan menyebarkan kontrol perlindungan informasi ada di panduan adopsi Identifikasi dan lindungi data bisnis sensitif Zero Trust.
| Tujuan untuk Tahap 2 | Sumber |
|---|---|
| Gunakan penjelajah konten untuk mengidentifikasi data yang diatur. | Mulai menggunakan penjelajah konten Penjelajah konten dapat membantu Anda dalam meninjau paparan data yang diatur saat ini dan menilai kepatuhannya terhadap peraturan yang menentukan tempat data harus disimpan dan bagaimana data tersebut harus dilindungi. Membuat jenis informasi sensitif kustom |
| Terapkan kebijakan tata kelola data dasar dan perlindungan informasi menggunakan label retensi dan sensitivitas. | Pelajari tentang kebijakan retensi & label untuk mempertahankan atau menghapus Pelajari tentang label sensitivitas |
| Verifikasi kebijakan DLP dan enkripsi Anda. | Pencegahan kehilangan data Purview Enkripsi dengan pelabelan sensitivitas Enkripsi untuk Office 365 |
| Menerapkan kebijakan komunikasi (jika berlaku). | Membuat dan mengelola kebijakan kepatuhan komunikasi |
Tahap 3
Di Tahap 3, Anda mulai mengotomatiskan kebijakan tata kelola data untuk retensi dan penghapusan, termasuk penggunaan cakupan adaptif.
Tahap ini termasuk menerapkan kontrol untuk pemisahan dan isolasi. NIST, misalnya, meresepkan proyek hosting di lingkungan terisolasi jika proyek-proyek ini berkaitan dengan jenis pekerjaan rahasia tertentu untuk dan dengan pemerintah Amerika Serikat. Dalam beberapa skenario, peraturan layanan keuangan memerlukan lingkungan partisi untuk mencegah karyawan dari berbagai bagian bisnis berkomunikasi satu sama lain.
| Tujuan untuk Tahap 3 | Sumber |
|---|---|
| Perluas kebijakan manajemen siklus hidup data dengan otomatisasi. | Manajemen siklus hidup data |
| Siapkan kontrol partisi dan isolasi (jika berlaku). | Hambatan informasi Pencegahan kehilangan data Akses lintas penyewa |
| Perluas kebijakan perlindungan informasi ke beban kerja lain. | Pelajari tentang pemindai perlindungan informasi Menggunakan kebijakan pencegahan kehilangan data untuk aplikasi cloud non-Microsoft Pencegahan kehilangan data dan Microsoft Teams Menggunakan pencegahan kehilangan data titik akhir Gunakan label sensitivitas untuk melindungi konten di Microsoft Teams, grup Microsoft 365, dan situs SharePoint |
| Menilai kembali kepatuhan menggunakan Manajer Kepatuhan. | Manajer Kepatuhan |
Tahap 4
Tujuan di Tahap 4 adalah tentang mengoperasionalkan skenario ini dengan beralih ke gerakan berkelanjutan untuk mengevaluasi kepatuhan aset Anda terhadap peraturan dan standar yang berlaku.
| Tujuan untuk Tahap 4 | Sumber |
|---|---|
| Terus menilai dan menginventarkan status kepatuhan sumber daya. | Artikel ini telah mengidentifikasi setiap alat yang diperlukan dan untuk tujuan ini, Anda membentuk proses berulang dan berulang yang memungkinkan pemantauan sumber daya dan aset berkelanjutan dalam estat digital. Mencari log audit di portal kepatuhan |
| Gunakan Microsoft Azure Sentinel untuk membuat laporan untuk mengukur kepatuhan. | Gunakan Microsoft Azure Sentinel untuk membuat laporan berdasarkan Log Audit Terpadu untuk menilai dan mengukur kepatuhan dan menunjukkan efektivitas kontrol. Analitik log di Azure |
| Gunakan Manajer Kepatuhan untuk mengidentifikasi dan memulihkan kesenjangan baru. | Manajer Kepatuhan |
Fase siap
Sebagian besar pekerjaan kepatuhan terjadi melalui penegakan kebijakan. Anda menentukan kondisi apa yang harus dipenuhi untuk mencapai kepatuhan lalu membuat kebijakan atau serangkaian kebijakan untuk mengotomatiskan serangkaian kontrol. Penegakan kebijakan dengan Zero Trust menciptakan verifikasi berulang untuk kontrol kepatuhan tertentu yang diterapkan. Dengan membangun kontrol ke dalam teknologi operasional yang berinteraksi dengan organisasi setiap hari, menjadi tugas yang lebih sederhana untuk mencapai kesiapan audit.
Selama fase Siap, Anda mengevaluasi, menguji, dan menguji kebijakan yang Anda targetkan untuk memastikan aktivitas ini mencapai hasil yang dimaksudkan. Pastikan ini tidak menimbulkan risiko baru. Untuk skenario bisnis Zero Trust ini, penting untuk bekerja dengan pemangku kepentingan Anda yang menerapkan kontrol akses, perlindungan data, dan perlindungan infrastruktur lainnya. Misalnya, rekomendasi untuk mengevaluasi, menguji, dan menguji coba kebijakan untuk mengaktifkan pekerjaan jarak jauh dan hibrid berbeda dari rekomendasi untuk mengidentifikasi dan melindungi data sensitif di seluruh estat digital Anda.
Contoh kontrol
Setiap pilar Zero Trust dapat dipetakan terhadap kontrol tertentu dalam kerangka kerja peraturan atau standar.
Contoh 1
Zero Trust for Identity dipetakan ke Manajemen Kontrol Akses dalam Tolok Ukur Center for Internet Security (CIS)), dan ke Annexure A.9.2.2 Provisi Akses Pengguna di ISO 27001:2022.
Dalam diagram ini, Manajemen Kontrol Akses didefinisikan dalam Annexure 9.2.2 dari standar persyaratan ISO 27001, Provisi Akses Pengguna. Persyaratan untuk bagian ini dipenuhi dengan memerlukan autentikasi multifaktor.
Eksekusi setiap kontrol, seperti pemberlakuan kebijakan Akses Bersyar, unik untuk setiap organisasi. Profil risiko organisasi Anda bersama dengan inventarisasi aset harus membuat area permukaan yang akurat dan cakupan implementasi.
Contoh 2
Salah satu korelasi yang lebih jelas antara arsitektur Zero Trust dan standar industri mencakup klasifikasi informasi. Lampiran 8.2.1 dari ISO 27001, menentukan bahwa:
- Informasi harus diklasifikasikan dalam hal persyaratan hukum, nilai, kekritisan, dan sensitivitas terhadap pengungkapan atau modifikasi yang tidak sah, idealnya diklasifikasikan untuk mencerminkan aktivitas bisnis daripada menghambat atau mempersulitnya.
Dalam diagram ini, layanan klasifikasi data Microsoft Purview digunakan untuk menentukan dan menerapkan label sensitivitas ke email, dokumen, dan data terstruktur.
Contoh 3
Lampiran 8.1.1 Dalam ISO 27001:2022 (Inventarisi aset) mengharuskan "setiap aset yang terkait dengan fasilitas pemrosesan informasi dan informasi perlu diidentifikasi dan dikelola selama siklus hidup, dan selalu diperbarui."
Pemenuhan persyaratan kontrol ini dapat dicapai melalui implementasi manajemen perangkat Intune. Persyaratan ini memberikan akun inventaris yang jelas dan melaporkan status kepatuhan untuk setiap perangkat terhadap kebijakan perusahaan atau industri yang ditentukan.
Untuk persyaratan kontrol ini, Anda menggunakan Microsoft Intune untuk mengelola perangkat, termasuk menyiapkan kebijakan kepatuhan untuk melaporkan kepatuhan perangkat terhadap kebijakan yang Anda tetapkan. Anda juga dapat menggunakan kebijakan Akses Bersyarat untuk mewajibkan kepatuhan perangkat selama proses autentikasi dan otorisasi.
Contoh 4
Contoh paling komprehensif dari pilar Zero Trust yang telah dipetakan ke standar industri adalah Inteligensi ancaman dan Respons insiden. Seluruh produk Microsoft Defender dan Microsoft Sentinel menjadi berlaku dalam skenario ini untuk memberikan analisis mendalam dan eksekusi inteligensi ancaman dan respons insiden real time.
Dalam diagram ini, Microsoft Sentinel bersama dengan alat Pertahanan Microsoft menyediakan inteligensi ancaman.
Fase adopsi
Dalam fase adopsi, Anda secara bertahap menerapkan rencana teknis Anda di seluruh estat digital Anda. Anda harus mengategorikan rencana teknis berdasarkan area dan bekerja sama dengan tim yang sesuai untuk menyelesaikan fase ini.
Untuk akses identitas dan perangkat, ambil pendekatan bertahap di mana Anda mulai dengan sejumlah kecil pengguna dan perangkat dan kemudian secara bertahap meningkatkan penyebaran untuk menyertakan lingkungan penuh Anda. Ini dijelaskan dalam skenario Adopsi kerja jarak jauh dan hibrid yang aman. Berikut adalah contoh.
Adopsi untuk melindungi data melibatkan kaskade pekerjaan dan iterasi saat Anda memastikan kebijakan yang Anda buat diasah dengan tepat untuk lingkungan Anda. Ini dijelaskan dalam skenario Identifikasi dan lindungi adopsi data bisnis sensitif. Berikut adalah contoh.
Mengatur dan mengelola
Memenuhi persyaratan peraturan dan kepatuhan adalah proses yang sedang berlangsung. Saat Anda beralih ke fase ini, beralihlah ke pelacakan dan pemantauan. Microsoft menyediakan beberapa alat untuk membantu.
Anda dapat menggunakan penjelajah konten untuk memantau status kepatuhan organisasi. Untuk klasifikasi data, penjelajah konten menyediakan tampilan lanskap dan penyebaran informasi sensitif dalam organisasi Anda. Dari pengklasifikasi yang dapat dilatih hingga berbagai jenis data sensitif—baik melalui cakupan adaptif atau label sensitivitas yang dibuat secara manual—administrator Anda dapat melihat apakah skema sensitivitas yang ditentukan diterapkan dengan benar di seluruh organisasi. Ini juga merupakan kesempatan untuk mengidentifikasi area risiko tertentu di mana informasi sensitif dibagikan secara konsisten di Exchange, SharePoint, dan OneDrive. Berikut adalah contoh.
Dengan menggunakan fungsionalitas pelaporan yang lebih besar dalam portal kepatuhan Microsoft Purview, Anda dapat membuat dan mengukur tampilan makro kepatuhan. Berikut adalah contoh.
Pemikiran dan proses yang sama dapat diterapkan ke Azure. Gunakan Kepatuhan Terhadap Peraturan Defender untuk Cloud untuk menentukan skor kepatuhan yang mirip dengan skor yang sama yang disediakan di Purview Compliance Manager. Skor ini selaras dengan beberapa standar peraturan dan kerangka kerja di berbagai vertikal industri. Terserah organisasi Anda untuk memahami standar dan kerangka kerja peraturan mana yang berlaku untuk skor. Status yang disediakan oleh dasbor ini menampilkan penilaian real-time yang konstan dari penilaian passing versus gagal dengan setiap standar. Berikut adalah contoh.
Dasbor Purview memberikan penilaian luas yang dapat membantu menginformasikan pemimpin bisnis Anda dan digunakan dalam pelaporan departemen, seperti tinjauan triwulanan. Pada catatan yang lebih operasional, Anda dapat memanfaatkan Microsoft Azure Sentinel dengan membuat ruang kerja Log Analytics untuk data log audit terpadu. Ruang kerja ini dapat disambungkan ke data Microsoft 365 Anda dan memberikan wawasan tentang aktivitas pengguna. Berikut adalah contoh.
Data ini dapat disesuaikan dan dapat digunakan bersama dengan dasbor lain untuk kontekstualisasi persyaratan peraturan yang secara khusus selaras dengan strategi, profil risiko, tujuan, dan tujuan organisasi Anda.
Langkah berikutnya
- Gambaran umum kerangka kerja adopsi Zero Trust
- Memodernisasi postur keamanan Anda dengan cepat
- Mengamankan pekerjaan jarak jauh dan hibrid
- Mengidentifikasi dan melindungi data bisnis sensitif
- Mencegah atau mengurangi kerusakan bisnis dari pelanggaran
Sumber daya pelacakan kemajuan
Untuk salah satu skenario bisnis Zero Trust, Anda dapat menggunakan sumber daya pelacakan kemajuan berikut.
| Sumber daya pelacakan kemajuan | Itu membantumu... | Dirancang untuk |
|---|---|---|
Rencana Skenario Adopsi File Visio atau PDF yang dapat diunduh 
|
Dengan mudah memahami peningkatan keamanan untuk setiap skenario bisnis dan tingkat upaya untuk tahap dan tujuan fase Rencana. | Prospek proyek skenario bisnis, pemimpin bisnis, dan pemangku kepentingan lainnya. |
Pelacak adopsi Zero Trust yang dapat diunduh dek slide PowerPoint 
|
Lacak kemajuan Anda melalui tahap dan tujuan fase Rencana. | Prospek proyek skenario bisnis, pemimpin bisnis, dan pemangku kepentingan lainnya. |
Tujuan skenario bisnis dan tugas buku kerja Excel yang dapat diunduh 
|
Tetapkan kepemilikan dan lacak kemajuan Anda melalui tahapan, tujuan, dan tugas fase Rencana. | Prospek proyek skenario bisnis, prospek IT, dan pelaksana TI. |
Untuk sumber daya tambahan, lihat Penilaian Zero Trust dan sumber daya pelacakan kemajuan.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk