针对能源行业的关键合规性与安全性注意事项

使用云的各种行业的全局视图的图示比拟。

简介

能源行业为社会提供了人们每日所需的燃料和关键基础结构。 为了确保与大型电力系统相关的基础结构的可靠性,监管机构对能源行业组织施加了严格的标准。 这些监管标准不仅涉及发电和输电,还涉及对能源公司日常运营至关重要的数据和通信。

能源行业组织在常规操作中与许多类型的信息协作和交换。 此信息包括客户数据、资本工程设计文档、资源位置映射、项目管理项目、性能指标、现场服务报告、环境数据和性能指标。 当这些组织希望将其运营和协作系统转换为现代数字平台时,他们希望 Microsoft 成为受信任的云服务提供商, (CSP) 和 Microsoft 365 作为其同类最佳的协作平台。 由于 Microsoft 365 本质上是在 Microsoft Azure 平台上构建的,当迁移到云时,应在考虑其合规性和安全控制措施的同时对这两个平台进行检查。

在北美,北美电力可靠性公司 (NERC) 实施了被称作 NERC 关键基础设施保护 (CIP) 标准的可靠性标准。 NERC 受到美国联邦能源管理委员会 (FERC) 和加拿大政府机构的监管。 所有大型电力系统所有者、运营者和用户都必须向 NERC 注册并遵守 NERC CIP 标准。 云服务提供商和第三方供应商(如 Microsoft)不受 NERC CIP 标准的约束。 然而,CIP 标准包括注册实体在大型电力系统 (BES) 运行中使用供应商时应考虑的目标。 运营大型电力系统的 Microsoft 客户需全权负责确保自己遵循 NERC CIP 标准。

有关 Microsoft 云服务和 NERC 的详细信息,请参阅以下资源:

能源组织建议考虑的监管标准包括 FedRAMP(美国联邦风险和授权管理计划),该计划以 NIST SP 800-53 Rev 4 标准(美国国家标准与技术研究所)为基础,并对其进行了扩充。

  • Microsoft Office 365 和 Office 365 美国政府版已被授予中等影响级别的 FedRAMP ATO(授权运营)。
  • Azure 和 Azure 政府版均被授予 FedRAMP 高 P-ATO(临时授权运营),后者代表最高级别的 FedRAMP 授权。

有关 Microsoft 云服务和 FedRAMP 的详细信息,请参阅以下资源:

这些成就对能源行业意义重大,因为 FedRAMP 中等控制措施集和 NERC CIP 要求之间的比较表明,FedRAMP 中等控制措施涵盖所有 NERC CIP 要求。 为了获取更多信息,Microsoft 开发了NERC 审计的云实施指南,其中包括当前一组 NERC CIP 标准与 FedRAMP Moderate 控制集之间的控制映射,如 NIST 800-53 Rev 4 中所述。

随着能源行业新式化其协作平台,配置和部署协作工具和安全控制措施时需考虑以下注意事项:

  • 评估常见的协作方案
  • 访问使员工保持高效所需的数据
  • 法规遵从性要求
  • 与数据、客户和组织相关的风险

Microsoft 365 是一种新式工作区云环境。 可在整个企业内提供安全灵活的协作,并实施控制措施和策略,以遵守最为严格的法规遵从性框架。 通过以下文章,本文探讨了 Microsoft 365 如何帮助能源行业迁移到现代协作平台,同时帮助保持数据和系统的安全且符合法规:

  • 通过 Microsoft Teams 提供综合的协作平台
  • 在能源行业提供安全且合规的协作
  • 识别敏感数据并防止数据丢失
  • 通过高效地管理记录来管理数据
  • 遵守面向能源市场的 FERC 和 FTC 法规
  • 防止数据泄露和内部风险

作为 Microsoft 合作伙伴,Protiviti 参与了本文的撰写并提供了实质性反馈。

通过 Microsoft Teams 提供综合的协作平台

协作通常需要多种形式的通信、存储和访问文档的能力,以及按需集成其他应用程序的能力。 无论是全球企业还是本地公司,能源部门的员工通常需要与其他部门的成员或跨团队进行协作和沟通。 他们通常还需要与外部合作伙伴、供应商或客户进行沟通。 因此,通常不推荐使用创建孤岛或难以共享信息的系统。 也就是说,我们仍希望确保员工按照政策安全地共享信息。

为员工提供基于云的新式协作平台,使他们能够选择和轻松集成可提高工作效率的工具,使他们能够找到最佳工作和协作方式。 使用 Microsoft Teams 以及安全控制和治理策略来保护组织,可帮助员工轻松在云中进行协作。

Microsoft Teams 为你的组织提供了一个协作中心,可将人们汇集在一起,共同协作处理日常工作或项目。 它允许团队成员进行对话、协作和共同创作文档。 它可让用户存储文件并与团队成员或团队外部的人员共享文件。 它还可让他们通过集成的企业语音和视频举行实时会议。 可自定义 Microsoft Teams,以便轻松访问 Microsoft 应用(如 Planner、Dynamics 365、Power BI)和其他第三方业务线应用程序。 Teams 简化了对 Office 365 服务和第三方应用的访问,以便集中处理组织的协作和通信需求。

每个 Microsoft Team 由 Office 365 组提供支持。 Office 365 组被视为 Office 365 服务(包括 Microsoft Teams)的成员资格提供程序。 Office 365 组用于安全地控制哪些用户被视为成员,哪些用户是组的所有者。 此设计允许我们轻松控制哪些用户有权访问 Teams 中各种功能。 因此,团队成员和所有者只能访问他们被允许使用的功能。

Microsoft Teams 可以在以下情况使能源组织受益,与承包商或外部公司合作,作为现场服务计划的一部分,例如“捐赠管理”。 承包商通常负责管理电源系统设施周围的植被或移除树木。 他们通常需要接收工作说明,与调度员和其他现场服务人员通信,拍摄和共享外部环境的照片,在工作完成后注销,并与总部共享数据。 传统上,这些程序使用电话、文本、书面工作订单或自定义应用程序运行。 此方法可能会带来许多挑战。 例如:

  • 流程是手动或模拟流程,使得难以跟踪指标
  • 通信并非全部捕获到一个位置
  • 数据是孤立的,不一定能与所有需要它的员工共享
  • 可能无法一致或高效地执行工作
  • 自定义应用程序未与协作工具集成,因此难以提取和共享数据或衡量性能

Microsoft Teams 可提供易于使用的协作空间,以便安全地共享信息并在团队成员和外部现场服务承包商之间展开对话。 Teams 可用于召开会议、拨打语音电话、集中存储和共享工作订单、收集现场数据、上传照片、与业务流程解决方案集成(使用 Power Apps 和 Power Automation 构建),以及集成业务线应用。 这种类型的现场服务数据可能被视为影响较小;但是,在这些情况下,通过集中员工和现场服务人员之间的通信和访问数据,可以提高效率。

Microsoft Teams 可让能源行业受益的另一个示例是,当现场服务人员在停电期间努力恢复服务时。 现场工作人员通常需要快速访问变电站和发电站的示意图数据,或者需要现场资产的蓝图。 此数据被视为“高影响力”数据,并且必须根据 NERC CIP 法规进行保护。 停电期间的现场服务工作要求现场工作人员与办公室员工和最终客户进行沟通。 Microsoft Teams 中的集中通信和数据共享为现场工作人员提供了一种简单方法,使其能够访问关键数据并将相关信息或状态传回总部。 例如,Microsoft Teams 允许现场工作人员在停电期间加入电话会议。 现场工作人员还可以拍摄其环境的照片或视频,并与总部共享,当现场设备与示意图不匹配时,这一点尤为重要。 然后,通过 Power BI 等数据可视化工具,将从现场收集的数据和状态呈现给办公室员工和领导层。 最终,Microsoft Teams 可让现场工作人员在这些关键情况下提高工作效率和生产力。

Teams:改进协作并降低合规性风险

通过将 Office 365 组用作基础成员资格提供程序,Microsoft 365 为 Microsoft Teams 提供了常见的策略功能。 这些策略可帮助改进协作并满足合规性需求。

Office 365 组命名策略有助于确保 Office 365 组和 Microsoft Teams 命名符合公司策略。 Team 的名称可能会带遇到问题(如果未正确命名)。 例如,如果员工名称不正确,他们可能不知道在哪个团队中工作或共享信息。 组命名策略有助于强制实施良好的卫生措施,并可能防止使用特定字词,例如保留字词或不适当的术语。

Office 365组过期策略有助于确保Office 365组以及 Microsoft Teams 的保留时间不会超过组织要求的时间。 此功能可帮助避免两个关键信息管理问题:

  • 不必要的或未使用的 Microsoft Teams 的激增
  • 过度保留组织不再需要的数据

管理员可为 Office 365 组指定过期期限(以天为单位,如 90 天、180 天或 365 天)。 如果 Office 365 组支持的服务在过期后处于非活动状态,则会通知组所有者。 如果未执行任何操作,将删除 Office 365 组及其所有相关服务(包括 Microsoft Teams)。

Microsoft Team 中数据的过度保留可能会给组织带来诉讼风险。 建议使用过期策略来保护组织。 Microsoft 365 结合了内置的保留标签和策略,帮助确保组织仅保留满足法规遵从义务所需的数据。

Teams:轻松集成自定义要求

默认情况下,Microsoft Teams 支持自助团队创建。 但是,许多受监管的组织希望控制和了解员工当前正在使用的协作空间、哪些空间包含敏感数据,以及在整个组织中空间的所有者是谁。 为了简化这些监管控制,Microsoft 365 允许组织禁用自助 Teams 创建。 并使用内置的 Microsoft 365 业务流程自动化工具(如 Power Apps 和 Power Automate),让组织构建简单的流程来请求新的 Team。 通过填写易于使用的表单,经理可以自动请求批准。 一旦获得批准,即可自动设置团队,并向请求者发送指向其新团队的链接。 通过构建此类流程,组织还可以集成自定义要求以促进其他业务流程。

在能源行业提供安全且合规的协作

如上所述,Microsoft Office 365 和 Office 365 美国政府版已被授予中等影响级别的 FedRAMP ATO。 Azure 和 Azure 政府版均被授予 FedRAMP 高 P-ATO,后者代表最高级别的 FedRAMP 授权。 此外,FedRAMP 中等控制措施集涵盖了所有 NERC CIP 要求,从而使能源行业组织(“注册实体”)能够将现有 FedRAMP 授权用作满足 NERC 审核要求的可扩展且高效的方法。 但是,请务必注意,FedRAMP 不是时间点认证,而是包括 持续监视条款的评估和授权计划。 尽管此预配主要适用于 CSP,运营大型电力系统的 Microsoft 客户需全权负责确保自己遵循 NERC CIP 标准。 通常建议的做法是持续监视组织的合规性状况,以帮助确保持续遵守法规。

Microsoft 提供了一个重要工具来帮助长期监控法规遵从性:

  • Microsoft Purview 合规性管理器 可帮助组织了解其当前合规性状况以及为帮助改善该状况而可以采取的措施。 合规性管理器计算基于风险的分数,用于衡量有助于降低数据保护和法规标准风险的措施的完成进度。 合规性管理器根据 Microsoft 365 数据保护基准提供初始分数。 此基线是一组包含常见行业法规和标准的控件。 虽然此分数是一个很好的起点,但是一旦组织增加了与其所处行业更为相关的评估,合规性管理器就会变得更强大。 合规性管理器支持许多与 NERC CIP 合规性义务相关的监管标准,包括 FedRAMP 中等控制措施集NIST 800-53 修订版 4AICPA SOC 2。 如果需要,能源行业组织还可以创建或导入自定义控制集。

合规性管理器中内置的工作流功能允许能源组织转换和数字化其法规合规性流程。 通常,能源行业的合规性团队面临以下挑战:

  • 不一致地报告或跟踪补救措施的进度
  • 低效或无效流程
  • 资源不足或缺乏所有权
  • 缺少实时信息和人为错误

通过使用合规性管理器自动化合规性流程的各个方面,组织可减轻法律和合规性部门的管理负担。 此工具通过提供有关补救措施的最新信息、更一致的报告以及与行动实施相关的行动所有权证明,可帮助解决这些挑战。 组织可以随着时间的推移自动跟踪补救措施并查看整体效率的提高情况。 借助此功能,员工可以更加专注于获取见解和制定策略,从而更有效地应对风险。

合规性管理器不表示组织符合任何特定标准或法规的绝对度量值。 它表示控制措施的采用力度,这些控制措施可降低个人数据和个人隐私风险。 不应将合规性管理器的建议解释为合规性保证。 合规性管理器中提供的客户操作是建议。 由每个组织在实施之前评估这些建议的有效性,以履行其监管义务。 在合规性管理器中找到的建议不应被解释为合规性保证。

FedRAMP Moderate 控制集NERC CIP 标准包含许多网络安全相关的控件。 但是,与 Microsoft 365 平台相关的关键控制措施包括安全管理控制措施 (CIP-003-6)、帐户和访问管理/访问撤销 (CIP-004-6)、电子安全外围 (CIP-005-5)、安全事件监控和事件响应 (CIP-008-5)。 以下基础 Microsoft 365 功能有助于解决这些文章中包含的风险和要求。

保护用户标识和控制访问

保护对文档和应用程序的访问从加强对用户标识的保护开始。 作为基础,此操作需要为企业提供一个安全平台来存储和管理标识,并提供受信任的身份验证方法。 它还需要动态控制对这些应用程序的访问。 员工在工作时,可能会从应用程序迁移到应用程序,或者跨多个位置和设备移动。 因此,必须在此过程的每个步骤中对数据访问进行身份验证。 此外,身份验证过程必须支持强协议和多种身份验证因素, (一次性短信传递代码、验证器应用、证书等 ) ,以确保标识未被泄露。 最后,作为重要建议,应强制实施基于风险的访问策略来保护数据和应用程序免受内部威胁、意外数据泄露和数据外泄。

Microsoft 365 提供了一个安全标识平台,Microsoft Entra ID集中存储并安全管理标识。 Microsoft Entra ID以及许多相关的 Microsoft 365 安全服务,构成了为员工提供安全工作所需的访问权限的基础,同时保护组织免受威胁。

Microsoft Entra多重身份验证 (MFA) 内置于平台中,并提供额外的保护层,以帮助确保用户在访问敏感数据和应用程序时是他们所说的。 Microsoft Entra多重身份验证至少需要两种形式的身份验证,例如密码和已知的移动设备。 它支持多种第二因素身份验证选项,包括:Microsoft Authenticator 应用、通过短信发送的一次性密码、接听用户必须输入 PIN 的电话呼叫以及智能卡或基于证书的身份验证。 如果密码被破解,潜在黑客仍需要用户的电话来访问组织数据。 此外,Microsoft 365 将新式身份验证用作密钥协议,它将同样强大的身份验证体验从 Web 浏览器带到协作工具,包括 Microsoft Outlook 和 Microsoft Office 应用。

Microsoft Entra条件访问提供了一个可靠的解决方案,用于自动执行访问控制决策并强制实施保护公司资产的策略。 一个常见示例是,当员工尝试访问包含敏感客户数据的应用程序时,他们自动需要执行多重身份验证。 Azure 条件访问将来自用户的访问请求 (的信号汇集在一起,例如有关用户、其设备、位置、网络以及他们尝试访问) 的应用或存储库的属性。 它会根据所配置的策略动态评估每次访问应用程序的举措。 如果用户或设备风险较高,或者不符合其他条件,Microsoft Entra ID会自动强制实施策略 (,例如动态要求 MFA、限制甚至阻止访问) 。 此设计有助于确保在动态变化的环境中保护敏感资产。

Microsoft Defender for Office 365 提供了一项集成的服务,旨在保护组织免受通过电子邮件传递的恶意链接和恶意软件的攻击。 目前影响用户的最常见攻击途径之一是电子邮件钓鱼攻击。 这些攻击专门针对特定的高知名度员工,并且经过精心设计,非常有说服力。 它们通常包含一些行动号召,要求用户选择恶意链接或使用恶意软件打开附件。 一旦受到感染,攻击者可以窃取用户的凭据并在组织中横向移动。 他们还会窃取电子邮件和数据来查找敏感信息。 Microsoft Defender for Office 365在点击时评估链接是否存在潜在的恶意站点并阻止它们。 将在受保护的沙箱中打开电子邮件附件,然后将它们发送到用户邮箱。

Microsoft Defender for Cloud Apps 使组织能够在粒度级别强制实施策略。 此设计包括基于使用机器学习自动定义的单个用户配置文件检测行为异常。 Defender for Cloud Apps 基于 Azure 条件访问策略构建,方法是评估与所访问文档的用户行为和属性相关的其他信号。 随着时间的推移,Defender for Cloud Apps 会了解每个员工的典型行为(他们访问的数据以及他们使用的应用程序)。 根据已知的行为模式,如果员工行为超出该行为配置文件的范围,则策略可自动实施安全控制措施。 例如,如果员工通常在星期一到星期五上午 9:00 到下午 5:00 访问会计应用,但同一用户在周日晚上开始大量访问该应用程序,Defender for Cloud Apps 可以动态强制实施策略以要求用户重新进行身份验证。 此要求有助于确保凭据未被泄露。 此外,Defender for Cloud Apps 可以帮助发现和识别组织中的影子 IT。 此功能可帮助 InfoSec 团队确保员工在处理敏感数据时使用批准的工具。 最后,Defender for Cloud Apps 可以保护云中任意位置的敏感数据,甚至是 Microsoft 365 平台之外的数据。 它允许组织批准 (或批准) 特定的外部云应用,控制用户在这些应用程序中工作时的访问和监视。

Microsoft Entra ID以及相关的 Microsoft 365 安全服务为向能源行业组织推出现代云协作平台提供了基础。 Microsoft Entra ID包括用于保护对数据和应用程序的访问的控制。 除了提供强大的安全性之外,这些控制措施还可帮助组织履行法规合规性义务。

Microsoft Entra ID 和 Microsoft 365 服务进行了深度集成,并提供以下重要功能:

  • 集中存储和安全管理用户标识
  • 使用强身份验证协议(包括多重身份验证)对访问请求的用户进行身份验证
  • 在任何应用程序中提供一致且可靠的身份验证体验
  • 对所有访问请求动态验证策略,将多个信号合并到策略决策过程中,包括标识、用户/组成员资格、应用程序、设备、网络、位置和实时风险评分。
  • 根据用户行为和文件属性验证粒度策略,并在需要时动态执行额外的安全措施
  • 标识组织中的“影子 IT”,并允许 InfoSec 团队批准或阻止云应用程序
  • 监视和控制对 Microsoft 和非 Microsoft 云应用程序的访问
  • 主动抵御电子邮件钓鱼和勒索软件攻击

识别敏感数据并防止数据丢失

FedRAMP 中等控制措施集和 NERC CIP 标准还包含作为关键控制措施要求 (CIP-011-2) 的信息保护。 这些要求专门解决了识别与 BES(大型电力系统)网络系统信息相关的信息以及对该信息的保护和安全处理(包括存储、传输和使用)的需求。 BES 网络系统信息的特定示例可能包括安全过程或有关系统的安全信息,这些系统是操作批量电气系统的基础 (BES 网络系统、物理访问控制系统、电子访问控制或监视系统,) 未公开提供,可用于允许未经授权的访问或未经授权的分发。 但是,同样需要识别和保护对能源组织日常运营至关重要的客户信息。

Microsoft 365 允许通过一组强大的功能来识别并保护组织内的敏感数据,包括:

  • Microsoft Purview 信息保护,用于进行基于用户的分类和对敏感数据进行自动化分类。

  • Microsoft Purview 数据丢失防护 (DLP) ,用于使用敏感数据类型 ((即正则表达式) 和关键字)以及策略强制实施来自动识别敏感数据

通过 Microsoft Purview 信息保护,员工可以使用敏感度标签对文档和电子邮件进行分类。 敏感度标签可由用户手动应用到 Microsoft Office 应用中的文档和 Microsoft Outlook 中的电子邮件。 敏感度标签可以自动应用文档标记、通过加密进行保护,并强制实施权限管理。 还可以通过配置使用关键字和敏感数据类型的策略来自动应用敏感度标签, (信用卡号码、社会安全号码、身份号码等 ) 。

Microsoft 还提供可训练的分类器。 它们使用机器学习模型根据内容识别敏感数据,而不是简单地通过模式匹配或内容中的元素进行识别。 分类器通过查看大量要分类内容的示例,了解如何标识内容类型。 训练分类器的第一步是为分类器提供属于特定类别的内容示例。 处理示例后,将通过同时提供匹配和非匹配示例来测试模型。 分类器随后会预测给定示例是否属于该类别。 然后,用户可通过确认结果,对正、负、假正和假负进行分类,来帮助提高分类器预测的准确性。 发布经过训练的分类器时,它会处理 SharePoint Online、Exchange Online 和 OneDrive 中的内容并自动分类。

将敏感度标签应用于文档和电子邮件会将元数据嵌入对象中,以标识所选敏感度,从而允许敏感度随数据一起传播。 因此,即使已标记的文档存储在用户的桌面上或本地系统中,它仍然受到保护。 此设计使其他 Microsoft 365 解决方案(如Microsoft Defender for Cloud Apps或网络边缘设备)能够识别敏感数据并自动强制实施安全控制。 敏感度标签具有额外的好处,可帮助员工了解组织中哪些数据被视为敏感数据以及如何处理该数据。

Microsoft Purview 数据丢失防护 (DLP) 自动识别包含敏感数据的文档、电子邮件和对话,方法是扫描这些项目的敏感数据类型,然后对这些对象强制实施策略。 将会对 SharePoint 和 OneDrive for Business 中的文档实施策略。 当用户发送电子邮件,以及在 Microsoft Teams 的聊天和频道对话中,也会实施这些策略。 可配置策略来查找关键字、敏感数据类型、保留标签,以及数据是在组织内共享,还是在外部共享。 提供了控制措施来帮助组织微调 DLP 策略,以便更好地避免误报。 找到敏感数据时,可以在 Microsoft 365 应用程序中向用户显示可自定义的策略提示。 策略提示通知用户其内容包含敏感数据,并可以建议纠正措施。 策略还可以防止用户访问文档、共享文档或发送包含特定类型敏感数据的电子邮件。 Microsoft 365 支持 100 多种内置敏感数据类型。 组织可以配置自定义敏感数据类型以满足其策略。

向组织推出 Microsoft Purview 信息保护和 DLP 策略需要仔细规划。 它还需要对用户进行培训,以便员工了解组织的数据分类架构以及确定哪些类型属于敏感数据。 为员工提供工具和教育计划,帮助他们识别敏感数据并了解如何处理这些数据,使其成为解决方案中缓解信息安全风险的一部分。

通过高效地管理记录来管理数据

法规要求许多组织根据托管的公司保留计划来管理重要组织文档的保留。 如果数据保留时间不足(过早删除),组织将面临法规遵从性风险;如果过度保留数据(保留时间过长),则组织将面临法律风险。 高效的记录管理策略有助于确保按照预先确定的保留期(用于将组织的风险降至最低)来保留组织文档。 保留期在集中管理的组织记录保留计划中规定。 保留期基于每种类型的文档性质、保留特定数据类型的法规合规性要求,以及组织的定义策略。

跨组织文档准确分配记录保留期可能需要一个精细的过程,以唯一地向单个文档分配保留期。 出于多种原因,大规模应用记录保留策略可能充满挑战。 这些原因包括能源行业组织中大量的文档,以及在许多情况下,组织事件(如合同到期或员工离开组织)可能会触发保留期) 。

Microsoft 365 提供了用于定义保留标签和策略的功能,可轻松实现记录管理要求。 记录管理员定义保留标签,它代表了传统保留计划中的一个“记录类型”。 保留标签包含定义以下内容的设置:

  • 记录保留的时间
  • 并发要求或保留期到期时发生的情况(删除文档、启动处置评审或不执行任何操作)
  • 触发保留期开始的因素(创建日期、上次修改日期、标记日期或事件),以及
  • 如果文档或电子邮件是记录 (这意味着不能编辑或删除)

然后将保留标签发布到 SharePoint 或 OneDrive 站点、Exchange 邮箱和 Office 365 组。 然后,用户可以手动将保留标签应用于文档和电子邮件。 或者,记录管理者可以使用规则自动应用保留标签。 自动应用规则可以基于文档或电子邮件中的关键字或敏感数据,例如信用卡号、社会保险号或其他个人身份信息 (PII) 。 自动应用规则也可以基于 SharePoint 元数据。

FedRAMP 中等控制措施集和 NERC CIP 标准还包含作为关键控制措施要求 (CIP-011-2) 的资产重用和处置。 这些要求再次专门针对 BES(大型电力系统)网络系统信息。 然而,其他司法管辖区法规要求能源行业组织有效地管理和处理多种类型的信息的记录。 此信息包括财务报表、资本项目信息、预算、客户数据等。在所有情况下,能源组织都需要维护与公司记录的可保护处置相关的可靠记录管理计划和证据。

借助每个保留标签,Microsoft 365 允许记录管理员确定是否需要进行处置评审。 然后,在这些记录类型的保留期到期后,必须先由指定的处置审阅者执行审核,然后才能删除内容。 处置评审获得批准后,将继续删除内容。 但是,删除的证据(执行删除的用户和执行删除的日期/时间)仍会保留多年作为销毁证书。 如果组织需要长期或永久保留销毁证书,则可以使用 Microsoft Sentinel 长期存储基于云的日志和审核数据。 Microsoft Sentinel 使组织可以完全控制活动数据、日志数据和保留/处置数据的长期存储和保留。

遵守面向能源市场的 FERC 和 FTC 法规

美国联邦能源管理委员会 (FERC) 负责监管与能源市场和电力及天然气市场交易相关的法规。 美国联邦贸易委员会 (FTC) 负责监管石油市场的类似法规。 在这两种情况下,这些监管机构都制定规则和指南来禁止操纵能源市场。 例如,FERC 建议能源组织投入技术资源来监控交易、交易员通信和内部控制措施的合规性。 监管机构还建议能源组织定期评估组织的合规性计划的持续有效性。

通常,通信监控解决方案成本高昂,并且配置和管理起来可能很复杂。 此外,组织还可以通过监视可供员工使用的多种不同沟通渠道来应对挑战。 Microsoft 365 提供了多种强大的内置功能来监控员工通信、监督员工活动,并帮助遵守面向能源市场的 FERC 法规。

实施监管控制

通过 Microsoft 365,组织可以配置用于捕获员工通信(基于配置的条件)的监督策略,并让指定的监督员审核这些通信。 监督策略可以捕获内部/外部电子邮件和附件、Microsoft Teams 聊天和频道通信、Skype for Business Online 聊天通信和附件,以及通过第三方服务(如 Facebook 或 Dropbox)的通信。

组织内可能捕获和审查的通信的综合性质以及可以配置策略的广泛条件允许 Microsoft 365 监管策略帮助组织遵守 FERC 能源市场法规。 可配置监督策略以查看个人或组通信。 此外,可以将主管配置为个人或组。 可将综合条件配置为基于入站或出站邮件、域、保留标签、关键字或短语、关键字字典、敏感数据类型、附件、邮件大小或附件大小来捕获通信。 审阅者将获得一个仪表板,可在其中审查标记的通信、对可能违反策略的通信采取行动,或将标记的项标记为“已解决”。 他们还可能查看以前评审的结果和已解决的项目。

Microsoft 365 提供可基于策略和审阅者来审核监督策略审查活动的报告。 可使用提供的报告来验证监督策略是否按照组织书面监督策略所定义的方式工作。 报表还可用于识别需要评审的通信,包括不符合公司策略的通信。 最后,所有与配置监督策略和审查通信相关的活动都在 Office 365 统一审核日志中进行审核。

通过 Microsoft 365 监督策略,组织可以监控通信是否符合公司策略,例如人力资源骚扰违规行为和公司通信中的冒犯性语言。 它还允许组织在发生敏感的组织结构变更(如合并和收购或领导变更)时通过监控通信来降低风险。

通信合规性

随着员工可以使用的通信渠道增多,组织迫切需要有效的解决方案来检测和调查能源贸易市场等受监管行业中的通信。 这些问题可能包括不断增加的通信通道和消息量,以及可能因违反策略而面临的风险。

Microsoft Purview 通信合规性 是一种合规性解决方案,可帮助检测、调查和处理组织中的不当消息,从而最大程度地降低通信风险。 预定义和自定义的策略让你能够扫描内部和外部通讯,查看与策略的匹配情况,让委派的审阅者能检查它们。 审阅者可以调查组织中扫描的电子邮件、Microsoft Teams、Viva Engage或第三方通信,并采取适当措施确保它们符合组织的邮件标准。

通信合规性解决方案有助于合规性团队高效地审查消息是否潜在违反了:

  • 公司政策,例如可接受的使用、道德标准和公司特定政策
  • 敏感或高度敏感的业务披露,例如有关敏感项目的未经授权通信,如即将进行的收购、合并、收益披露、重组或领导团队变更
  • 法规遵从性要求,例如与组织按照 FERC 能源市场法规开展的业务或交易类型有关的员工通信

通信合规性解决方案提供内置威胁、骚扰和猥亵语言分类器,可帮助在审查通信时减少误报。 在调查和修正过程中,此分类可节省审阅者的时间。 它可以帮助审阅者专注于策略警报突出显示的长线程中的特定消息。 此结果可帮助合规性团队更快地识别和修正风险。 它使合规性团队能够轻松地配置和微调策略,根据组织的特定需求调整解决方案,并减少误报。 通信合规性还可以帮助确认一段时间内的潜在风险用户行为,突出显示危险行为或违反政策的潜在模式。 最后,它提供了灵活的内置修复工作流。 这些工作流可帮助审阅者快速采取措施,根据定义的公司流程上报给法律或人力资源团队。

防止数据泄露和内部风险

常见的企业威胁是数据泄漏,或者从组织提取数据的行为。 由于员工或现场服务人员每天可能访问的信息的敏感性,因此,此操作可能成为能源组织的一大关注点。 此数据包括 BES (大型电力系统) 网络系统信息,以及业务相关信息和客户数据。 随着通信方法的不断增加以及用于移动数据工具的增多,通常需要高级工具来降低数据泄露、策略违反和内部风险。

内部风险管理

让员工能够使用可在任何位置访问的联机协作工具,这本质上会给组织带来风险。 员工可能会无意或恶意地将数据泄露给攻击者或竞争对手。 或者,他们可能会泄露数据供个人使用,或将数据带给未来的雇主。 从安全性和合规性的角度来看,这些情形给组织带来了重大风险。 当这些风险发生时识别它们,而快速缓解风险需要数据收集和跨部门(如法律、人力资源和信息安全)协作的智能工具。

Microsoft Purview 预览体验成员风险管理是一种合规性解决方案,使你能够检测、调查和处理组织中的恶意和无意活动,从而帮助最大程度地降低内部风险。 预览体验成员风险策略允许定义要在组织中识别和检测的风险类型,包括针对案例采取行动,并根据需要将案例升级到 Microsoft 电子数据展示(高级版)。 组织中的风险分析师可以快速采取适当措施,确保用户符合组织的合规性标准。

例如,内部风险管理可将来自用户设备的信号关联起来,例如,将文件复制到 USB 驱动器,或向个人电子邮件帐户发送邮件,包括来自 Office 365 电子邮件、SharePoint Online、Microsoft Teams 或 OneDrive for Business 等在线服务中的活动,从而识别数据泄漏的规律。 它还可以将这些活动与离开组织的员工关联起来,这是一种与数据泄漏相关的常见行为模式。 它可检测一段时间内的多个潜在风险活动和行为。 当常见模式出现时,它会发出警报,帮助调查人员专注于主要活动,以高可信度验证是否违反了策略。 内部风险管理可以对调查人员的数据进行模糊化处理,以帮助满足数据隐私规定,同时还可以提供有助于他们有效开展调查的关键活动。 准备就绪后,它允许调查人员将关键活动数据打包,并安全地发送给人力资源和法律部门,遵循常见的上报工作流程,以对出现的案例实施补救行动。

内部风险管理是 Microsoft 365 在检测和调查内部风险方面的一个显著功能提升,同时允许组织继续满足数据隐私法规要求,并在需要更高级别操作的情况下遵循既定的上报途径。

总结

Microsoft 365 提供了集成的综合性解决方案,它支持在整个企业内使用 Microsoft Teams 轻松开展基于云的协作。 Microsoft Teams 还可让用户与现场服务人员进行更好的沟通和协作,从而帮助能源组织提高效率。 在整个企业内部以及与现场工作人员展开更好的协作,最终可帮助能源组织更好地为客户服务。

能源行业组织必须遵守关于如何存储、保护、管理和保留与其运营和客户相关的信息的严格规定。 它们还必须遵守有关如何监控和防止操纵能源市场的法规。 Microsoft 365 提供了强大的安全控制,用于保护数据、标识、设备和应用程序免受风险,并遵守严格的能源行业法规。 提供的内置工具可帮助能源组织评估其合规性,并随着时间推移采取行动和跟踪补救活动。 这些工具还提供了易于使用的方法来监控和监督通信。 Microsoft 365 平台基于 Microsoft Azure 和 Microsoft Entra ID 等基础组件构建,有助于保护整个平台,并帮助组织满足 FedRAMP 中高控制集的合规性要求。 反过来,这种设计有助于能源组织满足 NERC CIP 标准的能力。

总而言之,Microsoft 365 可帮助能源组织更好地保护组织、拥有更加强大的合规性计划,并使员工专注于获得更好的见解和实施战略,以便更好地降低风险。