针对美国银行业和资本市场的关键合规性与安全性注意事项
简介
金融服务机构在严格的安全性、合规性和管理控制方面的需求几乎超过所有商业企业。 数据保护, 标识、设备和应用程序不仅对其业务至关重要,还受美国证券交易委员会 (SEC) 、金融行业监管局 (FINRA) 、联邦金融机构审查委员会 (FFIEC) 以及商品期货交易委员会 (CFTC) 等监管机构的合规性要求和准则的约束。 此外,金融机构还受到《多德-弗兰克法案》和 2002 年《萨班斯-奥克斯利法案》等法律的约束。
在如今安全警戒加强、内部风险问题和公共数据遭到泄露的环境下,客户还要求金融机构提供高级别的安全保护,以便将个人数据和银行资产托付给他们。
以往,对全面控制的需求直接影响和限制了金融机构用于实现内部和外部协作的 IT 系统和平台。 如今,金融服务业员工需要易于采用和使用的新式协作平台。 但是,金融服务在实现用户、团队和部门之间协作方面不能牺牲灵活性来确保安全与合规控制,从而实施保护策略以使用户和 IT 系统免遭威胁。
在金融服务业,配置和部署协作工具和安全控制时需考虑以下注意事项:
- 常见组织协作和业务流程方案的风险评估
- 信息保护和数据管理要求
- 网络安全和内部威胁
- 法规遵从性要求
- 其他运营风险
Microsoft 365 是一种新式工作区云环境,可应对金融服务组织面临的当代挑战。 在整个企业中安全灵活的协作与控制措施和策略实施相结合,以遵守严格的法规遵从性框架。 本文介绍 Microsoft 365 平台如何帮助金融服务迁移到新式协作平台,同时帮助保持数据和系统的安全性和法规遵从性:
- 使用 Microsoft 365 和 Microsoft Teams 来提高组织和员工的工作效率
- 使用 Microsoft 365 保护新式协作
- 识别敏感数据并防止数据丢失
- 堡垒防守
- 通过有效地管理记录来管理数据并遵守法规
- 使用信息屏障建立信息隔离墙
- 防止数据泄露和内部风险
作为 Microsoft 合作伙伴,Protiviti 参与了本文的撰写并提供了实质性反馈。
以下可下载的插图是对本文的补充。 Woodgrove Bank 和 Contoso 用于演示如何应用本文中描述的功能来满足金融服务的常见监管要求。 可随时根据自己的使用情况来修改这些插图。
Microsoft 365 信息保护和合规性插图
项目 | 说明 |
---|---|
英语: 下载为 PDF | 下载作为 Visio 日语: 下载为 PDF | 下载作为 Visio 2020 年 11 月更新 |
包括:
|
使用 Microsoft 365 和 Teams 来提高组织和员工的工作效率
协作通常需要各种形式的通信、存储和访问文档/数据的能力,以及按需集成其他应用程序的能力。 金融服务中的员工通常需要与其他部门或团队的成员进行协作和沟通,有时还需要与外部实体进行协作和沟通。 因此,不要使用创建接收器或使信息共享变得困难的系统。 相反,最好使用平台和应用程序,使员工能够根据公司策略安全地通信、协作和共享信息。
通过使用基于云的新式协作平台,员工可以选择并集成可提高工作效率的工具,并使他们能够找到敏捷的工作方式。 将 Teams 与保护组织的安全控制和信息管理策略结合使用可帮助员工高效地进行沟通和协作。
Teams 为组织提供了一个协作中心。 这有助于让员工在常见的计划和项目上高效地工作。 Teams 允许团队成员进行 1:1 和多方聊天对话、协作和共同创作文档,以及存储和共享文件。 Teams 还通过集成的企业语音和视频来促进在线会议。 还可以使用 Microsoft Planner、Microsoft Dynamics 365、Power Apps、Power BI 之类的 Microsoft 应用和第三方业务线应用程序来自定义 Teams。 Teams 专为内部团队成员和允许的外部用户使用而设计,用户可以加入团队频道、参与聊天对话、访问存储的文件以及使用其他应用程序
每个 Microsoft Team 由 Microsoft 365 组提供支持。 该组被视为众多 Office 365 服务(包括 Teams)的成员身份服务。 Microsoft 365 组用于安全区分“所有者”和“成员”,并控制对 Teams 中各种功能的访问。 在与适当的监管控制和定期管理的访问审查相结合时,Teams 仅允许成员和所有者利用授权频道和功能。
Teams 从金融服务中获益的一个常见场景是在运行内部项目或计划时。 例如,许多金融机构(包括银行、理财管理公司、信用合作社和保险公司)都需要有反洗钱和其他合规计划。 由 IT、零售和理财管理等业务线以及金融犯罪部门组成的跨职能团队可能需要相互共享数据,并就计划或具体调查进行沟通。 传统上,这些计划使用共享网络驱动器,但这种方法可能会带来许多挑战,包括:
- 一次只能有一个用户可以编辑文档。
- 安全性管理非常耗时,因为添加/删除人员通常涉及到 IT。
- 数据驻留在共享网络驱动器上的时间比所需时间更长。
Teams 可提供一个协作空间来安全地存储敏感的客户端数据,并在可能讨论敏感主题的团队成员之间进行对话。 团队中的多个成员可以同时编辑或协作处理单个文档。 计划所有者或协调员可以配置为团队所有者,然后根据需要添加和删除成员。
另一种常见的方案是将 Teams 用作“虚拟数据室”来安全地协作,包括存储和管理文档。 投资银行、资产管理或私募股权公司内的团队成员和财团可安全地进行交易或投资协作。 跨职能团队通常会参与规划和完成此类交易,并且能够安全地共享数据和执行对话是一项核心要求。 与外部投资者安全共享相关文档也是关键要求。 Teams 提供安全且完全可审核的位置,可从中集中存储、保护和共享投资数据。
Teams:改进协作并降低合规性风险
通过将 Microsoft 365 组用作基础成员资格服务,Microsoft 365 为 Teams 提供了其他常见的策略功能。 这些策略可帮助改进协作并满足合规性需求。
Microsoft 365 组命名策略有助于确保 Microsoft 365 组和团队根据公司策略进行命名。 如果不适合,名称可能会有问题。 例如,如果名称未正确应用,员工可能不知道与哪些团队合作或共享信息。 组命名策略(包括支持基于前缀/后缀的策略和自定义屏蔽词)可强制使用良好的“安全机制”,并防止使用特定字词,例如保留词或不恰当的术语。
Microsoft 365 组过期策略有助于确保 Microsoft 365 组和团队的保留时间不会超过组织所需的时间。 此功能可帮助避免两个关键信息管理问题:
- 不需要或不使用的团队数量剧增。
- 数据保留期超出了组织需要或使用的期限(依法保留/保存情况除外)。
管理员可为 Microsoft 365 组指定有效期,如 90 天、180 天或 365 天。 如果 Microsoft 365 组支持的服务在过期后处于非活动状态,则会通知组所有者。 如果未采取任何操作,将删除 Microsoft 365 组及其所有相关服务(包括 Teams)。
Teams 和其他基于组的服务中存储的超过保留期的数据会导致金融服务组织面临风险。 建议采用 Microsoft 365 组过期策略来帮助防止保留不再需要的数据。 Microsoft 365 结合了内置的保留标签和策略,帮助确保组织仅保留满足公司策略和法规遵从义务所需的数据。
Teams:轻松集成自定义要求
默认情况下,Teams 支持自助团队创建。 但是,许多受监管的组织希望控制并了解员工当前正在使用的协作频道,哪些频道可能包含敏感数据,以及组织频道的所有权。 为了简化这些监管控制,Microsoft 365 允许组织禁用自助团队创建。 通过使用 Microsoft Power Apps 和 Power Automate 等业务流程自动化工具,组织可以构建和部署简单的表单和审批流程,以便员工请求创建新团队。 批准后,可自动预配团队并向请求方发送链接。 通过这种方式,组织可以在团队创建过程中设计并集成其合规性控制和自定义要求。
可接受的数字通信频道
FINRA 强调管控公司的数字通信是否满足证券交易法条例 17a-3 和 17a-4 以及 FINRA 条例系列 4510 的记录保留要求。 FINRA 发布了一份年度报告,其中包含关键的发现、观察和有效做法,帮助组织改进合规性和风险管理。 在它的 2019 年调查发现和观察结果报告中,FINRA 将数字通信确定为企业在遵守监管和记录保留要求方面遇到挑战的一个关键领域。
如果组织允许其员工使用特定应用程序(如基于应用的消息服务或协作平台),则公司必须对业务记录进行存档并监督这些员工在此应用中的活动和通信。 组织有责任开展尽职调查,以遵守 FINRA 条例和证券法,并对员工使用此类应用有关的潜在违规行为进行跟踪。
FINRA 建议的有效做法包括以下内容:
- 为数字通信频道建立全面的监管计划。 管理组织关于允许哪些数字通信频道的决定,并为每个数字频道定义合规性流程。 密切监视数字通信频道的快速变化,并及时更新合规性流程。
- 清晰定义和控制允许的数字频道。 定义批准和禁止的数字频道。 阻止或限制使用数字频道中禁止的数字频道或禁止的功能,这些频道和功能会限制组织遵守记录管理和监管要求的能力。
- 提供数字通信培训。 在授权注册代表访问批准的数字频道之前实施强制培训计划。 培训有助于明确组织对商业和个人数字通信的期望,并通过以合规方式使用每个频道的允许功能来指导员工。
FINRA 针对数字通信的发现和观测结果直接与组织遵循 SEC 条例 17a-4(用于保留所有业务相关的通信)、FINRA 条例 3110 和 3120(用于监督和审查通信)以及条例系列 4510(用于保留记录)的能力相关。 商品期货交易委员会 (CFTC) 颁布了与 17 CFR 131 类似的要求。 本文后面将深入讨论这些规章。
Teams 与 Microsoft 365 安全性和合规性产品的综合套件一起,为金融服务机构提供了一个企业数字通信渠道,以便有效地开展业务并遵守法规。 本文的其余部分介绍了 Microsoft 365 用于记录管理、信息保护、信息屏障和监督控制的内置功能如何为 Teams 提供可靠的工具集来帮助履行这些法规义务。
使用 Microsoft 365 保护新式协作
保护用户标识和控制访问
保护对客户信息、财务文档和应用程序的访问首先需要对用户标识进行强有力的保护。 这需要一个安全的平台,使企业能够存储和管理标识,提供受信任的身份验证方式,并动态控制对这些应用程序的访问。
员工工作时,他们可以从一个应用程序移动到另一个应用程序,或在多个位置和设备间移动。 必须在此过程的每个步骤中对数据访问进行身份验证。 身份验证过程必须支持强协议和多重身份验证(例如一次性短信密码、身份验证器应用和证书),以确保不会泄露标识。 强制实施基于风险的访问策略对保护财务数据和应用程序免受内部威胁、意外数据泄露和数据外泄至关重要。
Microsoft 365 在 Microsoft Entra ID 中提供了一个安全标识平台,可在其中集中存储并安全地管理标识。 Microsoft Entra ID以及许多相关的 Microsoft 365 安全服务,构成了为员工提供安全工作所需的访问权限的基础,同时保护组织免受威胁。
Microsoft Entra多重身份验证 (MFA) 内置于平台中,并提供额外的身份验证证明,以帮助在用户访问敏感财务数据和应用程序时确认用户身份。 Azure MFA 要求至少两种形式的身份验证,如密码和已知移动设备。 它支持多种双重身份验证选项,包括:
- Microsoft Authenticator 应用
- 通过短信发送的一次性密码
- 用户必须输入 PIN 的电话呼叫
如果密码被破解,潜在黑客仍然需要用户的电话来访问组织数据。 此外,Microsoft 365 将新式身份验证用作密钥协议,这为员工日常使用的协作工具(包括 Microsoft Outlook 和其他 Microsoft Office 应用程序)提供了来自 Web 浏览器的相同的丰富强身份验证体验。
无密码
密码是安全链中最薄弱的环节。 如果没有其他验证,它们可能是单一故障点。 Microsoft 支持广泛的身份验证选项,以满足金融机构的需求。
无密码方法有助于用户更方便地使用 MFA。 虽然并非所有 MFA 都是无密码的,但无密码技术采用多重身份验证。 Microsoft、Google 和其他业界领袖制定了一些标准,可在名为“Fast IDentity Online (FIDO)”的组中跨 Web 和移动设备实现更简单、更强大的身份验证体验。 最近开发的 FIDO2 标准使用户能够轻松、安全地进行身份验证,而无需使用密码来消除网络钓鱼。
无密码 Microsoft MFA 方法包括:
- Microsoft Authenticator:出于灵活性、便利性和成本的考量,我们建议使用 Microsoft Authenticator 移动应用。 Microsoft Authenticator 支持任何Microsoft Entra连接应用的生物识别、推送通知和一次性密码。 可从 Apple 和 Android 应用商店获取这些功能。
- Windows Hello:对于电脑内置体验,建议使用 Windows Hello。 它使用生物特征信息(如人脸或指纹)自动登录。
- 现在可以从几个 Microsoft 合作伙伴那里获得 FIDO2 安全密钥:Yubico、Feitian Technologies 和 HID Global,他们提供了启用了 USB NFC 的徽章或生物识别密钥。
Microsoft Entra条件访问提供了一个可靠的解决方案,用于自动执行访问控制决策并强制实施组织策略来保护公司资产。 典型的示例是,理财规划师希望访问包含敏感客户数据的应用程序。 需要自动执行多重身份验证才能专门访问该应用程序,并且访问必须来自公司托管的设备。 Azure 条件访问将有关用户访问请求的信号集中在一起,如有关用户、设备、位置和网络的属性,以及用户尝试访问的应用程序。 它会根据配置的策略动态评估访问应用程序的举措。 如果用户或设备风险较高,或者不符合其他条件,Microsoft Entra ID可以自动强制实施要求 MFA、要求安全密码重置或限制或阻止访问等策略。 这有助于确保在动态变化的环境中保护敏感的组织资产。
Microsoft Entra ID以及相关的 Microsoft 365 安全服务为向金融机构推出新式云协作平台提供了基础,以便保护对数据和应用程序的访问,并履行法规遵从性义务。 这些工具提供下列关键功能:
- 集中存储和安全管理用户标识。
- 使用强身份验证协议(包括多重身份验证)对访问请求的用户进行身份验证,并跨所有应用程序提供一致且可靠的身份验证体验。
- 对所有访问请求动态验证策略,将多个信号合并到策略决策过程中,包括标识、用户/组成员资格、应用程序、设备、网络、位置和实时风险评分。
- 根据用户行为和文件属性验证粒度策略,并在需要时动态执行额外的安全措施。
- 标识组织中的“影子 IT”,并允许 InfoSec 团队批准或阻止云应用程序。
- 监视和控制对 Microsoft 和非 Microsoft 云应用程序的访问。
- 主动抵御电子邮件钓鱼和勒索软件攻击。
Microsoft Entra ID 保护
虽然条件访问可保护资源免受可疑请求的影响,但 Identity Protection 通过提供持续的风险检测和可疑用户帐户的修复,进一步增强了安全性。 Identity Protection 会随时就环境中的可疑用户和登录行为通知你。 它的自动响应可主动防止遭泄露的标识被滥用。
Identity Protection 工具使组织可以完成以下三项关键任务:
- 自动检测和修复基于标识的风险。
- 使用门户中的数据调查风险。
- 将风险检测数据导出到第三方实用工具,以便进一步分析。
标识保护使用 Microsoft 从其组织中获取的知识(Microsoft Entra ID、使用 Microsoft 帐户在消费者领域以及使用 Xbox 玩游戏)中获取的知识来保护你的用户。 Microsoft 每日分析 65 万亿信号,以识别并保护客户免遭威胁。 由 Identity Protection 生成并向其反馈的信号可以进一步反馈到条件访问等工具中,以便做出访问决策。 此外,还可将其反馈到安全信息和事件管理 (SIEM) 工具,以便根据组织实施的策略进一步进行调查。
Identity Protection 通过利用 Microsoft 生态系统中基于启发、用户和实体行为分析 (UEBA) 以及机器学习 (ML) 的高级检测支持的云智能,帮助组织自动防止标识泄露。
识别敏感数据并防止数据丢失
Microsoft 365 允许所有组织通过一组强大的功能来识别组织内的敏感数据,包括:
- Microsoft Purview 信息保护,用于基于用户的分类和对敏感数据进行自动化分类。
- Microsoft Purview 数据丢失防护 (DLP),用于通过敏感数据类型(即正则表达式)和关键字及策略实施来自动识别敏感数据。
Microsoft Purview 信息保护使组织可以使用敏感度标签智能地对文档和电子邮件进行分类。 敏感度标签可由用户手动应用到 Microsoft Office 应用程序中的文档和 Outlook 中的电子邮件。 标签可自动应用文档标记、加密保护和权限管理实施。 还可以通过配置使用关键字和敏感数据类型(例如信用卡号、社会保险号码和标识号码)的策略来自动应用灵敏度标签,以便自动查找敏感数据并对其进行分类。
此外,Microsoft 还提供了“可训练分类器”,它们使用机器学习模型根据内容识别敏感数据,而不是简单地通过模式匹配或内容中的元素进行识别。 分类器通过查看大量要分类的内容的示例,了解如何标识内容类型。 要训练分类器,首先为其提供特定类别中内容示例。 从这些示例中学习后,通过提供匹配和不匹配示例组合对该模型进行测试。 分类器预测给定示例是否属于该类别。 然后,用户可通过确认结果,对正、负、假正和假负进行分类,来帮助提高分类器预测的准确性。 发布训练后的分类器时,它将处理 Microsoft SharePoint Online、Exchange Online 和 OneDrive for Business 中的内容,并自动对内容进行分类。
将灵敏度标签应用于文档和电子邮件将嵌入标识对象内所选灵敏度的元数据。 然后,灵敏度与数据一起移动。 因此,即使标记的文档存储在用户桌面或本地系统中,它仍会受到保护。 此功能可使其他 Microsoft 365 解决方案 (如 Microsoft Defender for Cloud Apps) 或网络边缘设备识别敏感数据并自动实施安全控制。 灵敏度标签具有额外的优势,那就是让员工了解组织内哪些数据被视为敏感数据,以及如何在接收数据时对其进行处理。
Microsoft Purview 数据丢失防护 (DLP) 会通过扫描敏感数据并对这些对象强制执行策略来识别包含敏感数据的文档、电子邮件和对话。 会对 SharePoint 和 OneDrive for Business 中的文档实施策略。 当用户发送电子邮件,以及在 Teams 聊天和频道对话中,也会实施这些策略。 可配置策略来查找关键字、敏感数据类型、保留标签,以及数据是在组织内共享,还是在外部共享。 提供了一些控制,可帮助组织微调 DLP 策略以减少误报。 找到敏感数据后,可向 Microsoft 365 应用程序中的用户显示可自定义的策略提示,通知他们其内容包含敏感数据,然后提出纠正措施。 策略还可以防止用户访问文档、共享文档或发送包含特定类型敏感数据的电子邮件。 Microsoft 365 支持 100 多种内置敏感数据类型。 组织可以配置自定义敏感数据类型以满足其策略。
向组织推出 Microsoft Purview 信息保护和 DLP 策略需要周密的计划和用户教育计划,以便员工了解组织的数据分类架构和哪些类型的数据被视为敏感数据。 为员工提供工具和教育计划,帮助他们识别敏感数据并了解如何处理这些数据,使他们成为解决方案中缓解信息安全风险的一部分。
还可以将 Identity Protection 生成并向其反馈的信号反馈到条件访问之类的工具中,以便作出访问决策,或者将其反馈到安全信息和事件管理 (SIEM) 工具中,以便根据组织执行的策略进行调查。
Identity Protection 通过利用 Microsoft 生态系统中基于启发、用户和实体行为分析以及机器学习的高级检测支持的云智能,帮助组织自动防止标识泄露。
堡垒防守
Microsoft 最近推出了Microsoft Defender XDR解决方案,旨在保护新式组织免受不断变化的威胁环境影响。 通过利用 Intelligent Security Graph,威胁防护解决方案针对多个攻击途径提供了全面的集成安全性。
Intelligent Security Graph
Microsoft 365 中的安全服务由 Intelligent Security Graph 提供支持。 为了对抗网络威胁,Intelligent Security Graph 使用高级分析链接来自 Microsoft 及其合作伙伴的威胁情报和安全信号。 Microsoft 大规模地运营全局服务,收集数万亿在栈中提供强大保护层的安全信号。 机器学习模型对此情报进行评估,并在我们的产品和服务中广泛共享信号和威胁见解。 这使我们能够快速检测和响应威胁,并为客户提供可操作的警报和信息,以便进行补救。 我们的机器学习模型使用新的见解进行持续训练和更新,帮助我们构建更安全的产品并提供更主动的安全性。
Microsoft Defender for Office 365 提供了一项集成的 Microsoft 365 服务,保护组织免受通过电子邮件和 Office 文档传递的恶意链接和恶意软件的攻击。 影响当前用户的最常见的攻击途径之一是电子邮件钓鱼攻击。 这些攻击可以针对特定用户,并且可能非常令人信服,一些行动号召会提示用户选择恶意链接或打开包含恶意软件的附件。 计算机受到感染后,攻击者可以窃取用户的凭据并在组织中横向移动,或窃取电子邮件和数据来查找敏感信息。 Defender for Office 365 通过在单击时评估文档和链接是否存在潜在的恶意意图来支持安全附件和安全链接,并阻止访问。 将在受保护的沙箱中打开电子邮件附件,然后将其发送到用户邮箱。 此外,它还会评估 Office 文档中的恶意 URL 链接。 Defender for Office 365 还保护 SharePoint Online、OneDrive for Business 和 Teams 中的链接和文件。 如果检测到恶意文件,Defender for Office 365会自动锁定该文件,以减少潜在的损害。
Microsoft Defender for Endpoint 是一个统一的终结点安全平台,可用于预防性保护、入侵后检测,以及自动调查和响应。 Defender for Endpoint 提供了内置功能,可在企业终结点上发现和保护敏感数据。
Microsoft Defender for Cloud Apps 使组织能够在粒度级别实施策略,并基于通过机器学习自动定义的单个用户配置文件来检测行为异常。 Defender for Cloud Apps 策略可基于 Azure 条件访问策略生成,通过评估与所访问文档的用户行为和属性相关的其他信号来保护敏感公司资产。 随着时间的推移,Defender for Cloud Apps 将了解每位员工对其所访问的数据和所使用的应用程序的典型行为。 根据已知的行为模式,如果员工行为超出该行为配置文件的范围,则策略可自动实施安全控制。 例如,如果员工通常在周一至周五上午 9 点至下午 5 点访问会计应用程序,但突然在星期天晚上频繁访问该应用程序,则 Defender for Cloud Apps 可动态执行策略,要求用户重新进行身份验证。 这有助于确保用户凭据没有遭到泄漏。 Defender for Cloud Apps 还可帮助识别组织中的“影子 IT”,帮助信息安全团队确保员工在处理敏感数据时使用批准的工具。 最后,Defender for Cloud Apps 可以保护云中任意位置的敏感数据,甚至是 Microsoft 365 平台之外的数据。 它使组织能够批准(或不批准)特定的外部云应用,从而控制访问和监视使用。
Microsoft Defender for Identity是基于云的安全解决方案,它使用本地 Active Directory信号来识别、检测和调查针对组织的高级威胁、泄露的标识和恶意内部操作。 AATP 使 SecOp 分析师和安全专家能够在混合环境中检测高级攻击,从而实现以下目的:
- 使用基于学习的分析来监视用户、实体行为和活动。
- 保护存储在 Active Directory 中的用户标识和凭据。
- 发现并调查整个击杀链中的可疑用户活动和高级攻击。
- 在简单的时间线上提供明确的事件信息,以实现快速会审。
管理数据和记录
金融机构必须根据企业保留计划中规定的监管、法律和业务义务保留其记录和信息。 例如,根据记录类型,SEC 规定的保留期为 3 到 6 年,头两年可直接访问。 如果数据保留时间不足(过早丢弃),组织将面临法律和法规遵从性风险,现在还需要管理在不再需要信息时强制进行处理的法规。 有效的记录管理策略强调实用且一致的方法,以便适当地处理信息,同时最大程度地降低组织的成本和风险。
此外,纽约州金融服务管理局的监管规定要求受保护的实体维护处理非公开信息的政策和程序。 23 NYCRR 500(第 500.13 节)对数据保留的限制要求“作为网络安全计划的一部分,每个受保护的实体都应包括对本部分第 500.01(g)(2)-(3) 节中识别的受保护实体业务运营或其他合法业务用途不再需要的任何非公开信息定期进行安全处置的政策和程序,法律或法规规定要求保留此类信息的情况除外。”
金融机构管理大量数据。 有些保留期是由事件触发的,如合同到期或员工离开组织。 在这种情况下,应用记录保留策略可能会比较困难。 在组织文档中准确分配记录保留期的方法可能有所不同。 有些保留策略广泛应用,或使用自动分类和机器学习技术。 其他组织则标识需要更精细的过程的方法,将保留期单独分配给各个文档。
Microsoft 365 提供灵活的功能来定义保留标签和策略,以智能地实现记录管理要求。 记录管理器定义保留标签,该标签表示传统保留计划中的“记录类型”。 保留标签包含定义这些详细信息的设置:
- 记录保留的时间
- 保留期到期时发生的情况(删除文档、启动处置评审或不执行任何操作)
- 什么触发了保留期开始(创建日期、上次修改日期、标记日期或事件),并将文档或电子邮件标记为记录(这意味着不能编辑或删除)
然后将保留标签发布到 SharePoint 或 OneDrive 站点、Exchange 邮箱和 Microsoft 365 组。 用户可以手动将保留标签应用于文档和电子邮件。 记录管理员可以使用智能来自动应用标签。 智能功能可基于 90 多个内置的敏感信息类型(如 ABA 路由号码、美国银行帐号或美国社会保险号码)。 还可以根据文档或电子邮件中的关键字或敏感数据(如信用卡号或其他个人身份信息)或基于 SharePoint 元数据对这些功能进行自定义。 对于不能通过手动或自动模式匹配轻松识别的数据,可以使用可训练分类器基于机器学习技术对文档进行智能分类。
证券交易委员会 (SEC) 要求经纪人代理商和其他受监管的金融机构保留所有业务相关的通信。 这些要求适用于多种类型的通信和数据,包括电子邮件、文档、即时消息、传真等。 SEC 条例 17a-4 定义这些组织必须满足的条件,以便将记录存储在电子数据存储系统中。 2003 年,SEC 发布了一篇阐明这些要求的文稿。 其中包含以下条件:
- 电子存储系统保存的数据必须是不可重写和不可擦除的。 这称为 WORM 要求(写入一次,多次读取)。
- 在接到传票或其他法律命令时,存储系统必须能够存储超过条例要求的保留期的数据。
- 如果组织使用电子储存系统来阻止在规定的保留期内通过使用集成的硬件和软件控制代码覆盖、擦除或以其他方式更改记录,则不会违反条例第 (f)(2)(ii)(A) 段中的要求。
- 电子存储系统仅“缓解”记录被覆盖或擦除的风险(例如通过依赖于访问控制),是不符合条例要求的。
为帮助金融机构满足 SEC 条例 17a-4 的要求,Microsoft 365 提供了一组功能,这些功能与如何保留数据、配置策略和在服务中存储服务相关。 具体包括:
保留数据(条例 17a-4(a)、(b)(4)) - 保留标签和策略可灵活满足组织需求,并且可能会自动或手动应用于不同类型的数据、文档和信息。 支持各种各样的数据类型和通信,包括 SharePoint 和 OneDrive for Business 中的文档、Exchange Online 邮箱中的数据以及 Teams 中的数据。
不可重写、不可擦除的格式(条例 17a-4(f)(2)(ii)(A)) - 保留策略的“保留锁定”功能允许记录管理人员和管理员将保留策略配置为限制性策略,这样就不能再对其进行修改了。 这将防止任何人以任何方式删除、禁用或修改保留策略。 这意味着,一旦启用保留锁,就不能禁用它,并且没有任何方法可用于在保留期内覆盖、修改或删除已应用保留策略的任何数据。 此外,不能缩短保留期。 但是,如果有法律要求继续保留数据,则可以延长保留期限。
将“保留锁定”应用到保留策略时,将限制以下操作:- 策略的保留期限只能增加。 不能缩短。
- 可将用户添加到策略,但无法删除策略中配置的现有用户。
- 组织中的任何管理员都无法删除保留策略。
“保留锁定”有助于确保任何用户(甚至是拥有最高级别特权访问权限的管理员)都不能更改设置,修改、覆盖或删除已存储的数据,从而使 Microsoft 365 中的存档符合 SEC 2003 版本中提供的指导。
数据存储/序列化和索引的质量、准确性和验证(条例 17a-4(f)(2) (ii)(B) 和 (C)) - Office 365 工作负载中的每一项均包含用于自动验证存储媒体上记录数据的过程的质量和准确性的功能。 此外,通过使用元数据和时间戳来存储数据,以确保实现高效搜索和检索数据所需的足够索引。
单独存储重复副本(条例 17a-4(f)(3(iii))) - Office 365 云服务将数据的重复副本存储为其高可用性的一个核心方面。 可通过在服务的所有级别实现冗余,包括所有服务器的物理级别、数据中心的服务器级别和针对地理位置分散的数据中心的服务级别。
可下载和可访问的数据(条例 17a-4(f)(2)(ii)(D)) - Office 365 通常允许对标记为保留的数据进行搜索、访问和下载。 此外,还可使用内置的电子数据展示功能搜索 Exchange Online 档案中的数据。 然后,可根据需要采用标准格式(包括 EDRML 和 PST)下载数据。
审核要求(条例 17a-4(f)(3)(v)) - Office 365 为修改数据对象、配置或修改保留策略、执行电子数据展示搜索或修改访问权限的每个管理和用户操作提供审核日志记录。 Office 365 维护全面审核跟踪,包括有关执行操作的人员、执行时间的数据,有关操作的详细信息以及所执行的命令。 然后,可根据需要输出审核日志并包括到正式审核过程中。
最后,条例 17a-4 要求组织保留多个类型的事务记录,以便在两年内可以随时访问它们。 记录必须进一步保留三至六年,且不得随意访问。 重复的记录也必须在同一时期保存在异地。 Microsoft 365 记录管理功能允许保留记录,以便无法修改或删除记录,但可以在记录管理器控制的时间段内轻松访问记录。 这些时段可以是几天、几个月或几年,具体取决于组织的法规遵从义务。
根据请求,如果组织需要,Microsoft 将提供一份符合 SEC 17a-4 的认证信。
此外,这些功能还可帮助 Microsoft 365 满足美国商品期货交易委员会的 CFTC 条例 1.31(c)-(d) 和金融业监管局的 FINRA 条例系列 4510 的存储要求。总体而言,这些条例代表了全球范围内针对金融机构保留记录的最具规范性的指南。
有关 Microsoft 365 如何符合 SEC 规则 17a-4 和其他法规的其他详细信息,请参阅 Office 365 - Cohasset 评估 - SEC 规则 17a-4 (f) - SharePoint、OneDrive、Exchange、Teams 和 Viva Engage (2022 的不可变存储) 下载文档。
使用信息屏障建立信息隔离墙
金融机构可能受制于防止某些角色的员工交换信息或与其他角色协作的法规。 例如,FINRA 发布了条例 2241(b)(2)(G)、2242(b)(2) (D)、(b)(2)(H)(ii) 和 (b)(2)(H)(iii),这些条例要求成员:
“(G) 建立合理设计的信息屏障或其他制度保障,确保研究分析人员免受从事投资银行服务活动的人员或其他人员(包括销售和贸易人员)的评审、压力或监管,这些人员的判断或监督可能存在偏差;”和“(H) 建立合理设计的信息屏障或其他制度保障,确保债务研究分析人员不受从事以下活动的人员的审查、压力或监督:(i) 投资银行业务;(ii) 主要贸易或销售与贸易活动;以及 (iii) 其他可能在其判断或监督中存在偏差的人员;”
最后,这些条例要求组织建立策略,并在银行服务、销售或贸易中涉及的角色之间实施信息屏障,以避免与分析人员交换信息和通信。
信息屏障提供了在 Office 365 环境中建立信息隔离墙的能力,允许合规性管理员或其他授权的管理员定义允许或阻止 Teams 中的用户组之间通信的策略。 信息屏障对特定操作执行检查以防止未经授权的通信。 在内部团队从事合并/收购或敏感交易,或处理必须严格限制的敏感内部信息的情况下,信息屏障也会限制通信。
信息屏障支持 Teams 中的对话和文件。 他们可以阻止以下类型的通信相关操作,以帮助遵守 FINRA 法规:
- 搜索用户
- 将成员添加到团队,或继续与团队中的另一名成员一起参与
- 开始或继续聊天会话
- 开始或继续群组聊天
- 邀请其他人加入会议
- 共享屏幕
- 发出呼叫
实施监管控制
金融机构通常需要在其组织内建立和维护监管功能,以监控员工活动,并帮助其遵守适用的证券法。 具体而言,FINRA 制定了以下监管要求:
FINRA 条例 3110(监督)要求公司将监督程序 (WSP) 写入其员工的监督活动及其参与的业务类型。 除其他要求外,程序必须包括:
- 监察监督人员
- 审查公司的投资银行业务、证券业务、内部通信和内部调查
- 审查内部交易事务
- 审查信件和投诉
程序必须描述负责审查的人员、每个人员执行的监督活动、审阅频率以及正在审查的文档或通信类型。
FINRA 条例 3120(监督控制系统)要求公司有一个监督控制策略和程序 (SCP) 系统,验证由条例 3110 定义的书面监督过程。 公司不仅要有 WSP,还需要有每年对这些程序进行测试的政策,以验证其确保遵守适用证券法律法规的能力。 可使用基于风险的方法体系和采样来定义测试范围。 在其他要求中,此条例要求公司向高级管理层提供年度报告,其中包括测试结果摘要和为响应测试结果确定的任何重大例外情况或修改程序。
通信合规性
Microsoft Purview 通信合规性 是一种合规性解决方案,可帮助检测、调查和处理组织中的不当消息,从而最大程度地降低通信风险。 预定义和自定义的策略让你能够扫描内部和外部通讯,查看与策略的匹配情况,让委派的审阅者能检查它们。 审阅者可以调查组织中扫描的电子邮件、Microsoft Teams、Viva Engage或第三方通信,并采取适当措施确保它们符合组织的邮件标准。
通信合规性提供可基于策略和审阅者审核策略审查活动的报表。 可通过报告来验证策略是否按照组织书面策略所定义的方式工作。 它们还可用于识别需要审查的通信和不符合公司策略的通信。 最后,所有与配置策略和审查通信相关的活动都在 Office 365 统一审核日志中进行审核。 因此,通信合规性还有助于金融机构遵守 FINRA 条例 3120。
除了遵守 FINRA 规则外,通信合规性还允许组织检测和处理可能受到其他法律要求、公司策略和道德标准影响的通信。 通信合规性提供内置威胁、骚扰和猥亵语言分类器,可帮助在审查通信时减少误报,从而在调查和修正过程中节省审阅者的时间。 它还允许组织在发生敏感组织性变更(如合并和收购或领导变更)时通过监视通信来降低风险。
防止数据泄露和内部风险
常见的企业威胁是数据泄漏,或者从组织提取数据的行为。 鉴于每天可访问的信息的敏感特性,金融机构可能需要着重考虑这一风险。 随着可用的通信渠道的增加以及用于移动数据的工具的激增,通常需要高级功能来降低数据泄露和策略违反风险以及内部风险。
内部风险管理
让员工使用可在任意位置访问的联机协作工具本身就会给组织带来风险。 员工可能会无意间或恶意向攻击者或竞争对手泄露数据。 或者,他们可能泄露数据以供个人使用,或将数据提供给未来的雇主。 从安全性和合规性的角度来看,这些场景给金融服务机构带来了严重的风险。 当这些风险发生时识别它们,而快速缓解风险需要数据收集和跨部门(如法律、人力资源和信息安全)协作的智能工具。
Microsoft Purview 预览体验成员风险管理是一种合规性解决方案,使你能够检测、调查和处理组织中的恶意和无意活动,从而帮助最大程度地降低内部风险。 预览体验成员风险策略允许定义要在组织中识别和检测的风险类型,包括针对案例采取行动,并根据需要将案例升级到 Microsoft 电子数据展示(高级版)。 组织中的风险分析师可以快速采取适当措施,确保用户符合组织的合规性标准。
例如,内部风险管理可将来自用户设备的信号关联起来,例如,将文件复制到 USB 驱动器,或向个人电子邮件帐户发送邮件,包括来自 Office 365 电子邮件、SharePoint Online、Microsoft Teams 或 OneDrive for Business 等在线服务中的活动,从而识别数据泄漏的规律。 它还可以将这些活动与离开组织的员工关联起来,这是一种常见的数据泄漏模式。 它可检测一段时间内的多个潜在风险活动和行为。 当常见模式出现时,它会发出警报,帮助调查人员专注于主要活动,以高可信度验证是否违反了策略。 内部风险管理可以对调查人员的数据进行伪匿名化处理,以帮助满足数据隐私规定,同时还可以提供帮助他们有效开展调查的关键活动。 它允许调查人员将关键活动数据打包并安全地发送给 HR 和法律部门,遵循常见的升级工作流程,以对出现的案例实施补救行动。
内部风险管理显著增强了组织的功能,可检测和调查内部风险,同时允许组织继续满足数据隐私法规要求,并在需要更高级别操作的情况下遵循既定的升级途径。
租户限制
处理敏感数据并严格重视安全性的组织通常希望控制用户可访问的联机资源。 同时,他们希望通过诸如 Office 365 之类的联机服务启用安全协作。 因此,控制用户可访问的 Office 365 环境将成为一个挑战,因为非企业 Office 365 环境可用于恶意或无意地从企业设备中窃取数据。 过去,组织将限制用户可从公司设备访问的域或 IP 地址。 但在以云为中心的世界里,用户需要合法访问 Office 365 服务,因此,此方法并不适用。
Microsoft 365 提供的租户限制可以解决此问题。 可通过配置租户限制来限制员工使用未经授权的身份(不属于公司目录的身份)访问外部 Office 365 企业租户。 目前,租户限制适用于租户,仅允许访问配置列表中出现的租户。 Microsoft 将继续开发此解决方案,以提高控制粒度并增强其提供的保护。
总结
Microsoft 365 和 Teams 为金融服务公司提供了一个集成、全面的解决方案,以便在企业中实现简单而强大的基于云的协作和通信功能。 通过使用 Microsoft 365 中的安全性和合规性技术,机构可以通过可靠的安全控制措施以更安全、更合规的方式运行,以保护数据、标识、设备和应用程序免受各种操作风险(包括网络安全和内部风险)的影响。 Microsoft 365 提供了一个非常安全的平台,金融服务组织可以在保护其公司、员工和客户的同时实现更多功能。