建立风险评估和缓解途径

已完成

许多组织使用风险评估来确保提供一流的网络安全保护。 如果您的组织已有风险评估体系,那么在为 Microsoft Power Platform 创建任何新内容之前考察该体系是个好主意。

这样就可以避免为 Power Platform 创建不符合整体网络安全计划的内容。 因此,请检查您的现有体系,并确保整个计划的协调性。

另外,建立轻型风险评估流程以帮助跟踪、衡量和监视组织内的风险时,可参考以下各节重点列出的注意事项。

通过标准建立基线

在组织中,制定明确的规则和准则非常重要。 如果您希望创造的人(制作者)遵循组织的期望,就需要阐明允许和禁止哪些行为。

但问题是,如果人们不知道这些规则的存在,他们就无法遵守。 因此,应该让大家注意到这些规则。 您可以将它们放在 Intranet 站点或 Wiki 上。 您甚至可以让大家在创建第一个流或应用时自动了解这些规则。 我们将在本模块的另一部分详细讨论这一点。

实施治理控制以防范不必要的操作

治理仅在强制实施时才有用。 组织需要建立基本规则和约束,以避免数据流向错误的目的地。

建立例外流程

可能会出现这样的情况,即存在合法的业务需求以允许特定的动作或活动。 不过,重要的是,必须要让有权作出决策的人员以合适的可见度级别记录要继续进行的决策。

跟踪异常

如果不能衡量组织的整体暴露程度,那么单纯的堆积风险只是徒劳。 要有效管理风险并努力持续改进,组织必须跟踪异常情况,评估其影响,分配解决风险的责任,并定期进行审核。

有些组织会利用 Microsoft Power Platform 来辅助进行这一流程。 正如 Microsoft Power Platform 安全和治理简介模块中所述,Center of Excellence 初学者工具包中包括开发人员合规中心。 该工具可协助组织控制新应用程序的部署,并鼓励应用创建者证明其应用的必要性。 这是一种保持控制并确保每个应用具有存在意义的系统方法。

定期查看和报告异常

为了鼓励采取正确的行动,让风险变得明确易懂至关重要。 如果人们看不到风险对事物产生的实际影响或后果,他们可能就没有做出改变的理由。

如果您对组织中的风险有清晰的认识,就有助于管理者评估他们是否可以接受现有的风险程度,或者是否需要做出改变。 这就像透过挡风玻璃拥有良好的视野,才能安全驾驶。