在开发、改造或优化数据分类框架时,请考虑以下主要做法:
不要指望第 1 天从 0 到 100:Microsoft建议使用爬网即走式运行方法,优先处理对组织至关重要的功能,并将其映射到时间线。 完成第一步,确保成功,然后转到下一阶段,应用学到的经验教训。 请记住,在设计数据分类框架时,组织可能仍面临风险,因此可以只从几个分类级别着手,稍后根据需要进行扩展。
你不只是为网络安全专业人员撰写文章:数据分类框架适用于广泛的受众,包括普通员工、法律和合规性团队以及 IT 团队。 为数据分类级别编写清晰易懂的定义,尽可能提供真实示例。 尽量避免使用行话,并考虑提供针对首字母缩略词和高度技术性术语的术语表。 例如,使用“个人身份信息”并提供定义,而不只是说“PII”。
要实现数据分类框架:若要使数据分类框架成功,必须实现它们。 在为每个数据分类级别制定控制要求时,这一点尤其相关。 确保明确定义要求,并预测并解决在实现过程中可能出现的任何歧义。 例如,如果控制个人身份信息,请确保准确说明该控件的含义,例如社会保障或护照号码。
仅在需要时进行细化:数据分类框架通常包含 3 到 5 个数据分类级别。 但是,仅仅因为 你可以 包括五个级别并不意味着 你应该。 在确定所需的分类级别数时,请考虑以下条件:
- 高度监管的行业和 (相关监管义务往往需要更多的分类级别)
- 维护更复杂的框架所需的作开销
- 用户及其遵守与更多分类级别相关的增加的复杂性和细微差别的能力
- 寻求跨多个设备类型应用手动分类时的用户体验和可访问性
让合适的人员参与其中:拥有高级利益干系人对于成功至关重要,因为许多项目在没有高级管理层支持的情况下难以启动或花费更长时间。 信息技术团队通常拥有数据分类框架,但这些框架可能涉及法律、合规性、隐私和变更管理。 为确保创建有助于保护业务的框架,请在制定策略时包括隐私和法律利益干系人,例如首席隐私官和总法律顾问办公室。 如果你的组织有合规性部门、信息治理专业人员或记录管理团队,他们可能也有有价值的意见。 随着框架向业务推出,通信部门在内部消息传送和采用方面也发挥着关键作用。
在安全性与便利性之间进行平衡:一个常见错误是起草一个安全但限制过度的数据分类框架。 此框架在设计时可能考虑到安全性,但在实践中往往难以实现。 如果用户需要遵循复杂、严格且耗时的过程来在日常生活中应用框架,则始终存在一种风险,即他们可能会停止遵循过程,因为他们不再相信其价值。 这种风险存在于组织的所有级别,包括组织内的高管层。 安全性与便利性之间的良好平衡以及易于使用的工具通常会导致更广泛的用户采用和使用。 如果框架中存在不足之处,不要等到一切完美之后再开始实施。 相反,请评估风险或差距,制定计划来缓解风险或差距,并继续前进。 请记住,信息保护是一个旅程,它不是在一夜之间激活然后完成的。 你需要规划、实现某些功能,确认成功,然后随着工具的发展以及用户的成熟和经验积累迭代到下一个里程碑。
另请记住,数据分类框架 只涉及组织 为保护敏感数据而应执行的作。 数据分类框架通常附带数据处理规则或指南,这些规则或指南 定义如何 从技术和技术角度实施这些策略。 在以下各节中,我们将介绍有关如何将数据分类框架从策略文档转换为完全实现且可作的计划的一些实用指南。
创建数据分类框架的难点
数据分类工作涉及企业内的几乎所有业务职能。 由于在现代数字环境中管理内容的广度和复杂性,公司经常在了解从何处开始、如何管理成功的实施以及如何衡量其进度方面面临挑战。 常见的痛点通常包括:
- 设计可靠且易于理解的数据分类框架,包括确定分类级别和相关安全控制。
- 制定实施计划,包括确认适当的技术解决方案,使计划与现有业务流程保持一致,并确定对员工的影响。
- 在所选技术解决方案中设置数据分类框架,并解决工具的技术功能与框架本身之间的任何差距。
- 建立一个治理结构,以监督数据分类工作的持续维护和运行状况。
- 确定特定的关键绩效指标 (KPI,) 监视和衡量进度。
- 提高对数据分类策略的认识和理解、它们为何重要以及如何遵守它们。
- 遵守针对数据丢失和网络安全控制的审核审查。
- 培训并吸引用户,以便他们意识到在日常工作中需要正确分类,并应用正确的分类措施。
变更管理和培训
组织现在使用 Microsoft 365 等工具来实现其数据分类框架。 目的是尝试自动对数据进行分类,而不是增加员工负担。 此结构并不意味着你的组织没有责任提高对管理内容的需求意识,并保护组织免受本文中讨论的风险的影响。 主要做法仍然是在整个组织中开展意识培训,作为年度培训计划的一部分。 我们的经验表明,在培训用户(用户是执行这项工作的关键受众)方面投入强大而全面的努力,可以增加他们的“购买力”,并提高采用率和质量。 添加 标签建议 和应用内提示可以扩大这些工作。 此培训不需要是一个广泛的独立课程。 组织可以将其纳入其他常规培训(例如信息安全年度培训),然后包括数据分类级别和定义的概述。 要点在于,你的员工明白,即使该工具正在自动对数据进行分类,但这并不能消除每个用户根据公司策略保护数据的总体责任。
此外,应考虑对 IT 和信息安全团队进行更深入的培训,以增强作就绪性。 管理工具和数据分类框架的团队必须位于同一页上。 这种协调可能需要你投资一个更可靠的培训计划,这种计划可能比每年更频繁。 对更频繁的培训进行投资是降低组织风险的另一种途径。 此团队负责实现,因此,如果不在工具和策略上训练,则可能会成为失败点。
如果需要在工具中手动标记内容,则开发一组接受更高级培训的超级用户是合适的。 这些超级用户需要用户使用数据敏感度标签手动标记文档,并深入了解组织的数据分类框架和法规要求。
最后,你的领导层应优先考虑支持信息安全行为,以增强员工风险管理计划的重要性。 这些行为包括开发和实施可靠的数据分类框架,并分配关键领导者来推广该计划,有时称为变革的大使或拥护者。
治理和维护
在开发和实现数据分类框架后,持续治理和维护对于成功至关重要。 除了跟踪敏感度标签在实践中的使用方式外,还需要根据法规更改、网络安全领先做法以及所管理内容的性质来更新控制要求。 治理和维护工作可能包括:
- 建立一个专门负责数据分类的治理机构,或在现有信息安全机构的章程中增加数据分类责任。
- 为监督数据分类的用户定义角色和职责。
- 建立用于监视和衡量进度的 KPI。
- 跟踪网络安全领先做法和法规更改。
- 开发支持和强制实施数据分类框架的标准作过程。
行业注意事项
虽然开发强大数据分类框架的基本原则是通用的,但框架的详细信息取决于行业性质以及数据需求的独特合规性和安全功能。
例如,金融服务公司可能需要考虑遵守多个监管框架,具体取决于其业务范围及其运营区域。 美国中的证券公司必须遵守美国证券交易委员会规则 17a-4 (f) 或 FINRA 规则 4511 等账户法规,这些规定涉及账簿和记录的安全性和保留要求。 同样,在英国经营的公司需要考虑 FCA 合规性。
政府机构面临管理其数据的各种法规,这些法规因地区和工作性质而异。 例如,在美国中,访问联邦税务信息 (FTI) 的政府机构及其代理受 IRS 1075 的约束,该规定旨在最大程度地降低联邦税务信息丢失、泄露或滥用的风险。
虽然金融服务公司和政府机构是世界上监管最严格的组织之一,但大多数企业都有行业特定的注意事项,你需要考虑这些注意事项。 例如:
- 确保 符合 HIPAA 的卫生行业组织。
- 教育机构,从 K-12 学校到大学,管理 FERPA 合规性。
- 致力于在其国家或地区遵守有关信息安全 的 GxP 指南 的药品制造商。
- 媒体、零售和许多其他处理 GDPR 合规性的公司。
- 处理 CDSA 的娱乐、软件和信息内容的交付和存储。
- 符合 NERC CIP 标准的能源行业信息安全。
在 Microsoft 365 中实现数据分类框架
开发数据分类框架后,请实现它。 Microsoft Purview 门户使管理员能够根据其数据分类框架发现、分类、查看和监视其数据。 使用敏感度标签通过强制加密和内容标记等保护来保护数据。 可以手动(默认情况下基于策略设置)或自动在满足标识的 PII 等条件时对数据应用敏感度标签。
对于具有简化数据分类框架的小型组织或组织,为每个数据分类级别创建单个敏感度标签可能就足够了。 下面的示例演示到敏感度标签映射的一对一数据分类级别:
| 分类标签 | 敏感度标签 | 标签设置 | 已发布到 |
|---|---|---|---|
| 无限制 | 无限制 | 应用“无限制”页脚 | 所有用户 |
| 一般信息 | 一般信息 | 应用“常规”页脚 | 所有用户 |
提示
在Microsoft内部信息保护试点期间,用户难以理解和使用“个人”标签。 他们对这个标签是提到 PII 还是个人问题感到困惑。 若要使标签更清晰,请将其更改为“非业务”。 此示例显示分类从一开始就不需要完美。 从你认为正确的内容开始,对其进行试点,并根据需要根据反馈调整标签。
对于具有全球影响力或更复杂的信息安全需求的大型组织,你可能会发现策略中的分类级别数与 Microsoft 365 环境中的敏感度标签数量之间的这种一对一关系是一个挑战。 这种挑战在给定数据分类级别(如“受限”)可能具有不同的定义或不同的控件集(具体取决于区域)的全球性组织中尤其如此。
有关实现的详细信息,请参阅 了解数据分类 和 了解敏感度标签。