建立設計良好的資料分類架構

  • 發行項

當您開發、修改或精簡資料分類架構時,請考慮下列前置做法:

  • 請勿預期會在第 1 天從 0 到 100開始:Microsoft 建議使用編目逐步執行方法,為組織重要的功能設定優先順序,並根據時間軸對應這些功能。 完成第一個步驟,確定成功,然後繼續進行下一個階段,套用所學到的經驗。 請記住,當您設計資料分類架構時,您的組織仍可能暴露在風險中,因此只要從幾個分類層級開始,稍後再視需要擴充即可。

  • 您不只是為網路安全性專業人員撰寫:資料分類架構適用于廣泛的物件,包括您的一般員工成員、法律與合規性小組,以及您的 IT 小組。 請務必為您的資料分類層級撰寫清楚、易於瞭解的定義,盡可能提供真實世界的範例。 請嘗試避免使用術語,並考慮縮寫和高技術性詞彙的詞彙。 例如,使用「個人識別資訊」並提供定義,而不是只說 'PII'。

  • 資料分類架構是要實作的:若要讓資料分類架構成功,必須實作這些架構。 在製作每個資料分類層級的控制項需求時,這特別相關。 請確定已清楚定義需求,並預期並解決在實作期間可能發生的任何模棱兩可的情況。 例如,如果您有個人識別資訊的控制項,請務必明確說明該控制項的意義,例如社會安全或護照號碼。

  • 只有在需要時才會細微:資料分類架構通常包含 3-5 個數據分類層級的任何位置。 但只因為 您可以 包含五個層級,並不表示您 應該這麼做。 決定您需要的分類層級數目時,請考慮下列準則:

    • 您的產業和高度管制產業 (相關法規義務,通常需要更多分類層級)
    • 維護更複雜架構所需的作業額外負荷
    • 您的使用者及其符合與更多分類層級相關聯之複雜度和細微差別增加的能力
    • 尋求跨多個裝置類型套用手動分類時的使用者體驗和協助工具

  • 讓適當的人員參與:擁有資深專案關係人對於成功至關重要,因為許多專案在不需要資深管理支援的情況下難以啟動或花費較長的時間。 資料分類架構通常由資訊技術小組所擁有,但可能會有法律、合規性、隱私權和變更管理影響。 若要確保您建立的架構可協助保護您的業務,請務必在原則的開發中包含隱私權和法律專案關係人,例如您的隱私權長和一般顧問辦公室。 如果您的組織有合規性部門、資訊控管專業人員或記錄管理小組,他們也可能有寶貴的輸入。 隨著您的架構推出至企業,您的通訊部門在內部傳訊和採用方面也扮演著重要的角色。

  • 平衡安全性與便利性:常見的錯誤是草擬安全但過度限制的資料分類架構。 此架構可能是以安全性為考慮而設計,但在實務上通常很難實作。 如果使用者需要遵循複雜、嚴格且耗時的程式,才能在日常環境中套用架構,他們一定會有不再相信其價值的風險,且最終會停止執行下列程式。 此風險存在於組織的所有層級,包括組織內的主管層級 (C 套件) 管理員。 安全性與便利性的良好平衡,以及容易使用的工具,通常會導致更廣泛地採用和使用使用者。 如果您的架構中有落差,請勿等到所有專案都完美地開始實作。 相反地,請評估風險或間距、建立計畫以減輕風險,然後繼續進行。 請記住,資訊保護是一段旅程,它不是在一夜啟動後完成的作業。 規劃、實作一些功能、確認成功,並隨著工具演進而逐一查看下一個里程碑,並讓使用者獲得成熟度和經驗。

也請記住,資料分類架構只會解決貴組織應該採取 哪些 動作來保護敏感性資料。 資料分類架構通常會伴隨資料處理規則或指導方針,以定義 如何 從技術和技術觀點設定這些原則。 在下列各節中,我們將討論如何將資料分類架構從原則檔帶入完全實作且可採取動作的方案。

建立資料分類架構的困難點

資料分類工作本質上十分廣泛,幾乎觸及企業內的每個商務功能。 由於這種廣泛範圍以及在現代數位環境中管理內容的複雜性,公司通常會在知道要從何處開始、如何管理成功的實作,以及如何測量其進度方面面臨挑戰。 常見的痛點通常包括:

  • 設計強固且易於瞭解的資料分類架構,包括判斷分類層級和相關聯的安全性控制項。
  • 開發實作計畫,包括確認適當的技術解決方案、將計畫與現有的商務程式對齊,以及識別對員工的影響。
  • 在所選技術解決方案內設定資料分類架構,並解決工具的技術功能與架構本身之間的任何差距。
  • 建立治理結構,以監督資料分類工作的持續維護和健康情況。
  • 識別特定的關鍵效能指標 (KPI) 來監視和測量進度。
  • 提高資料分類原則的認知和瞭解、其重要原因,以及如何遵守這些原則。
  • 遵守以資料遺失和網路安全性控制為目標的內部稽核檢閱。
  • 訓練和吸引使用者,讓他們在日常工作中留意正確的分類需求,並套用正確的分類量值。

變更管理和訓練

現今的組織使用 Microsoft 365 之類的工具來實作其資料分類架構。 其目的是要嘗試將資料分類自動化,而不會增加員工的負擔。 此結構並不表示您的組織不負責提高管理內容需求的意識,並保護組織免于遭受本文中討論的風險。 主要做法仍然是在整個組織中進行認知訓練,作為年度訓練排程的一部分。 我們的體驗顯示,為執行這項工作的主要物件使用者進行強固且全面的訓練,會增加其投入量,並可提高採用率和品質。 新增 標籤建議 和應用程式內秘訣可以放大這些工作。 此訓練不需要是廣泛的獨立課程。 您的組織可能會將其納入其他定期訓練,例如資訊安全性年度訓練,然後包含資料分類層級和定義的概觀。 重點是您的員工瞭解,即使此工具正在將資料分類自動化,但這並不會排除每個使用者根據公司原則保護資料的整體責任。

此外,您應該考慮為 IT 和資訊安全性小組進行更深入的訓練,以強化作業整備程度。 管理工具和資料分類架構的小組必須位於相同的頁面上。 此協調可能會要求您投資比每年更頻繁的更健全訓練排程。 更頻繁的訓練投資代表另一個降低組織風險的途徑。 此小組負責實作,因此如果未針對工具和原則進行定型,則可能是失敗點。

如果您需要手動圖章工具中的內容,開發已收到更進階訓練的進階使用者群組是適當的。 這些進階使用者會參與下列情況:使用者必須以資料敏感度標籤手動標記檔,並深入瞭解貴組織的資料分類架構和法規需求。

最後,您的領導階層應該優先支援資訊安全行為,以強化員工的風險管理計劃的重要性。 這些包括開發和實作健全的資料分類架構,以及指派重要領導者來推廣計畫,有時稱為變更的大使或風雲人物。

治理和維護

在您開發並實作資料分類架構之後,進行中的治理和維護對於您的成功至關重要。 除了追蹤敏感度標籤在實務上的使用方式之外,您還需要根據法規變更、網路安全性前置做法,以及您所管理內容的本質來更新控制項需求。 治理和維護工作可能包括:

  • 建立專門負責資料分類的治理主體,或將資料分類責任新增至現有資訊安全性主體的召集人。
  • 定義監督資料分類之使用者的角色和責任。
  • 建立 KPI 以監視和測量進度。
  • 追蹤網路安全性前置做法和法規變更。
  • 開發支援和強制執行資料分類架構的標準操作程式。

產業考慮

雖然開發強式資料分類架構的基本原則是通用的,但架構的詳細資料將取決於您產業的本質,以及資料要求的獨特合規性和安全性因素。

例如,金融服務公司可能需要考慮遵守數個法規架構,視其業務範圍及其營運區域而定。 美國中的證券公司必須符合SEC 規則 17a-4 (f) FINRA 規則 4511等帳戶法規,以解決書籍和記錄的安全性和保留需求。 同樣地,在美國營運的公司也需要考慮 FCA 合規性

政府機構面臨各種法規來管理其資料,這些法規會根據國家/地區及其工作的本質而有所不同。 例如,在美國中,存取聯邦稅務資訊 (FTI) 的政府機構及其代理程式受限於IRS 1075,其目的是要將聯邦稅務資訊的遺失、缺口或濫用風險降至最低。

雖然金融服務公司和政府機構是全世界受管制程度最高的組織,但大部分企業都有需要考慮的產業特定考慮。 一些範例包括:

在 Microsoft 365 中實作資料分類架構

開發資料分類架構之後,下一個步驟就是實作。 Microsoft Purview 合規性入口網站可讓系統管理員根據其資料分類架構來探索、分類、檢閱及監視其資料。 敏感度標籤可用來強制執行各種保護,例如加密和內容標記,以協助保護您的資料。 它們可以手動套用至資料;根據預設,根據原則設定;或自動做為已識別 PII 等條件的結果。

對於具有相對簡化資料分類架構的小型組織,為每個資料分類層級建立單一敏感度標籤可能就已足夠。 下列範例示範敏感度標籤對應的一對一資料分類層級:

分類標籤 敏感度標籤 標籤設定 發佈至
無限制 無限制 套用 'Unrestricted' 頁尾 所有使用者
一般 一般 套用 'General' 頁尾 所有使用者

提示

在 Microsoft 內部資訊保護試驗期間,瞭解和使用「個人」標籤時發生問題。 使用者對這是否表示 PII 或只是與個人事務有關感到混淆。 標籤已變更為「非企業」,以更清楚。 此範例顯示分類法從一開始就不需要是完美的。 從您認為正確的專案開始,試驗標籤,並視需要根據意見反應調整標籤

對於具有全球範圍或更複雜資訊安全性需求的大型組織,您可能會發現原則中的分類層級數目與 Microsoft 365 環境中的敏感度標籤數目之間的這種一對一關聯性是一項挑戰。 在特定資料分類層級,例如「受限制」的全球組織中,這項挑戰尤其是如此,這些組織可能會有不同的定義或不同的控制項集合,視區域而定。

如需實作的詳細資訊,請 參閱瞭解資料分類瞭解敏感度標籤

參考