다음을 통해 공유

잘 디자인된 데이터 분류 프레임워크 만들기

  • 아티클

데이터 분류 프레임워크를 개발, 개선 또는 구체화할 때 다음과 같은 주요 사례를 고려합니다.

  • 1일차에는 0-100부터 시작합니다. Microsoft는 조직에 중요한 기능의 우선 순위를 지정하고 타임라인에 매핑하는 크롤링 연습 방법을 권장합니다. 첫 번째 단계를 완료하고, 성공했는지 확인하고, 학습된 단원을 적용하는 다음 단계로 이동합니다. 데이터 분류 프레임워크를 디자인하는 동안 조직이 여전히 위험에 노출될 수 있으므로 몇 가지 분류 수준으로 소규모로 시작하고 필요에 따라 나중에 확장해도 됩니다.

  • 단순히 사이버 보안 전문가를 위한 것이 아닙니다. 데이터 분류 프레임워크는 일반 직원, 법률 및 규정 준수 팀 및 IT 팀을 포함하여 광범위한 대상을 위한 것입니다. 데이터 분류 수준에 대한 명확하고 이해하기 쉬운 정의를 작성하여 가능한 한 실제 예제를 제공하는 것이 중요합니다. 전문 용어를 피하고 약어 및 고도로 기술적인 용어집을 고려해 보세요. 예를 들어 '개인 식별 정보'를 사용하고 단순히 'PII'를 말하는 대신 정의를 제공합니다.

  • 데이터 분류 프레임워크는 구현되어야 합니다. 데이터 분류 프레임워크가 성공하려면 구현해야 합니다. 각 데이터 분류 수준에 대한 제어 요구 사항을 작성할 때 특히 관련이 있습니다. 요구 사항이 명확하게 정의되고 구현 중에 발생할 수 있는 모호성을 예측하고 해결하는지 확인합니다. 예를 들어 개인 식별 정보에 대한 컨트롤이 있는 경우 사회 보장 또는 여권 번호와 같이 해당 컨트롤의 의미를 정확히 설명해야 합니다.

  • 필요한 경우에만 세분화됩니다. 데이터 분류 프레임워크에는 일반적으로 3~5개의 데이터 분류 수준이 포함됩니다. 그러나 5개의 수준을 포함할 있다고 해서 반드시 포함해야 한다는 의미는 아닙니다. 필요한 분류 수준 수를 결정할 때 다음 조건을 고려합니다.

    • 업계 및 관련 규제 의무(높은 규제 산업이 더 많은 분류 수준을 필요로 하는 경향이 있습니다).
    • 더 복잡한 프레임워크를 유지하는 데 필요한 운영 오버헤드
    • 사용자와 더 많은 분류 수준과 관련된 복잡성 및 뉘앙스를 준수하는 기능
    • 여러 디바이스 유형에 수동 분류를 적용하려는 경우 사용자 환경 및 접근성

  • 적절한 관련자 가져오기: 많은 프로젝트가 고위 경영진의 지원 없이 시작하거나 더 오래 걸리는 데 어려움을 겪기 때문에 고위 이해 관계자를 보유하는 것이 성공에 매우 중요합니다. 데이터 분류 프레임워크는 일반적으로 정보 기술 팀이 소유하지만 법적, 규정 준수, 개인 정보 보호 및 변경 관리에 영향을 미칠 수 있습니다. 비즈니스를 보호하는 데 도움이 되는 프레임워크를 만들려면 정책 개발에 최고 개인 정보 보호 책임자 및 법률 고문 사무실과 같은 개인 정보 보호 및 법적 이해 관계자를 포함해야 합니다. 조직에 규정 준수 부서, 정보 거버넌스 전문가 또는 레코드 관리 팀이 있는 경우 중요한 입력이 있을 수도 있습니다. 프레임워크가 비즈니스에 배포됨에 따라 커뮤니케이션 부서도 내부 메시징 및 채택을 위해 중요한 역할을 담당합니다.

  • 편의에 대한 보안 균형 조정: 일반적인 실수는 안전하지만 지나치게 제한적인 데이터 분류 프레임워크를 작성하는 것입니다. 이 프레임워크는 보안을 염두에 두고 설계되었지만 실제로 구현하기가 어려운 경우가 많습니다. 사용자가 일상 생활에서 프레임워크를 적용하기 위해 복잡하고 엄격하며 시간이 많이 걸리는 절차를 따라야 하는 경우, 더 이상 그 가치를 믿지 않을 수 있으며 결국 다음 절차를 중지할 위험이 항상 있습니다. 이러한 위험은 조직 내의 임원 수준(C-suite) 관리자를 포함하여 조직의 모든 수준에서 존재합니다. 사용하기 쉬운 도구와 함께 편의성과 보안의 균형이 잘 잡히면 일반적으로 더 광범위한 사용자 채택 및 사용이 가능합니다. 프레임워크에 간격이 있는 경우 모든 것이 구현을 시작하기에 완벽할 때까지 기다리지 마세요. 대신, 위험 또는 격차를 평가하고, 완화할 계획을 만들고, 계속 진행합니다. 정보 보호는 여정이며, 하룻밤 사이에 활성화된 다음 수행되는 것이 아닙니다. 도구가 발전하고 사용자가 완성도와 경험을 얻게 됨에 따라 몇 가지 기능을 계획하고 구현하며 성공을 확인하고 다음 마일스톤으로 반복합니다.

또한 데이터 분류 프레임워크는 중요한 데이터를 보호하기 위해 조직에서 수행해야 하는 작업 만 처리합니다. 데이터 분류 프레임워크에는 기술 및 기술 관점에서 이러한 정책을 적용하는 방법을 정의하는 데이터 처리 규칙 또는 지침이 수반되는 경우가 많습니다. 다음 섹션에서는 데이터 분류 프레임워크를 정책 문서에서 완전히 구현되고 실행 가능한 이니셔티브로 전환하는 방법에 대한 몇 가지 실용적인 지침을 설명합니다.

데이터 분류 프레임워크 만들기의 고민점

데이터 분류 작업은 본질적으로 광범위하며 기업 내의 거의 모든 비즈니스 기능을 처리합니다. 이러한 광범위한 범위와 최신 디지털 환경에서 콘텐츠를 관리하는 복잡성으로 인해 기업은 시작할 위치, 성공적인 구현을 관리하는 방법 및 진행 상황을 측정하는 방법을 아는 데 어려움을 겪는 경우가 많습니다. 일반적인 고통 포인트는 수시로 포함합니다:

  • 분류 수준 및 관련 보안 제어를 결정하는 것을 포함하여 강력하고 이해하기 쉬운 데이터 분류 프레임워크를 디자인합니다.
  • 적절한 기술 솔루션 확인, 기존 비즈니스 프로세스에 계획 조정 및 인력에 미치는 영향을 식별하는 구현 계획을 개발합니다.
  • 선택한 기술 솔루션 내에서 데이터 분류 프레임워크를 설정하고 도구의 기술 기능과 프레임워크 자체 간의 간격을 해결합니다.
  • 데이터 분류 작업의 진행 중인 유지 관리 및 상태를 감독하는 거버넌스 구조를 설정합니다.
  • 진행 상황을 모니터링하고 측정하기 위한 특정 KPI(핵심 성과 지표)를 식별합니다.
  • 데이터 분류 정책에 대한 인식 및 이해, 중요한 이유 및 이를 준수하는 방법.
  • 데이터 손실 및 사이버 보안 제어를 대상으로 하는 내부 감사 검토를 준수합니다.
  • 일상적인 업무에서 올바른 분류의 필요성을 염두에 두고 올바른 분류 조치를 적용할 수 있도록 사용자를 교육하고 참여합니다.

변경 관리 및 교육

현재 조직은 Microsoft 365와 같은 도구를 사용하여 데이터 분류 프레임워크를 구현합니다. 목적은 데이터의 분류를 자동화하고 인력에 대한 부담을 증가시키지 않으려고 노력하는 것입니다. 이 구조는 조직에서 콘텐츠를 관리하고 이 문서에 설명된 위험으로부터 조직을 보호해야 하는 필요성에 대한 인식을 높일 책임이 없음을 의미하지는 않습니다. 주요 사례는 연례 교육 일정의 일환으로 조직 전체에서 인식 교육을 계속 수행하는 것입니다. 우리의 경험에 따르면 이 작업을 수행하는 주요 대상 그룹인 사용자를 교육하는 데 강력하고 포괄적인 노력을 기울이면 '구매'가 증가하고 채택과 품질이 향상됩니다. 레이블 권장 사항 및 앱 내 팁을 추가하면 이러한 노력이 증폭됩니다. 이 교육은 광범위한 독립 실행형 과정일 필요는 없습니다. 조직에서는 이를 정보 보안 연간 교육과 같은 다른 정기적인 교육에 통합한 다음 데이터 분류 수준 및 정의에 대한 개요를 포함할 수 있습니다. 요점은 도구가 데이터 분류를 자동화하더라도 회사 정책에 따라 데이터를 보호하는 각 사용자의 전반적인 책임을 제거하지 않는다는 것을 인력이 이해한다는 것입니다.

또한 운영 준비 상태를 강화하기 위해 IT 및 정보 보안 팀에 대한 보다 심층적인 교육을 고려해야 합니다. 도구와 데이터 분류 프레임워크를 관리하는 팀은 동일한 페이지에 있어야 합니다. 이 조정을 위해서는 매년보다 더 자주 학습할 수 있는 보다 강력한 교육 일정에 투자해야 할 수 있습니다. 더 빈번한 교육에 대한 투자는 조직에 대한 위험을 줄이는 또 다른 방법을 나타냅니다. 이 팀은 구현을 담당하므로 도구 및 정책에 대해 학습되지 않은 경우 실패 지점이 될 수 있습니다.

도구에서 콘텐츠에 수동으로 태그를 지정해야 하는 경우 고급 교육을 받은 슈퍼 사용자 그룹을 개발하는 것이 적절합니다. 이러한 슈퍼 사용자는 사용자가 데이터 민감도 레이블을 사용하여 문서에 수동으로 태그를 지정해야 하고 조직의 데이터 분류 프레임워크 및 규정 요구 사항을 깊이 이해해야 하는 상황에 참여하게 됩니다.

마지막으로, 리더십은 정보 보안 행동을 옹호하는 데 우선순위를 두어 인력에게 위험 관리 이니셔티브의 중요성을 강화해야 합니다. 여기에는 강력한 데이터 분류 프레임워크를 개발 및 구현하고 주요 리더를 할당하여 이니셔티브를 홍보하는 것이 포함되며, 때로는 변화의 홍보대사 또는 챔피언이라고도 합니다.

거버넌스 및 유지 관리

데이터 분류 프레임워크를 개발하고 구현한 후에는 지속적인 거버넌스 및 유지 관리가 성공에 매우 중요합니다. 민감도 레이블이 실제로 사용되는 방식을 추적하는 것 외에도 규정 변경, 사이버 보안 선행 사례 및 관리하는 콘텐츠의 특성에 따라 제어 요구 사항을 업데이트해야 합니다. 거버넌스 및 유지 관리 노력에는 다음이 포함될 수 있습니다.

  • 데이터 분류 전용 거버넌스 기관을 설정하거나 기존 정보 보안 기관의 헌장에 데이터 분류 책임을 추가합니다.
  • 데이터 분류를 감독하는 사용자에 대한 역할 및 책임 정의
  • 진행 상황을 모니터링하고 측정하기 위한 KPI 설정
  • 사이버 보안 선행 사례 및 규제 변경 추적.
  • 데이터 분류 프레임워크를 지원하고 적용하는 표준 운영 프로시저 개발

업계 고려 사항

강력한 데이터 분류 프레임워크를 개발하기 위한 기본 원칙은 보편적이지만 프레임워크의 세부 정보는 업계의 특성과 데이터에 요구되는 고유한 규정 준수 및 보안 요인에 따라 달라집니다.

예를 들어, 금융 서비스 회사는 비즈니스 범위 및 운영 지역에 따라 여러 규제 프레임워크를 준수하는 것을 고려해야 할 수 있습니다. 미국 증권 회사는 SEC 규칙 17a-4(f) 또는 FINRA 규칙 4511과 같은 계정 규정을 준수해야 하며 이는 장부 및 레코드의 보안 및 보존에 대한 요구 사항을 처리합니다. 마찬가지로 영국에서 사업을 운영하는 기업은 FCA 규정 준수를 고려해야 합니다.

정부 기관은 영역 및 작업의 성격에 따라 달라지는 데이터를 관리하는 다양한 규정에 직면해 있습니다. 예를 들어, 미국 정부 기관 및 연방 세금 정보(FTI)에 액세스하는 해당 에이전트는 연방 세금 정보의 손실, 위반 또는 오용의 위험을 최소화하는 것을 목표로 하는 IRS 1075의 적용을 받습니다.

금융 서비스 회사와 정부 기관은 세계에서 가장 엄격하게 규제되는 조직 중 하나이지만 대부분의 기업은 고려해야 할 업계별 고려 사항을 가지고 있습니다. 예를 들면 다음과 같습니다.

  • HIPAA 준수를 보장하는 의료 산업 조직.
  • 교육 기관, K-12 학교에서 대학에 이르기까지 FERPA 규정 준수를 관리합니다.
  • 정보 보안과 관련하여 해당 국가 또는 지역에서 GxP 지침을 준수하기 위해 노력하는 의약품 제조업체.
  • 미디어, 소매 및 GDPR 규정 준수를 다루는 다른 많은 회사.
  • CDSA를 다루는 엔터테인먼트, 소프트웨어 및 정보 콘텐츠의 배달 및 저장.
  • NERC CIP 표준을 준수하는 에너지 산업 정보 보안.

Microsoft 365에서 데이터 분류 프레임워크 구현

데이터 분류 프레임워크를 개발한 후 다음 단계는 구현입니다. 이 Microsoft Purview 규정 준수 포털 통해 관리자는 데이터 분류 프레임워크에 따라 데이터를 검색, 분류, 검토 및 모니터링할 수 있습니다. 민감도 레이블을 사용하여 암호화 및 콘텐츠 표시와 같은 다양한 보호를 적용하여 데이터를 보호할 수 있습니다. 데이터에 수동으로 적용할 수 있습니다. 기본적으로 정책 설정에 따라 또는 식별된 PII와 같은 조건의 결과로 자동으로

비교적 간소화된 데이터 분류 프레임워크를 사용하는 소규모 조직 또는 조직의 경우 각 데이터 분류 수준에 대해 단일 민감도 레이블을 만드는 것으로 충분할 수 있습니다. 다음 예제에서는 민감도 레이블 매핑에 대한 일대일 데이터 분류 수준을 보여줍니다.

분류 레이블 민감도 레이블 레이블 설정 게시 날짜
무제한 무제한 '무제한' 바닥글 적용 모든 사용자
일반 일반 '일반' 바닥글 적용 모든 사용자

Microsoft 내부 정보 보호 파일럿 중에는 '개인' 레이블을 이해하고 사용하는 데 어려움이 있었습니다. 사용자는 이것이 PII를 의미하는지 아니면 단지 개인적인 문제와 관련이 있는지에 대해 혼란스러워했습니다. 레이블이 더 명확해지도록 '비사업'으로 변경되었습니다. 이 예제에서는 분류가 처음부터 완벽할 필요는 없음을 보여줍니다. 올바른 것으로 시작하고, 파일럿하고, 필요한 경우 피드백에 따라 레이블을 조정합니다.

전 세계에 도달하거나 더 복잡한 정보 보안 요구 사항이 있는 대규모 조직의 경우 정책의 분류 수준 수와 Microsoft 365 환경의 민감도 레이블 수 간에 이 일대일 관계가 어려울 수 있습니다. 이 문제는 '제한'과 같은 지정된 데이터 분류 수준이 지역에 따라 다른 정의 또는 다른 컨트롤 집합을 가질 수 있는 글로벌 조직에서 특히 그렇습니다.

구현에 대한 자세한 내용은 데이터 분류 이해민감도 레이블에 대한 자세한 내용을 참조하세요.

참조