创建设计良好的数据分类框架
在开发、更新或优化数据分类框架时,请考虑以下主要做法:
不要期望第 1 天从 0-100 开始:Microsoft 建议使用爬网演练方法,对组织至关重要的功能进行优先级设置,然后根据日程表映射这些功能。 完成第一步,确保成功完成,然后继续下一阶段应用所学课程。 请记住,在设计数据分类框架时,你的组织仍可能会面临风险,因此只需几个分类级别,然后根据需要进行扩展,再进行小型扩展。
您不仅仅是为 网络安全专业人员编写:数据分类框架适用于广泛的受众,包括普通员工、法律和合规性团队以及 IT 团队。 为数据分类级别编写清晰易理解的定义非常重要,尽可能提供实际示例。 尽量避免使用行话,并考虑使用首字母缩略词和高度技术术语的词汇表。 例如,使用"个人身份信息"并提供定义,而不只是说"PII"。
数据分类框架旨在实现:若要成功实现数据分类框架,必须实现它们。 在针对每个数据分类级别制定控制要求时,它尤其相关。 确保明确定义要求,并预测并解决实施过程中可能出现的任何歧义。 例如,如果你对个人身份信息有一个控制,请确保准确说明该控制的含义,如社会保险或护照号。
只有需要:数据 分类框架通常包含 3-5 个数据分类级别中的任何位置,才需要细化。 但是,仅仅 因为可以包含 五个级别并不意味着你应该 。 在决定所需的分类级别数时,请考虑以下条件:
- 对于高度管控行业,你的行业 (相关的监管义务往往需要更多的分类)
- 维护更复杂的框架所需的操作开销
- 您的用户及其遵守与更多分类级别相关联的复杂性和细微差别增加的能力
- 寻找跨多个设备类型应用手动分类的用户体验和辅助功能
让合适的人员参与:拥有高级利益干系人对于成功至关重要,因为许多项目在没有高层管理人员支持的情况下很难启动或需要更长时间。 数据分类框架通常由信息技术团队所有,但它们可能有法律、合规性、隐私和变更管理含义。 若要确保创建一个可帮助保护业务的框架,请确保在策略制定中包括隐私和法律利益干系人,例如首席隐私官和Office首席律师。 如果您的组织具有合规性部门、信息管理专业人员或记录管理团队,他们也可能有有价值的意见。 在向企业推出框架时,通信部门在内部消息传递和采用方面也起到重要作用。
平衡安全性与便利 性:一个常见的错误是制定安全但限制性过于严格的数据分类框架。 此框架在设计时可能以安全性为考虑,但在实际操作中通常很难实现。 如果用户需要按照复杂、严格且耗时的过程在日常工作中应用框架,则始终存在一种风险,即他们可能不再相信其价值,最终将停止执行这些过程。 这种风险存在于组织的所有级别,包括 (高层管理人员) 高层管理人员。 在安全性与便利性以及易于使用的工具之间实现良好的平衡通常会导致更广泛的用户采用和使用。 如果框架中存在差异,请不要等到一切完美后才能开始实现。 相反,应评估风险或差距,制定缓解计划,并继续推进。 请记住,信息保护是一个旅程,并不是一夜激活然后完成。 规划、实现一些功能、确认成功,并随着工具的不断发展以及用户的成熟和体验而访问下一个里程碑。
还请记住,数据分类框架仅解决组织应执行哪些操作来保护敏感数据。 数据分类框架通常附带定义如何从技术和技术角度实施这些策略的数据处理规则或指南。 以下各节将介绍一些实践指导,了解如何将数据分类框架从策略文档实施为完全实现且可操作性计划。
创建数据分类框架的要点
数据分类工作本质上是范围广泛的,几乎涉及企业内的每个业务功能。 由于在新式数字环境中管理内容的范围广泛且复杂,公司通常会面临以下挑战:了解在何处开始、如何管理成功实施以及如何衡量其进度。 常见问题通常包括:
- 设计可靠且易于理解的数据分类框架,包括确定分类级别和相关的安全控件。
- 制定实施计划,包括确认适当的技术解决方案、将计划与现有业务流程保持一致以及确定对员工的影响。
- 在所选技术解决方案中设置数据分类框架,并解决该工具的技术功能与框架本身之间的任何差异。
- 建立监管结构,以监督数据分类工作进行中的维护和运行状况。
- 确定用于监视和衡量 (进度) KPI 的特定关键绩效指标。
- 提高对数据分类策略、重要原因以及如何遵守这些策略的了解和了解。
- 遵守针对数据丢失和网络安全控制的内部审核审核。
- 培训和吸引用户,以便他们了解在日常工作中需要正确分类,并应用正确的分类措施。
变更管理和培训
目前,组织使用 Microsoft 365 等工具来实施其数据分类框架。 目的是尝试自动分类数据,而不是增加员工负担。 此结构并不意味着贵组织没有责任提高对管理内容需求以及保护组织免受本文中讨论的风险的感知。 作为年度培训计划的一部分,主要做法仍然是在整个组织中进行意识培训。 我们的体验表明,为培训用户(用户是执行此工作的关键受众)而进行可靠而全面的努力,可增加用户对工作的"接受",并可提高采用和质量。 添加 标签建议 和应用内提示可能会增加这些工作。 此培训不需要是一个广泛的独立课程。 您的组织可能会将其纳入其他常规培训(如信息安全年度培训)中,然后包括数据分类级别和定义的概述。 主要点是员工已了解,即使该工具自动对数据进行分类,这不会消除每个用户根据公司策略保护数据的整体责任。
此外,您应考虑对 IT 和信息安全团队进行更深入的培训,以强化操作准备情况。 管理工具和数据分类框架的团队必须位于同一页面上。 这种协调可能需要你投资一个比每年更稳固的培训计划。 对更频繁的培训的投资是降低组织风险的另一个途径。 此团队负责实现,因此如果没有针对工具和策略进行培训,则可能是一个失败点。
如果需要手动标记工具中的内容,则适合开发一组已接受更高级培训的超级用户。 这些超级用户将参与以下情形:用户需要使用数据敏感度标签手动标记文档,并且将深入了解组织的数据分类框架和法规要求。
最后,您的领导应优先支持信息安全行为,以向员工强调风险管理计划的重要性。 这包括开发并实施可靠的数据分类框架,以及分配关键领导以推广计划,有时称为变革的推动者或支持者。
治理和维护
制定和实施数据分类框架后,持续管理和维护对成功至关重要。 除了跟踪敏感度标签在实际中的使用方式外,你还需要根据法规、网络安全引导做法以及所管理内容的性质的变化来更新控制要求。 治理和维护工作可能包括:
- 建立专用于数据分类的调控实体,或向现有信息安全正文的包中添加数据分类责任。
- 定义监督数据分类的用户的角色和职责。
- 建立 KPI 以监视和衡量进度。
- 跟踪网络安全前导做法和法规更改。
- 制定支持和实施数据分类框架的标准操作过程。
行业注意事项
尽管开发强数据分类框架的指导原则是通用的,但框架的详细信息将取决于你的行业性质以及数据需求的独特合规性和安全因素。
例如,金融服务公司可能需要考虑遵守多个法规框架,具体取决于其业务范围及其运营地区。 美国的证券交易公司必须遵守像 SEC 规则 17a-4 (f) 或 FINRA 规则 4511 这样的帐户法规,这些法规解决了有关书籍和记录的安全性和保留要求。 同样,在英国运营的公司需要考虑 FCA 合规性。
政府机构面临管理其数据的各种法规,这些法规因区域及其工作性质而异。 例如,在美国,访问联邦税务信息 (FTI) 的政府机构及其代理受 IRS 1075限制,旨在最大限度地降低联邦税收信息丢失、泄露或滥用的风险。
虽然金融服务公司和政府机构是世界各地监管最严格的组织,但大多数企业都有需要考虑的特定于行业的注意事项。 例如:
- 确保符合 HIPAA的医疗保健行业组织。
- 教育机构,从 K-12 学校到大学,负责管理 FERPA 合规性。
- 致力于遵守其国家/地区或地区有关信息安全 的 GxP 准则的设备制造商。
- 媒体、零售和许多其他处理 GDPR合规性的公司。
- 传送和存储娱乐、软件和处理 CDSA 的信息内容。
- 能源行业信息安全符合 NERC CIP 标准。
在数据分类中实现Microsoft 365
开发数据分类框架后,下一步是实现。 通过Microsoft 365 合规中心,管理员可以根据数据分类框架发现、分类、审阅和监视其数据。 敏感度标签可用于通过强制执行各种保护(如加密和内容标记)来帮助保护数据。 它们可以手动应用于数据;默认情况下,基于策略设置;或自动,作为条件的结果,例如标识的 PII。
对于具有相对简化的数据分类框架的较小组织,为每种数据分类级别创建一个敏感度标签可能就足够了。 以下示例显示了敏感度标签映射的一对一数据分类级别:
| 分类标签 | 敏感度标签 | 标签设置 | 发布到 |
|---|---|---|---|
| Unrestricted | Unrestricted | 应用"无限制"页脚 | 所有用户 |
| 概要 | 概要 | 应用"常规"页脚 | 所有用户 |
提示
在 Microsoft 内部信息保护试点期间,很难了解和使用"个人"标签。 用户对此是否意味着 PII 或仅与个人事务相关感到困惑。 标签已更改为"非业务",以更加清楚。 此示例显示分类不需要从一开始就完美无缺。 从你认为正确的内容开始,试用它,并根据需要根据反馈调整标签
对于具有全球范围或更复杂的信息安全需求的较大组织,你可能会发现策略中的分类级别数量与 Microsoft 365 环境中敏感度标签数量之间的这种一对一关系是一项挑战。 在给定数据分类级别(如"受限")可能具有不同的定义或控件集(具体取决于区域)的全球组织中,这一挑战尤为严重。