Power BI 实现规划:组织级信息保护
备注
本文是 Power BI 实现规划系列文章中的一篇。 本系列着重介绍 Microsoft Fabric 中的 Power BI 体验。 有关该系列的介绍,请参阅 Power BI 实施规划。
本文介绍 Power BI 中信息保护的初始评估和准备活动。 本文面向:
- Power BI 管理员:负责监督组织中的 Power BI 的管理员。 Power BI 管理员需要与信息安全和其他相关团队协作。
- 卓越中心、IT 团队和 BI 团队:负责监督组织中的 Power BI 的团队。 他们可能需要与 Power BI 管理员、信息安全团队和其他相关团队协作。
重要
信息保护和数据丢失防护 (DLP) 是组织范围内的一项重要工作。 它的范围和影响远远超过 Power BI 本身。 这种类型的计划需要资金支持、设定优先级和做好规划。 预期规划、使用和监督工作中涉及多个跨职能团队。
当前状态评估
在开始进行任何设置活动之前,请评估组织中当前正在发生的事情。 了解信息保护的当前实现(或规划)范围至关重要。
一般情况下,敏感度标签有两种使用情况。
- 敏感度标签当前正在使用:在本例中,设置敏感度标签并将其用于分类Microsoft Office 文件。 在这种场合下,为 Power BI 使用敏感度标签所需的工作量将大大减少。 时间线更短,而且设置起来更快更直接。
- 尚未使用敏感度标签:在这种情况下,敏感度标签不用于Microsoft Office 文件。 在这种场合下,需要一个组织范围的项目来实现敏感度标签。 对于某些组织而言,该项目可能意味着大量工作和大量时间的投入。 这是因为,标签旨在供整个组织中的多个应用程序(而不是一个应用程序,例如 Power BI)使用。
下图显示了如何在整个组织中广泛使用敏感度标签。
上图描绘了以下项:
项 | 描述 |
---|---|
在 Microsoft Purview 合规性门户中设置敏感度标签。 | |
敏感度标签可应用于多种类型的项和文件,例如 Microsoft Office 文件、Power BI 服务中的项、Power BI Desktop 文件和电子邮件。 | |
敏感度标签可应用于 Teams 网站、SharePoint 网站和 Microsoft 365 组。 | |
敏感度标签可应用于在 Microsoft Purview 数据映射中注册的架构化数据资产。 |
请注意,在示意图中,Power BI 服务中的项和 Power BI Desktop 文件只是众多允许分配敏感度标签的资源中的一部分。 敏感度标签在 Microsoft Purview 信息保护中集中定义。 定义后,整个组织中所有受支持的应用程序都将使用相同的标签。 无法定义仅在一个应用程序(例如 Power BI)中使用的标签。 因此,规划过程需要考虑更广泛的使用方案来定义可在多个上下文中使用的标签。 由于信息保护旨在跨应用程序和服务一致使用,因此首先评估当前实现了哪些敏感度标签至关重要。
Power BI 的信息保护一文介绍了实现敏感度标签的活动。
备注
敏感度标签是用于实现信息保护的第一个构建基块。 DLP 发生在设置信息保护之后。
清单 - 在评估组织中信息保护和 DLP 的当前状态时,关键决策和措施包括:
- 确定信息保护当前是否正在使用:了解当前启用的功能、它们的使用方式、哪些应用程序以及由谁使用。
- 确定谁当前负责信息保护:在评估当前功能时,确定当前负责的人员。 让该团队参与将来的所有活动。
- 合并信息保护项目:如果适用,请合并当前使用的信息保护方法。 如果可能,请合并项目和团队以提高效率和一致性。
团队人员配备
如前所述,要设置的许多信息保护和 DLP 功能将对整个组织产生影响(影响力远远超过 Power BI)。 正因如此,组建一个纳入所有相关人员的团队至关重要。 团队在定义目标(如下一部分所述)和指导整体工作方面将发挥关键作用。
为团队定义角色和职责时,我们建议纳入有能力解释要求并与利益干系人良好沟通的人员。
团队应吸纳涉及组织中不同个人和小组的相关利益干系人,包括:
- 首席信息安全官/数据保护官
- 信息安全/网络安全团队
- 合法
- 合规性
- 风险管理
- 企业数据治理委员会
- 首席数据官/首席分析官
- 内部审核团队
- 分析卓越中心 (COE)
- 企业分析/商业智能 (BI) 团队
- 来自重要业务部门的数据专员和领域数据所有者
团队还应纳入以下系统管理员:
- Microsoft Purview 管理员
- Microsoft 365 管理员
- Microsoft Entra ID 管理员
- Defender for Cloud Apps 管理员
- Power BI 管理员
提示
预见到信息保护的规划和实现是一项需要投入时间才能正确完成的协作性工作。
规划和实现信息保护的任务通常由大部分成员兼职完成。 它通常是许多紧迫性优先事务之一。 因此,指派执行发起人将有助于明确优先级、设定期限并提供策略指导。
在与跨组织边界的跨职能团队合作时,必须明确角色和职责,以避免误解和延误。
清单 - 在组建信息保护团队时,关键决策和措施包括:
- 组建团队:包括所有相关技术和非技术的利益相关者。
- 确定执行发起人是谁:确保你清楚谁是规划和实施工作的负责人。 让此人(或小组)参与优先级设定、资助、达成共识和决策工作。
- 澄清角色和职责:确保参与的每个人都清楚其角色和责任。
- 创建通信计划:考虑如何以及何时与整个组织的用户通信。
目标和要求
必须考虑实现信息保护和 DLP 的目标是什么。 在组建的团队中,不同的利益干系人可能有不同的观点和关注的方面。
此时,我们建议专注于策略目标。 如果团队已开始定义实现级别的细节,我们建议暂缓一步,先定义策略目标。 妥善定义的策略目标有助于使实现变得更顺畅。
信息保护和 DLP 要求可以包括以下目标。
- 为自助用户赋能:使自助式 BI 内容创建者和所有者能够协作、分享成果并尽可能提高工作效率 – 所有这些目标都遵守治理团队建立的防护措施。 目标是平衡自助式 BI 和集中式 BI,让自助用户能够轻松地做正确的事情,而不会对他们的工作效率产生负面影响。
- 重视保护受信任数据的数据文化:以顺畅的方式实施信息保护,不影响用户的工作效率。 以平衡的方式实现时,用户更有可能在你的系统内工作,而不是在周围环境中工作。 用户教育和用户支持至关重要。
- 风险降低:通过降低风险来保护组织。 降低风险的目标通常包括尽量减少在组织外部泄漏数据的可能性,并防止未经授权访问数据。
- 合规性:支持行业、地区和政府法规的合规性工作。 此外,组织还可能需要符合关键的内部治理和安全要求。
- 可审核性和意识:了解敏感数据在整个组织中所处的位置和谁正在使用这些数据。
请注意,引入信息保护的计划是对涉及安全性和隐私性的其他相关方法的补充。 协调信息保护计划与其他工作,例如:
- Power BI 内容的访问角色、权限、共享和行级安全性 (RLS)
- 数据驻留要求
- 网络安全要求
- 数据加密要求
- 数据编目计划
有关在 Power BI 中保护内容的详细信息,请参阅安全性计划一文。
清单 - 考虑信息保护目标时,关键决策和措施包括:
- 识别适用的数据隐私法规和风险:确保团队了解组织受你的行业或地理区域约束的数据隐私法规。 在必要的情况下展开数据隐私风险评估。
- 讨论和阐明目标:与相关利益干系人和感兴趣的人进行初步讨论。 确保你清楚自己的信息保护策略目标。 确保可将这些目标转化为业务要求。
- 批准、记录和确定目标优先级:确保记录并确定其优先级。 需要做出复杂的决策、设定优先级或进行权衡时,请参考这些目标。
- 验证和记录法规和业务要求:确保记录了数据隐私的所有法规和业务要求。 在解决优先级设定和合规性需求时参考这些要求。
- 开始创建计划:使用优先的战略目标和记录的要求开始构建项目计划。
相关内容
在本系列的下一篇文章中,了解用于 Power BI 的数据资产的标记和分类。