规划数据丢失防护 (DLP)
每个组织都以不同的方式规划和实施数据丢失防护 (DLP) 。 为什么? 因为每个组织的业务需求、目标、资源和情况都是独一无二的。 但是,所有成功的 DLP 实施都有一些共同的元素。 本文介绍规划 DLP 部署的最佳做法。
提示
开始使用 Microsoft Copilot for Security,探索使用 AI 功能更智能、更快速地工作的新方法。 详细了解 Microsoft Purview 中的 Microsoft Copilot for Security。
开始之前
如果你不熟悉 purview DLP Microsoft,下面是实现 DLP 时所需的核心文章列表:
- 管理单元
- 了解 Microsoft Purview 数据丢失防护 - 本文介绍了数据丢失防护规则和 DLP 的实现Microsoft。
- (DLP) 规划数据丢失防护 - 通过阅读当前正在阅读的文章,你将:
- 数据丢失防护策略参考 - 本文介绍 DLP 策略的所有组件以及每个组件如何影响策略的行为。
- 设计 DLP 策略 - 本文将指导你创建策略意向语句并将其映射到特定策略配置。
- 创建和部署数据丢失防护策略 - 本文介绍将映射到配置选项的一些常见策略意向方案。 然后,它将引导你完成这些选项的配置。
- 了解如何调查数据丢失防护警报 - 本文介绍从创建到最终修正和策略优化的警报的生命周期。 它还介绍了用于调查警报的工具。
多个起点
许多组织选择实施 DLP 以遵守各种政府或行业法规。 例如,欧盟的一般数据保护条例 (GDPR) ,或健康保险可移植性和责任法案 (HIPAA) ,或加州消费者隐私法 (CCPA) 。 他们还实施数据丢失防护来保护其知识产权。 但是,DLP 旅程的起点和最终目标各不相同。
组织可以从几个不同的点开始其 DLP 之旅:
- 以平台为重点,例如想要保护 Teams 聊天和频道消息中的信息,或者在 Windows 10 或 11 设备上保护信息
- 了解他们希望优先保护的敏感信息(如医疗保健记录),并直接定义保护它的策略
- 不知道他们的敏感信息是什么,在哪里,或者谁在用它做什么;因此,他们从发现和分类开始,并采取更有条不紊的方法
- 他们不知道他们的敏感信息是什么,在哪里,或者谁在用它做什么,他们直接去定义策略,然后使用这些结果来优化它们
- 知道他们需要实现完整的 Microsoft Purview 信息保护堆栈,并计划采取更长期、有条不紊的方法
这些只是客户如何处理 DLP 的一些示例。 从哪里开始并不重要:DLP 非常灵活,能够从头开始到完全实现的数据丢失防护策略适应各种类型的信息保护旅程。
规划过程概述
了解 Microsoft Purview 数据丢失防护介绍了 DLP 规划过程的三个不同方面。 我们在此处更详细地介绍所有 DLP 计划共有的元素。
确定利益干系人
实现后,DLP 策略可以应用于组织中的大部分。 IT 部门无法自行制定广泛的计划,而不会产生负面后果。 你需要确定可以:
- 确定组织要遵守的法规、法律和行业标准
- 确定要保护的敏感项目的类别
- 确定它们所使用的业务流程
- 确定应限制的风险行为
- 根据涉及的项和风险的敏感性,确定应首先保护哪些数据
- 概述 DLP 策略匹配事件评审和修正过程
一般来说,这些需求往往是 85% 的法规和合规性保护,以及 15% 的知识产权保护。 下面是在规划过程中要包括的角色的一些建议:
- 法规和合规官员
- 首席风险官
- 法律官员
- 安全性和合规性官员
- 数据项的业务所有者
- 业务用户
- IT
描述要保护的敏感信息类别
确定后,利益干系人随后描述要保护的敏感信息的类别以及它们所使用的业务流程。 例如,DLP 定义以下类别:
- 金融
- 医疗和健康信息
- 隐私
- 自定义警报
利益干系人可能会将敏感信息识别为“我们是数据处理者,因此我们必须对数据主体信息和财务信息实施隐私保护”。
设置目标和策略
确定利益干系人、了解哪些敏感信息需要保护以及在哪里使用这些信息后,利益干系人可以设置其保护目标,IT 部门可以制定实施计划。
设置实施计划
实施计划应包括:
- 开始状态、所需结束状态以及从一个状态到另一个状态的步骤的映射
- 有关如何解决敏感项发现问题的计划
- 用于制定策略的计划以及实施策略的顺序
- 有关如何满足任何先决条件的计划
- 实施实施策略之前如何模拟策略的计划
- 有关如何培训最终用户的计划
- 有关如何优化策略的计划
- 如何根据不断变化的法规、法律、行业标准或知识产权保护和业务需求查看和更新数据丢失防护策略的计划
从开始到所需结束状态映射路径
记录组织如何从开始状态到所需的最终状态对于与利益干系人沟通和设置项目范围至关重要。 下面是一组通常用于部署 DLP 的步骤。 需要比图形显示更详细的信息,但可以使用它来构建 DLP 采用路径。
敏感项发现
有多种方法可发现各个敏感项及其所在位置。 你可能已部署敏感度标签,或者可能已决定将广泛的 DLP 策略部署到仅发现和审核项的所有位置。 若要了解详细信息,请参阅 了解数据。
策略规划
开始采用 DLP 时,可以使用这些问题来集中策略设计和实现工作。
你的组织必须遵守哪些法律、法规和行业标准?
由于许多组织都以符合法规为目标使用 DLP,因此回答此问题是规划 DLP 实现的自然起点。 但是,作为 IT 实现者,你可能没有能力回答它。 相反,你应该咨询法律团队和业务主管以获取答案。
例 你的组织受英国财务法规的约束。
你的组织必须保护哪些敏感项免受泄漏?
了解组织在法规合规性需求方面所处的位置后,你就会了解需要保护哪些敏感项免受泄漏。 你还将了解如何确定策略实现的优先级,以保护这些项。 此知识可帮助你选择最合适的 DLP 策略模板。 Microsoft Purview 附带了用于财务、医疗和健康的预配置的 DLP 模板,以及隐私策略模板。 此外,可以使用自定义模板生成自己的模板。 设计和创建实际的 DLP 策略时,掌握需要保护的敏感项的工作知识有助于选择正确的 敏感信息类型。
例 若要快速开始,可以选择预配置 U.K. Financial Data 策略模板,其中包括 Credit Card Number、 EU Debit Card Number和 SWIFT Code 敏感信息类型。
你希望策略的范围如何
如果组织已实现 管理单元,则可以按管理单元限定 DLP 策略的范围,或保留默认范围,这将策略应用于完整目录。 有关详细信息,请参阅 策略范围。
敏感项在哪里,它们涉及哪些业务流程?
每天在业务过程中使用包含组织敏感信息的项目。 你需要知道该敏感信息的实例可能发生在哪里,以及它们用于哪些业务流程。 了解这一点有助于选择正确的位置来应用 DLP 策略。 DLP 策略可应用于以下位置:
- Exchange 联机电子邮件
- SharePoint 网站
- OneDrive 账户
- Teams 聊天和通道消息
- Windows 10、11 和 macOS 设备
- Microsoft Defender for Cloud Apps
- 本地存储库
例 组织的内部审核员正在跟踪一组信用卡号。 他们将电子表格保存在安全的 SharePoint 网站中。 一些员工创建副本并将其保存到其工作 OneDrive 站点,该站点已同步到其 Windows 10 设备。 其中一名员工将 14 个信用卡号的列表粘贴到电子邮件中,并尝试将其发送给外部审核员进行审核。 在这种情况下,你需要将策略应用到安全的 SharePoint 网站、所有内部审核员 OneDrive 帐户、其 Windows 10 设备和 Exchange 电子邮件。
你的组织对泄漏的容忍度是多少?
组织中的不同组对哪些敏感项目泄漏的可接受级别有不同的看法。 实现零泄漏的完美可能给业务造成过高的成本。
例 组织的安全组和法律团队都认为不应与组织外部的任何人共享信用卡号码。他们坚持零泄漏。 但是,作为对信用卡号活动的定期审查的一部分,内部审核员必须与第三方审核员共享一些信用卡号。 如果 DLP 策略禁止在组织外部共享信用卡号,则会造成重大业务流程中断,并增加成本以缓解中断,以便内部审核员完成跟踪。 这种额外费用对行政领导层是不能接受的。 若要解决此问题,需要有一个内部对话来决定可接受的泄漏级别。 确定该策略后,该策略可以为某些个人提供共享信息的例外,或者可以在仅审核模式下应用该信息。
重要
若要了解如何创建策略意向语句并将其映射到策略配置,请参阅 设计数据丢失防护策略
规划先决条件
在监视某些 DLP 位置之前,必须满足一些先决条件。 请参阅以下文章的 开始前 部分:
策略部署
创建 DLP 策略时,应考虑逐步推出它们,以便在完全实施之前评估其影响并测试其有效性。 例如,你不希望新的 DLP 策略无意中阻止对数千个文档的访问或中断现有业务流程。
如果你创建的 DLP 策略具有较大的潜在影响,建议你按以下顺序执行操作:
在没有策略提示的情况下在模拟模式下运行策略 ,然后使用 DLP 报告和任何事件报告来评估策略的影响。 可以使用 DLP 报告查看策略皮牌的次数、位置、类型和严重性。 根据结果,可以根据需要微调策略。 在模拟模式下,DLP 策略不会影响在组织中工作的人员的工作效率。 使用此阶段测试 DLP 事件评审和问题修正工作流也不错。
使用通知和策略提示在模拟模式下运行策略 ,以便你可以开始教用户有关合规性策略的信息,并在应用策略时为他们做好准备。 在策略提示中提供有关策略的更多详细信息的组织策略页面的链接非常有用。 在此阶段,还可以要求用户报告误报,以便进一步优化条件并减少误报数。 一旦确信应用策略的结果符合利益干系人的想法,就进入此阶段。
启动完全策略强制实施 ,以便应用规则中的操作并保护内容。 继续监视 DLP 报告及任何事件报告或通知,确保结果符合预期。
最终用户培训
可以配置策略,以便在触发 DLP 策略时 自动发送电子邮件通知,并向管理员和最终用户显示策略提示 。 策略提示是提高敏感项目风险行为意识并培训用户避免将来出现这些行为的有用方法。
查看 DLP 要求和更新策略
组织所遵循的法规、法律和行业标准将随着时间的推移而变化,DLP 的业务目标也会发生变化。 请务必定期审查所有这些领域,以便组织保持合规性,使 DLP 实现继续满足业务需求。
部署方法
| 客户业务需求说明 | 方法 |
|---|---|
|
Contoso Bank 处于高度监管的行业,在许多不同的位置有许多不同类型的敏感物品。
Contoso: - 知道哪些类型的敏感信息是首要任务 - 必须在策略推出 时尽量减少业务中断 - 涉及业务流程所有者 - 拥有 IT 资源,并可以聘请专家来帮助规划、设计和部署 - 与 Microsoft |
- 花些时间了解他们必须遵守哪些法规以及他们将如何遵守。
- 花时间了解 Microsoft Purview 信息保护堆栈 的“共同更好”价值 - 为优先顺序项开发敏感度标记方案并应用它 - 设计和编码策略,在模拟模式下部署策略,并培训用户 - 重复和优化策略 |
| TailSpin Toys 不知道它们拥有哪些敏感数据或位于何处,并且它们几乎没有资源深度。 他们广泛使用 Teams、OneDrive 和 Exchange。 | - 从优先位置的简单策略开始。
- 监视识别 的内容 - 相应地 应用敏感度标签 - 优化策略并培训用户 |
|
Fabrikam 是一家小型初创公司。 他们想保护自己的知识产权,必须迅速行动。 他们愿意奉献一些资源,但不能聘请外部专家。
其他注意事项: - 敏感项全部位于 Microsoft 365 OneDrive/SharePoint 中 - OneDrive 和 SharePoint 的采用速度较慢。 许多员工仍然使用 DropBox 和 Google 驱动器来存储和共享项目 - 员工重视工作速度超过数据保护规则 - 所有 18 名员工都有新的 Windows 设备 |
- 利用 Teams 中的默认 DLP 策略 - 对 SharePoint 项目 使用“默认受限”设置 - 部署阻止外部共享 的策略 - 将策略部署到优先位置 - 将策略部署到 Windows 设备 - 阻止上传到 OneDrive 以外的云存储解决方案 |
后续步骤
重要
若要详细了解 DLP 策略部署,请参阅 部署