满足法规与合规性需求
作为零信任采用指南的一部分,本文介绍了满足可能适用于贵组织的法规和合规性要求的业务方案。
无论组织 IT 环境的复杂性或组织规模如何,可能影响业务的新法规要求不断在增加。 这些法规包括欧盟《一般数据保护条例》(GDPR)、《加利福尼亚州消费者隐私法案》(CCPA)、大量的医疗保健和金融信息法规以及数据驻留要求。
满足法规和合规性要求这一过程如若管理不当,可能很耗时、复杂和繁琐。 该挑战大大增加了安全性、合规性和法规团队的工作量,因为他们需要实现和证明合规性,为审核做好准备,并将不断改进的最佳做法付诸实践。
零信任方法通常超过合规性法规施加的某些类型要求,例如控制对个人数据的访问权限的要求。 已实施零信任方法的组织可能发现,自己已经满足一些新条件,或者可以基于其零信任体系结构轻松构建合规的体系机构。
| 用于满足法规和合规性要求的传统方法 | 利用零信任满足法规和合规性要求的现代化方法 |
|---|---|
| 许多组织会拼结利用各种传统解决方案。 这些解决方案通常无法无缝协作,并且会暴露基础结构差距,从而增加运营成本。 一些独立的“同类最佳解决方案”甚至可能会在用于满足其他法规的同时阻碍对某些法规的遵循。 例如,最广为人知的就是使用加密确保获得授权的个人可以安全地处理数据。 但是,大多数加密解决方案会使得数据对数据丢失防护 (DLP)、电子数据展示或存档等服务不透明。 加密会妨碍组织对利用加密数据的用户所执行的操作执行尽职调查。 这迫使组织做出艰难和有风险的决策,例如禁止使用文件级加密传输敏感数据,或者允许未经检查的加密数据传输到组织外部。 |
借助零信任方法统一安全策略,此举可打破 IT 团队和系统之间的孤岛,从而优化整个 IT 堆栈的可见性和保护。 本机集成的合规性解决方案(例如 Microsoft Purview 中的合规性解决方案)不仅协同支持合规性要求和零信任方法的合规性要求,而且还能以完全透明的方式实现此目的,让每个解决方案都能利用其他解决方案的优势,例如利用内容中的敏感度标签实现通信合规性。 集成的合规性解决方案可以提供所需的覆盖范围,尽可能减少需要作出的权衡,例如电子数据展示或 DLP 解决方案以透明方式处理的加密内容。 实时可见性可用于自动发现资产(包括关键资产和工作负载),同时可通过分类和敏感度标签将合规性授权应用于这些资产。 实施零信任体系结构有助于通过全面的策略满足法规与合规性需求。 在零信任体系结构中使用 Microsoft Purview 解决方案有助于按照影响组织的法规发现、治理、保护和管理组织的整个数据资产。 零信任策略通常涉及实施达到或超过某些法规要求的控制措施,从而减轻执行系统范围的更改以遵守新法规要求的负担。 |
本文中的指导将引导如何开始使用零信任框架满足法规和合规性要求,并重点介绍如何与整个组织的业务主管和团队沟通和协作。
本文使用的生命周期阶段与适用于 Azure 的云采用框架相同,即定义策略、计划、就绪、采用、治理和管理,但会针对零信任进行调整。
下表是示意图的可访问版本。
| 定义策略 | 计划 | 就绪 | 采用 | 治理和管理 |
|---|---|---|---|---|
| 组织遵循情况 战略目标 结果 |
利益干系人团队 技术计划 技能就绪 |
评估 测试 试点 |
在数字资产中逐步实施 | 跟踪和度量 监视和检测 迭代提高成熟度 |
定义策略阶段
“定义策略”阶段对于定义和规范相关工作来解决这个方案的“为什么?”问题至关重要。 在此阶段,你将从监管、业务、IT、运营和战略角度了解该方案。
然后,定义用于度量此方案是否成功的成果,了解合规性是一个递增的迭代历程。
本文列出了与许多组织相关的动机和成果,作为参考建议。 请根据组织的独特需求,使用这些建议来改进组织的策略。
了解业务领导者的动机
虽然零信任有助于简化满足法规要求这一过程,但最大的挑战可能是获得整个组织领导者的大力支持。 本采用指南旨在帮助你与组织领导者沟通,以在组织内达成一致、制定战略目标和确定成果。
达成共识首先要了解领导者的动机,以及为什么领导者应该关心是否满足法规要求。 下表提供了一些观点的例子,但请务必与这些领导和团队中的每一个人会面,并就彼此的动机达成共识。
| 角色 | 为什么必须满足法规要求 |
|---|---|
| 首席执行官 (CEO) | 负责保护由外部审核机构验证的组织策略。 CEO 主要向董事会报告,也可能会评估整个组织和年度审核结果中法律要求的合规性水平。 |
| 首席营销官 (CMO) | 负责确保公司保密信息不会仅出于营销目的而进行外部共享。 |
| 首席信息官 (CIO) | 通常是组织中的信息官员,负责监管信息。 |
| 首席技术官 (CTO) | 负责维护数字资产内的法规合规性。 |
| 首席信息安全官 (CISO) | 负责采用和遵守行业标准,这些标准提供与信息安全合规性直接相关的控制措施。 |
| 首席运营官 (COO) | 确保在运营级别下维持与信息安全、数据隐私和其他监管做法相关的公司策略和程序。 |
| 首席财务官 (CFO) | 评估合规性的财务缺点和优点,例如网络保险和税务合规性。 |
| 首席风险官 (CRO) | 负责组织内治理、风险和合规性 (GRC) 框架的风险组件。 缓解对不合规性和合规性的威胁。 |
组织的不同部门可能采用不同的动机和激励措施,来执行法规和合规性要求的工作。 下表汇总了其中的部分动机。 请务必与利益相关者联系,了解他们的动机。
| 区域 | 动机 |
|---|---|
| 业务需求 | 遵守适用的法规和法律要求。 |
| IT 需求 | 按照组织在标识、数据、设备(端点)、应用程序和基础结构范围内的设置,实施自动符合法规和合规性要求的技术。 |
| 运营需求 | 实施参考并符合相关行业标准和相关合规性要求的策略、程序和工作说明。 |
| 战略需求 | 降低侵犯国家、地区和地方法律的风险,以及可能由侵权造成的财务和公共声誉损害。 |
使用金字塔式治理通知策略
对于此业务方案,切记零信任框架是较大治理模型的一部分,该模型用于建立组织内各种法律、法令、法规、策略和程序要求的层次结构。 在合规性和法规空间中,可通过多种方法实现相同的要求或控制措施。 值得注意的是,本文章使用零信任方法追求法规合规性。
法规合规性中通常采用的策略模型为此处所示的金字塔式治理。
此金字塔阐明了大多数组织管理信息技术 (IT) 治理时基于的不同级别。 从金字塔的顶部到底部,这些级别分别为法律、标准、策略和程序以及工作说明。
金字塔顶部代表最重要的级别,即法律。 在此级别下,组织之间的差异较小,因为法律广泛适用于许多组织,尽管国家和业务特定的法规仅适用于一些公司,而不适用于其他公司。 金字塔底部(即工作说明)表示整个组织内差异最大的区域以及实施的外围应用。 在此级别下,组织可以利用技术来满足更高级别的更重要要求。
金字塔右侧提供了组织合规性可能产生积极的业务成效和权益的诸多方案示例。 业务相关性可创造更多的激励措施,让组织制定治理策略。
下表介绍了金字塔左侧的不同治理级别如何提供右侧的战略业务优势。
| 治理级别 | 战略业务相关性和成效 |
|---|---|
| 立法和法律(总体考虑) | 通过法律审核可以避免罚款和处罚,并赢得消费者信任和打造品牌忠诚度。 |
| 标准为对产品或服务具有相同期望的消费者提供了可靠的基础 | 标准通过各种行业质量控制措施实现质量保证。 某些认证同时具有网络保险权益。 |
| 策略和程序用于记录组织的日常职能和运营 | 可以简化和自动执行与治理相关的许多手动流程。 |
| 工作说明详细介绍了如何基于定义的策略和程序执行流程 | 可通过技术简化手册和说明文档的复杂细节。 这可以极大地减少人为错误并节省时间。 例如,在员工入职流程中采用 Microsoft Entra 条件访问策略。 |
金字塔式治理模型有助于关注优先事项:
立法和法律要求
如果未遵守这些要求,组织可能会面临严重的后果。
行业特定的安全标准
组织可能需要符合某一行业要求或按照一个或多个此类标准进行认证。 可以根据各种安全性、信息安全和基础结构管理标准映射零信任框架。
策略和过程
组织特定,治理业务中更固有的流程。
工作说明
为组织实现策略和程序而自定义的专业性较强的详细控制措施。
有几个标准为零信任体系结构的各个区域增添了最大的价值。 重点关注适用于你的以下标准将产生更大的影响:
Center for Internet Security (CIS) 基准为设备管理和端点管理策略提供了宝贵的指导。 CIS 基准包括适用于 Microsoft 365 和 Microsoft Azure 的实施指南。 所有行业和垂直市场中的组织均使用 CIS 基准协助自己实现安全性和合规性目标, 尤其是处于严格监管环境中的那些组织。
国家标准与技术研究所 (NIST) 发布了 NIST 特别出版物 (NIST SP 800-63-4 ipd) 数字身份指南。 这些指南为实施数字身份服务的联邦机构提供了技术要求,不会专门限制除此目的之外的标准开发或使用。 切记,这些要求旨在增强作为零信任策略的一部分的现有协议。 政府和公共部门组织(尤其是在美国)均订阅 NIST,但上市公司也可以利用框架内的指导原则。 NIST 还在 NIST SP 1800-35 随附的出版物中提供关于实施零信任体系结构的帮助。
建议将新修订的 ISO 27002:2022 标准用于总体数据管理和信息安全。 但是,建议基于附录 A 控制措施创建安全控制措施清单,这些控制措施稍后可转换为可行的目标。
ISO 27001:2022 还提供了有关如何在信息安全上下文中实施风险管理的综合指南。 对于大多数门户和仪表板中用户的可用指标数,这可能特别有益。
可以优先考虑此类标准,以为组织提供符合常见要求的策略和控制措施基线。
Microsoft 提供了 Microsoft Purview 合规性管理器,用于帮助规划和跟踪符合适用于组织的标准的进展情况。 合规性管理器可以在你的整个合规性之旅中提供帮助,从收集数据保护风险清单,到管理复杂的控制实现、随时掌握法规和认证的最新动态以及向审核者报告。
定义策略
从合规性角度来看,组织应根据自己固有 GRC 方法定义策略。 如果组织未订阅特定标准、策略或框架,则应从合规性管理器获取评估模板。 将为每个活动 Microsoft 365 订阅分配一个数据保护基线,该基线可以针对零信任部署指南进行映射。 建议实施者从此基线开始进行实施,从合规性角度来看零信任的实际实施就应该是这样的。 这些记录的控制措施稍后可以转换为可衡量的目标。 这些目标应该是具体的、可衡量的、可实现的、实际的和有时限的 (SMART)。
合规性管理器中的数据保护基线模板集成了 36 个针对零信任的操作,这些操作在以下控制系列中保持一致:
- 零信任应用程序
- 零信任应用开发指南
- 零信任端点
- 零信任数据
- 零信任标识
- 零信任基础结构
- 零信任网络
- 零信任可见性、自动化和业务流程
它们与此处所示的零信任参考体系结构非常一致。
计划阶段
下表汇总了许多组织对这些技术活动采取的四阶段方法。
| Stage 1 | 阶段 2 | 阶段 3 | 阶段 4 |
|---|---|---|---|
| 确定适用于组织的法规要求。 使用合规性管理器确定可能影响业务的法规,评估这些法规所施加的高级要求的合规性,并针对确定的差距计划修正措施。 查看适用于组织的法规的当前指南。 |
使用 Microsoft Purview 中的内容浏览器识别受法规要求约束的数据,并评估其风险。 定义自定义分类器以根据业务需求调整此功能。 评估信息保护要求,例如数据保留和记录管理策略,然后使用保留和敏感度标签实施基本信息保护和数据管理策略。 实施基本的 DLP 策略来控制受监管的信息流。 根据法规要求实施通信合规性策略。 |
使用自动化扩展数据生命周期管理策略。 如果法规要求,请使用敏感度标签、DLP 或信息屏障设置分区和隔离控制。 通过实施容器标记、自动和强制标记以及更严格的 DLP 策略来扩展信息保护策略。 然后,使用 Microsoft Purview 中的其他功能将扩展这些策略到本地数据、设备(端点)和第三方云服务。 使用合规性管理器重新评估合规性,并确定和修正剩余差距。 |
使用 Microsoft Sentinel,根据统一审核日志构建报告,以持续评估和盘点信息的合规性状态。 继续持续使用合规性管理器,以确定和修正剩余差距,并满足新法规或更新法规的要求。 |
如果这种分阶段的方法适用于组织,则可以使用:
这个可下载的 PowerPoint 演示文稿为企业领导者和其他利益干系人展示和跟踪这些阶段及目标的进度。 以下是用于此业务方案的幻灯片。
此 Excel 工作簿用于分配所有者并跟踪这些阶段、目标及其任务的进度。 以下是用于此业务方案的工作表。
利益干系人团队
此业务方案的利益干系人团队包括组织中投资安全状况的领导者,其中可能包含以下角色:
| 计划主管和技术负责人 | 问责 |
|---|---|
| 发起人 | 策略、指导、升级、方法、业务协调与协调管理。 |
| 项目主管 | 参与、资源、时间线和安排、通信等的总体管理。 |
| CISO | 保护和治理数据资产和系统,例如风险和策略确定以及跟踪和报告。 |
| IT 合规性管理器 | 确定满足合规性和保护要求所需的控制措施。 |
| 最终用户安全性和可用性 (EUC) 潜在客户 | 员工声明。 |
| 调查和审核角色 | 与合规性和保护潜在客户合作进行调查和报告。 |
| 信息保护管理器 | 数据分类和敏感数据识别、控制和修正。 |
| 体系结构潜在客户 | 技术要求、体系结构、评论、判定和设置优先级。 |
| Microsoft 365 管理 | 租户和环境、准备、配置、测试。 |
此采用内容的资源 PowerPoint 幻灯片组包含以下幻灯片,可针对组织情况自行定制其中的利益干系人视图。
技术计划和技能就绪情况
Microsoft 提供了诸多资源来帮助满足法规与合规性需求。 以下各节重点介绍了前面定义的四个阶段中适用于特定目标的资源。
阶段 1
在阶段 1 中,确定适用于组织的法规并开始使用合规性管理器。 还可以查看适用于组织的法规。
| 阶段 1 的目标 | 资源 |
|---|---|
| 使用金字塔式治理确定合规性要求。 | 合规性管理器评估 |
| 使用合规性管理器评估合规性并计划适用于确定差距的修正措施。 | 访问 Microsoft Purview 合规门户并查看与组织相关的所有客户管理的改进操作。 |
| 查看适用于组织的法规的当前指南。 | 请参见下表。 |
此表列出了通用法规或标准。
| 法规或标准 | 资源 |
|---|---|
| 美国国家标准与技术研究院 (NIST) | 配置 Microsoft Entra ID 以符合 NIST 验证器保证级别 |
| 联邦风险与授权管理计划 (FedRAMP) | 配置 Microsoft Entra ID 以满足 FedRAMP 高影响级别要求 |
| 网络安全成熟度模型认证 (CMMC) | 配置 Microsoft Entra ID 以实现 CMMC 合规性 |
| 关于改善国家/地区网络安全的行政命令 (EO 14028) | 使用 Microsoft Entra ID 满足 22-09 备忘录中的标识要求 |
| 1996 健康保险可携性和责任法案 (HIPAA) | 按照 HIPAA 合规性要求配置 Microsoft Entra ID |
| 支付卡行业安全标准委员会 (PCI SSC) | Microsoft Entra PCI-DSS 指南 |
| 金融服务法规 | 美国银行和资本市场的合规性和安全性关键注意事项
|
| 北美电力可靠公司 (NERC) | 能源行业的合规性和安全性关键注意事项 |
阶段 2
在阶段 2 中,开始针对尚未就位的数据实施控制措施。 有关规划和部署信息保护控制措施的更多指南,请参阅识别和保护敏感业务数据零信任采用指南。
| 阶段 2 的目标 | 资源 |
|---|---|
| 使用内容浏览器识别受管制数据。 | 内容资源管理器入门 可借助内容浏览器查看受管制数据的当前风险,并评估这些数据是否符合规定其存储位置以及保护方式的法规。 创建自定义敏感信息类型 |
| 使用保留和敏感度标签实施基本数据管理和信息保护策略。 | 了解保留策略和标签以保留或删除内容 了解敏感度标签 |
| 验证 DLP 和加密策略。 | Microsoft Purview 数据丢失防护 使用敏感度标签进行加密 Office 365 加密 |
| 实施通信策略(如果适用)。 | 创建和管理通信合规性策略 |
阶段 3
在阶段 3 中,开始自动执行适用于保留和删除的数据管理策略,包括使用自适应范围。
此阶段包括实施分离和隔离控制措施。 例如,NIST 规定在独立环境中托管项目,前提是这些项目与美国政府的特定分类工作类型有关。 在某些情况下,金融服务法规需要分区环境,以防企业不同部门的员工相互通信。
| 阶段 3 的目标 | 资源 |
|---|---|
| 使用自动化扩展数据生命周期管理策略。 | 数据生命周期管理 |
| 设置分区和隔离控制措施(如果适用)。 | 信息屏障 数据丢失防护 跨租户访问 |
| 将信息保护策略扩展到其他工作负载。 | 了解信息保护扫描程序 将数据丢失防护策略用于非 Microsoft 云应用 Microsoft Teams 中的数据丢失防护 使用终结点数据丢失防护 使用敏感度标签保护 Microsoft Teams、Microsoft 365 组和 SharePoint 网站中的内容 |
| 使用合规性管理器重新评估合规性。 | 合规性管理器 |
阶段 4
阶段 4 的目标是关于此方案的实施,通过持续评估资产是否符合适用的法规和标准。
| 阶段 4 的目标 | 资源 |
|---|---|
| 持续评估和盘存资源的合规性状态。 | 本文章确定了所有必需的工具,针对此目标,制定一个可重复的迭代过程,用于持续监视数字资产中的资源和资产。 在合规门户中搜索审核日志 |
| 使用 Microsoft Sentinel 生成报表以衡量合规性。 | 使用 Microsoft Sentinel,根据统一审核日志构建报告,以评估和衡量合规性并展示控制的有效性。 Azure 日志分析 |
| 利用合规性管理器来识别和修正新差距。 | 合规性管理器 |
就绪阶段
大多数合规性工作都是通过策略强制措施完成的。 需要确定必须满足哪些条件才能实现合规性,然后创建一个或一组策略集来自动执行一系列的控制措施。 零信任策略强制措施会针对要实施的特定合规性控制措施创建可重复验证。 通过将控制措施集成到组织日常交互时用到的运营技术中,即可简化实现审核就绪这一过程。
在就绪阶段,需要评估、测试和试点目标策略,以确保这些活动可实现预期结果。 确保这些策略不会带来新的风险。 对于此零信任业务方案,请务必与实施访问控制、数据保护和其他基础结构保护的利益干系人合作。 例如,用于评估、测试和试点策略以启用远程和混合工作的建议与用于在数字资产中识别和保护敏感数据的建议不同。
示例控制措施
零信任的每个支柱都可以根据法规或标准框架中的特定控制措施进行映射。
示例 1
标识零信任映射到 Center for Internet Security (CIS) 基准内的访问控制管理,并映射到 ISO 27001:2022 中附录 A.9.2.2 用户访问预配。
在此关系图中,访问控制管理在 ISO 27001 要求标准“用户访问预配”的附录 9.2.2 中进行定义。 可通过要求多重身份验证满足本节的要求。
对于每个组织,每个控制措施的执行(如强制实施条件访问策略)都是独一无二的。 需要使用组织的风险配置文件以及资产清单创建准确的外围应用和实施范围。
示例 2
零信任体系结构和行业标准之间较为明显的相关性之一包括信息分类。 ISO 27001 的附录 8.2.1 规定:
- 必须根据法律要求、价值、严重性和对任何未经授权的披露或修改的敏感度对信息进行分类,理想情况下分类应反映业务活动,而不是抑制业务活动或使其复杂化。
在此关系图中,Microsoft Purview 数据分类服务用于定义敏感度标签并将其应用于电子邮件、文档和结构化数据。
示例 3
ISO 27001:2022(资产清单)中的附录 8.1.1 要求“与信息和信息处理设施关联的任何资产都需要在整个生命周期内进行标识和管理,并且始终保持最新状态。”
可通过实施 Intune 设备管理来实现此控制要求。 此要求提供了一个清晰的清单帐户,并针对定义的公司或行业策略报告每个设备的合规性状态。
对于此控制要求,使用 Microsoft Intune 管理设备,包括设置合规性策略以根据设置的策略报告设备的合规性。 还可以使用条件访问策略在身份验证和授权过程中要求设备合规。
示例 4
威胁情报和事件响应是映射到行业标准的零信任支柱最全面的示例。 整个 Microsoft Defender 和 Microsoft Sentinel 产品范围都适用于此方案,其能够提供对威胁情报的深入分析并执行实时事件响应。
在此关系图中,Microsoft Sentinel 与 Microsoft Defender 工具一起提供威胁情报。
采用阶段
在采用阶段中,需要以递增方式在数字资产中实施技术计划。 需要按区域对技术计划进行分类,并与相应的团队协作来完成此阶段。
对于标识和设备访问,采用分阶段方法,先从少量用户和设备开始,然后逐步增加部署以包含完整环境。 有关说明,请参阅保护远程和混合工作安全采用方案。 下面是一个示例。
保护数据的采用涉及级联工作和循环访问,以确保适当改进为环境创建的策略。 此内容在识别和保护敏感数据采用方案中有述。 下面是一个示例。
治理和管理
满足法规和合规性要求是一个持续的过程。 在过渡到此阶段时,转为进行跟踪和监视。 Microsoft 提供了少量的帮助工具。
可以使用内容浏览器监视组织的合规性状态。 对于数据分类,内容浏览器提供了组织内敏感信息的环境和分配视图。 从可训练的分类器到不同类型的敏感数据(通过自适应范围或手动创建的敏感度标签),管理员可以看到规定的敏感度架构是否在整个组织中正确应用。 借此机会,还可以识别在 Exchange、SharePoint 和 OneDrive 中持续共享敏感信息的特定风险领域。 下面是一个示例。
通过使用 Microsoft Purview 合规性门户中更强大的报告功能,你可以创建和量化合规性的宏观视图。 下面是一个示例。
可以将同一思考过程应用于 Azure。 使用 Defender for Cloud - 法规合规性确定与 Purview 合规性管理器中提供的相同分数类似的合规性分数。 该分数与跨不同类别的多个监管标准和框架保持一致。 组织必须了解哪些监管标准和框架适用于分数。 此仪表板提供的状态显示持续的实时评估,即每个标准的通过与未通过评估。 下面是一个示例。
Purview 仪表板提供了广泛的评估,可以帮助通知业务主管,并用于季度审查等部门报告。 从更实际的角度来说,可以通过为统一的审核日志数据创建日志分析工作区来利用 Microsoft Sentinel。 此工作区可以连接到 Microsoft 365 数据,并提供有关用户活动的见解。 下面是一个示例。
此数据是可自定义,并且可与其他仪表板一起使用,以上下文化特定于组织策略、风险配置文件、目标和目的的法规要求。
后续步骤
进度跟踪资源
对于任何零信任业务方案,都可以使用以下进度跟踪资源。
| 进度跟踪资源 | 有助于… | 面向的对象 |
|---|---|---|
采用方案计划阶段网格 - 可下载的 Visio 文件或 PDF 
|
轻松了解每个业务方案的安全增强,以及“计划”阶段的各个阶段和目标的工作量。 | 业务方案项目负责人、业务主管和其他利益干系人。 |
零信任采用跟踪器 - 可下载的 PowerPoint 幻灯片 
|
跟踪“计划”阶段的各个阶段和目标的进度。 | 业务方案项目负责人、业务主管和其他利益干系人。 |
业务方案目标和任务 - 可下载的 Excel 工作簿 
|
分配所有权并跟踪“计划”阶段的各个阶段、目标和任务的进度。 | 业务方案项目负责人、IT 负责人和 IT 实现者。 |
有关其他资源,请参阅零信任评估和进度跟踪资源。