内部风险管理计划

重要

Microsoft Purview 内部风险管理关联各种信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使客户能够创建策略来管理安全性和合规性。 根据设计而构建的隐私,默认情况下,用户将化名化,并且基于角色的访问控制和审核日志已到位,以帮助确保用户级别的隐私。

在组织中开始 进行内部风险管理 之前,信息技术和合规性管理团队应审查重要的规划活动和注意事项。 全面了解和规划以下方面的部署将有助于确保内部风险管理功能的实现和使用顺利进行,并与最佳做法保持一致。

有关详细信息,并概述解决组织中风险活动的规划过程,请参阅 启动内部风险管理计划

观看以下视频,了解内部风险管理工作流如何帮助组织预防、检测和遏制风险,同时优先考虑组织价值观、文化和用户体验:

查看 Microsoft机制视频 ,了解内部风险管理和通信合规性如何协同工作,以帮助最大程度地降低组织中用户的数据风险。

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。

与组织中的利益干系人合作

确定组织中适当的利益干系人,以便协作对内部风险管理警报和案例采取措施。 建议的一些利益干系人考虑在初始规划和端到端 内部风险管理工作流 中包括内容,这些利益干系人来自组织以下领域:

  • 信息技术
  • 合规性
  • 隐私
  • 安全性
  • 人力资源
  • 法律

确定任何区域合规性要求

不同的地理和组织区域可能具有不同于组织其他区域的合规性和隐私要求。 与这些领域的利益干系人合作,确保他们了解内部风险管理中的合规性和隐私控制,以及如何跨组织的不同区域使用这些控制。 在某些情况下,合规性和隐私要求可能需要策略,根据用户的情况或该地区的法规或策略要求来指定或限制某些利益干系人进行调查和案例。

如果要求特定利益干系人参与涉及特定区域、角色或部门用户的案件调查,则你可能希望实施单独的 (即使针对不同区域和群体的 ) 内部风险管理策略 相同也是如此。 此配置使适当的利益干系人能够更轻松地会审和管理与其角色和区域相关的案例。 你可能想要考虑为调查人员和审阅者使用与用户相同的语言的区域创建流程和策略,这有助于简化内部风险管理警报和案例的上报过程。

规划权限以支持评审和调查工作流

根据想要管理内部风险管理策略和警报的方式,需要将用户分配到特定角色组,以管理不同的内部风险管理功能集。 可以选择将具有不同合规性责任的用户分配到特定角色组,以管理内部风险管理功能的不同领域。 或者,你可以决定将指定管理员、分析师、调查人员和查看者的所有用户帐户分配给 Insider Risk Management 角色组。 有关详细信息,请参阅内部风险管理入门

了解要求和依赖项

根据计划实施内部风险管理策略的方式,需要拥有适当的Microsoft 365 许可订阅,并了解和规划一些解决方案先决条件。

发 牌: 内部风险管理是 365 个许可订阅Microsoft广泛选择的一部分。 有关详细信息,请参阅 内部风险管理入门 一文。

重要

内部风险管理目前在托管在 Azure 服务依赖项支持的地理区域和国家/地区的租户中可用。 若要验证组织是否支持内部风险管理,请参阅 按国家/地区分类的 Azure 依赖项可用性

如果你没有现有的 Microsoft 365 企业版 E5 计划,并且想要尝试内部风险管理,可以将 Microsoft 365 添加到现有订阅或注册 Microsoft 365 企业版 E5 试用版

策略模板要求: 根据所选的策略模板,在组织中配置内部风险管理之前,需要确保了解以下要求并相应地制定计划:

  • 使用 离职用户窃取数据 模板时,必须配置 Microsoft 365 HR 连接器,以便定期导入组织中的用户的辞职和终止日期信息。 有关配置 Microsoft 365 HR 连接器的分步指南,请参阅 使用 HR 连接器导入数据 一文。
  • 使用“数据泄漏”模板时,必须配置至少一个Microsoft Purview 数据丢失防护 (DLP) 策略,以定义组织中的敏感信息,并接收针对高严重性 DLP 策略警报的内部风险警报。 有关配置 DLP 策略的分步指南,请参阅 创建和部署数据丢失防护 策略一文。
  • 使用安全策略冲突模板时,必须在 Defender 安全中心启用内部风险管理集成Microsoft Defender for Endpoint,以导入安全违规警报。 有关启用 Defender for Endpoint 与内部风险管理集成的分步指南,请参阅配置 Microsoft Defender for Endpoint 中的高级功能
  • 使用 风险用户 模板时,必须配置Microsoft 365 HR 连接器,以便定期导入组织中的用户的性能或降级状态信息。 有关配置 Microsoft 365 HR 连接器的分步指南,请参阅 使用 HR 连接器导入数据 一文。

在生产环境中使用一小群用户进行测试

在生产环境中广泛启用此解决方案之前,应考虑与少量生产用户一起测试策略,以便在组织中进行必要的合规性、隐私和法律审查。 在测试环境中评估内部风险管理需要生成模拟的用户操作和其他信号,以便为会审和处理案例创建警报。 此方法可能不适用于许多组织,因此我们建议在生产环境中与一小群用户一起测试内部风险管理。

在此测试期间,在启用的策略设置中保留匿名功能,以便在内部风险管理控制台中匿名用户显示名称,以维护工具中的隐私。 此设置有助于保护具有策略匹配的用户的隐私,并有助于提高内部风险警报的数据调查和分析评审的客观性。

如果在配置内部风险管理策略后未立即看到任何警报,则可能意味着尚未达到最低风险阈值。 检查 “用户 ”页,验证策略是否已触发并按预期工作,并查看用户是否在策略范围内。

在 Microsoft 365 美国政府云和商业云之间迁移

如果将组织从 Microsoft 365 美国政府云迁移到全球商业云或从全球商业云迁移到政府云,则不会迁移活动案例和警报。 在开始迁移之前关闭所有警报和案例。

面向利益干系人的资源

与组织中的利益干系人共享管理和修正工作流中包含的内部风险管理文档:

准备好开始了吗?

准备好为组织配置内部风险管理了吗? 我们建议您查看以下文章: