共用方式為


能源產業的重要合規性與安全性考量

使用雲端的各種產業全球檢視的示意圖。

簡介

能源產業提供社會大眾每天依賴的燃料和關鍵基礎結構。 為了確保與大量能源系統相關基礎結構的可靠性,監管機關施加了嚴格的能源產業組織標準。 這些法規標準不僅與能源的產生和傳輸相關,也與對能源公司日常工作至關重要的資料和通訊相關。

能源產業中的組織使用和交換許多類型的資訊,這是其標準運作的一部分。 此資訊包括客戶數據、資本工程設計檔、資源位置對應、專案管理成品、效能計量、現場服務報告、環境數據和效能計量。 當這些組織想要將其作業和共同作業系統轉換成新式數字平臺時,他們想要Microsoft為受信任的雲端服務提供者 (CSP) ,並Microsoft 365 作為其最佳的共同作業平臺。 因為 Microsoft 365 建立在 Microsoft Azure 平台上,所以組織會在遷移至雲端時,檢查這兩種平台的合規性和安全性控制。

在北美洲,北美洲電氣可靠性公司 (North America Electric Reliability Corporation (NERC)) 會強制執行 NERC 重要基礎結構保護 (CIP) 標準 中所述的可靠性標準。 NERC 受美國聯邦能源管理委員會 (FERC) 和加拿大政府機構的監督。 所有大量電力系統擁有者、操作員和使用者必須向 NERC 註冊,並且遵守 NERC CIP 標準。 雲端服務提供者和第三方廠商,例如Microsoft不受 NERC CIP 標準規範。 不過,CIP 標準包括應考慮的目標,當已註冊的實體使用廠商運作大量電力系統 (BES) 時。 運行大量電力系統的 Microsoft 客戶對確保自己遵守 NERC CIP 標準負有全部責任。

如需 Microsoft 雲端服務與 NERC 的相關資訊,請參閱下列資源:

針對能源組織考量所建議的法規標準包括 FedRAMP (美國聯邦風險與授權管理計劃),這個計劃是以 NIST SP 800-53 修訂版 4 標準 (國家標準暨技術研究院) 為基礎並擴充。

  • Microsoft Office 365 和 Office 365 美國政府都在「中度影響層級」獲得授與 FedRAMP ATO (授權可執行)。
  • Azure 和 Azure Government 都獲得授與 FedRAMP High P-ATO (佈建授權可執行),這是最高的 FedRAMP 授權層級。

如需 Microsoft 雲端服務與 FedRAMP 的相關資訊,請參閱下列資源:

這些成就對能源產業來說非常重要,因為 FedRAMP 中等控制集與 NERC CIP 需求之間的比較顯示,FedRAMP 中等控制涵蓋所有 NERC CIP 需求。 如需其他資訊,Microsoft 已發展針對 NERC 稽核的雲端實作指南,其中包括目前的 NERC CIP 標準集與如 NIST 800-53 Rev 4 所述的 FedRAMP 中度控制集的控制項對應。

隨著能源產業尋求將其共同作業平台現代化,需針對設定及部署共同作業工具和安全性控制而謹慎考慮,包括:

  • 常用共同作業案例的評估
  • 存取員工若要有生產力必要的資料
  • 法規遵循需求
  • 讓風險與資料、客戶和組織產生關聯

Microsoft 365 是現代化工作場所雲端環境。 它可提供整個企業安全且靈活的共同作業,包括控制項和原則強制執行,以符合最嚴格的法規合規性框架。 透過下列文章,本文將探討Microsoft 365 如何協助能源產業移至新式共同作業平臺,同時協助保護數據和系統的安全性,並符合法規:

  • 透過 Microsoft Teams 提供全面的共同作業平台
  • 在能源產業中提供安全且合規的共同作業
  • 識別敏感性資料並防止資料外洩
  • 藉由有效管理記錄來管理資料
  • 符合 FERC 和 FTC 對於能源市場的法規要求
  • 防範資料外流和測試人員風險

Microsoft 的合作夥伴 Protiviti 參與撰寫本文,並協助提供實質意見反應。

透過 Microsoft Teams 提供全面的共同作業平台

共同作業通常需要多種形式的溝通、儲存及存取文件的功能,以及整合其他應用程式的能力。 無論是全球企業或當地公司,能源部門的員工通常都需要與其他部門或跨小組的成員共同作業及溝通。 通常也需要與外部合作夥伴、廠商或客戶進行通訊。 因此,通常不建議使用建立孤島或很難共用資訊的系統。 也就是說,我們仍要確保員工能安全地根據原則共用資訊。

為員工提供現代化和雲端式共同作業平臺,讓他們能夠選擇並輕鬆地整合工具,讓他們擁有最高的生產力,讓他們能夠找到最佳的工作和共同作業方式。 使用 Microsoft Teams 搭配安全性控制和控管原則來保護組織,可協助您的員工輕鬆地在雲端上進行共同作業。

Microsoft Teams 為您的組織提供共同作業的中樞,讓人員可以共同作業,並合作進行共同的計畫或專案。 它可讓小組成員進行交談、共同作業和共同撰寫檔。 可讓使用者儲存檔案,並且與小組成員或小組外的使用者共用檔案。 也能讓他們使用整合的企業語音和視訊來舉行即時會議。 您也可以透過輕鬆存取 Microsoft 應用程式 (例如 Planner、Dynamics 365、Power BI 及其他第三方企業營運應用程式) 自訂 Microsoft Teams。 Teams 簡化了 Office 365 服務和第三方應用程式的存取,以集中組織的共同作業與通訊需求。

Office 365 群組支援所有 Microsoft 小組。 Office 365 群組被視為 Office 365 服務的成員資格提供者 (包括 Microsoft Teams)。 Office 365 群組是用來安全地控制哪些使用者被視為成員,哪些使用者是群組的擁有者。 此設計可讓我們輕鬆地控制哪些使用者可以存取Teams內的不同功能。 因此,小組成員和擁有者只能存取允許他們使用的功能。

Microsoft Teams 可讓能源組織受益的常見案例是與承包商或外部公司合作,作為現場服務程式的一部分,例如植被管理。 承包商一般會負責管理植被或移除電源系統安裝周圍的樹木。 他們通常需要接收工作指示、與發送器和其他現場服務人員通訊、拍攝和共用外部環境的圖片、在工作完成時註銷,以及與總公司共享數據。 傳統上,這些程式是使用電話、文字、紙張工作訂單或自定義應用程式來執行。 這個方法可能會帶來許多挑戰。 例如:

  • 程序是手動或類比,讓計量難以追蹤
  • 通訊並非全都擷取在單一位置
  • 資料有隔閡,且不一定與所有需要的員工共用
  • 工作可能無法一致或有效率地執行
  • 自定義應用程式未與共同作業工具整合,因此難以擷取和共用數據或測量效能

Microsoft Teams 可以提供簡單易用的共同作業空間,讓小組成員與外部現場服務承包商之間能夠安全地共用資訊和進行交談。 Teams 可用於進行會議、進行語音通話、集中儲存和共用工作訂單、收集欄位資料、上傳相片、與 (以 Power Apps 和 Power Automate 所建立的) 商業程序解決方案整合,以及整合企業營運應用程式。 這種類型的欄位服務數據可能會被視為低影響;不過,在這些案例中,藉由集中員工與現場服務人員之間的通訊和存取數據,即可提高效率。

另一個 Microsoft Teams 可以為能源產業帶來好處的範例是,現場服務人員在服務中斷期間還原服務時。 現場人員經常需要快速存取變電站、發電站,或實地資產藍圖的示意圖資料。 這項資料被視為高度影響,而且必須根據 NERC CIP 法規加以保護。 服務中斷期間的現場服務工作需要現場人員與辦公室員工之間的通訊,有時候需要與客戶通訊。 在 Microsoft Teams 中集中通訊和資料共用,讓現場人員能使用簡單的方法存取關鍵資料,並將資訊或狀態傳回總部。 例如,Microsoft Teams 可讓現場人員在前往服務中斷地點的路程上,加入電話會議。 現場人員也可以拍攝其環境的相片或影片,並與總公司共用,這在現場設備不符合架構時特別重要。 然後,從現場收集的資料和狀態可以透過資料視覺效果工具 (例如 Power BI),呈現給辦公室員工和領導階層。 最終,Microsoft Teams 可以讓現場人員在這些重要情況下更有效率以及生產力。

Teams:改善共同作業並降低合規性風險

Microsoft 365 透過將 Office 365 群組作為基礎成員資格提供者,為 Microsoft Teams 提供一般原則功能。 這些原則可協助改善共同作業並協助達到合規性需求。

Office 365 群組命名原則,可協助確保根據公司原則來命名 Office 365 群組,也就是 Microsoft Teams。 如果未適當命名,團隊的名稱可能會帶來挑戰。 例如,如果員工的名稱不正確,他們可能不知道要在哪一個小組工作或共享資訊。 群組命名原則有助於強制執行良好的檢查,也可能會防止使用特定字詞,例如保留字或不適當的術語。

Office 365 組到期原則有助於確保 Office 365 群組,因而Microsoft Teams 不會保留超過組織所需的時間。 此功能可協助防止下列兩個重要資訊管理問題:

  • 非必要或使用的Microsoft Teams 數量激增
  • 過度保留組織不再需要的資料

系統管理員可以指定 Office 365 群組的到期期限,以天為單位 (如 90、180 或 365 天)。 如果 Office 365 群組所支援的服務在到期期限內處於非使用中狀態,則會通知群組擁有者。 若未採取任何動作,就會刪除 Office 365 群組及其所有相關服務 (包括 Microsoft Teams)。

Microsoft 團隊的資料過度保留可能會為組織帶來訴訟風險。 使用到期原則是保護組織的建議方法。 結合內建的保留標籤和原則,Microsoft 365 可協助確保組織只保留符合合規性義務所需的資料。

Teams:輕鬆整合自訂需求

Microsoft Teams 預設會啟用自助建立 Teams。 不過,許多受監管組織想要控制和瞭解員工目前使用的是哪些共同作業空間、哪些共用空間包含敏感性資料,以及整個組織中空間的擁有者。 為了便於進行這些管控,Microsoft 365 允許組織停用自助 Teams 建立。 此外,使用內建的 Microsoft 365 商務程序自動化工具(例如 Power Apps 和 Power Automate),可讓組織組建簡單的程序以要求新的團隊。 完成簡單易用的表單,主管可以自動要求核准。 一旦核准,小組可以自動佈建,且會將新小組的連結傳送給要求者。 透過建立這樣的程序,組織也可以整合自訂需求,以協助其他商務程序。

在能源產業中提供安全且合規的共同作業

如前文所述,Microsoft Office 365 和 Office 365 美國政府已在中度影響層級取得每個 FedRAMP ATO。 Azure 和 Azure 政府已取得 FedRAMP 高 P-ATO,代表最高的 FedRAMP 授權層級。 此外,FedRAMP 中等控制集涵蓋所有 NERC CIP 需求,因此可讓能源產業組織 (「註冊實體」) 運用現有的 FedRAMP 授權,作為解決 NERC 審核需求的可調整和有效方法。 不過,請務必注意,FedRAMP 不是時間點認證,而是包含 持續監視布建的評定和授權計劃。 雖然這種佈建主要適用於 CSP,但操作大量電力系統的 Microsoft 客戶,會負責確保其遵循 NERC CIP 標準。 通常建議的做法是持續監視組織的合規性狀態,以協助確保持續符合法規。

Microsoft 提供的關鍵工具可協助您監視一段時間內的法規合規性:

  • Microsoft Purview 合規性管理員 可協助組織瞭解其目前的合規性狀況,以及為協助改善該狀況可以採取的動作。 [合規性管理員] 會計算風險型分數,衡量完成動作的進度,協助降低資料保護和法規標準的風險。 [合規性管理員] 會依據 Microsoft 365 資料保護基準提供初始分數。 此基準是一組包括常見產業法規和標準的控制集合。 這個分數是很好的起點,而如果組織新增與其產業更加相關的評估,[合規性管理員] 就會變得更加強大。 [合規性管理員] 支援與 NERC CIP 合規性義務相關的許多法規標準,其中包括 FedRAMP 中等控制集NIST 800-53 修訂版 4、以及 AICPA SOC 2。 能源產業組織也可以視需要建立或匯入自定義控制集。

合規性管理員內建的工作流程功能,可讓能源組織轉換及數位化其法規合規性程序。 傳統上,能源產業的合規性小組會面臨下列難題:

  • 補救動作的進度報告或追蹤不一致
  • 程序低效或無效
  • 資源不足或缺少擁有權
  • 缺乏即時資訊和人為錯誤

透過運用 [合規性管理員],讓法規合規性程序自動化,組織可以降低法律和合規性功能的系統管理負擔。 這項工具可提供更多關於補救動作的最新資訊、更一致的報告,以及記錄動作的擁有權 (連結至動作的實施),以協助解決這些難題。 組織可以自動追蹤一段時間內的補救動作,並查看整體效能提升。 這項功能可讓員工將更多心力放在取得深入解析和開發策略,以協助更有效率地巡覽風險。

合規性管理員不會對任何特定標準或法規表示組織合規性的絕對量值。 這代表您採取的控制措施可降低個人資料和個人隱私權暴露在風險中的程度。 合規性管理員的建議不應解譯為合規性的保證。 [合規性管理員] 中提供的客戶動作是建議措施。 每個組織都可在實作之前評估這些建議的有效性,以符合其法規義務。 在合規性管理員中找到的建議不應解譯為合規性的保證。

許多與網路安全性相關的控制項都包括在 FedRAMP 中度控制集NERC CIP 標準中。 不過,與 Microsoft 365 平台相關的關鍵控制包括安全性管理控制 (CIP-003-6)、帳戶與存取權管理/存取撤銷 (CIP-004-6)、電子安全性周邊 (CIP-005-5)、安全性事件監視和事件回應 (CIP-008-5)。 下列基礎Microsoft 365 功能有助於解決這些文章中包含的風險和需求。

保護使用者身分識別及控制存取權

保護對文件和應用程式的存取權始於嚴格加強使用者身分識別。 基於基礎,此動作需要為企業提供安全的平台來儲存和管理身分識別,並提供受信任的驗證方法。 也需要動態控制這些應用程式的存取權。 當員工工作時,他們可能會從應用程式移至應用程式,或跨多個位置和裝置移動。 因此,在此過程的每個步驟中,都必須驗證資料存取權。 此外,驗證程式必須支援強式通訊協定和多個驗證因素, (一次性簡訊密碼、驗證器應用程式、憑證等 ) ,以確保身分識別未遭入侵。 最後,實施風險式存取原則對保護資料和應用程式不受測試人員威脅、避免不慎資料洩漏和資料外流是重要的建議。

Microsoft 365 提供安全的識別平臺,Microsoft Entra ID 集中儲存並安全地管理身分識別。 Microsoft Entra ID,連同一系列相關的Microsoft 365安全性服務,構成為員工提供安全工作所需的存取權的基礎,同時保護組織免於遭受威脅。

Microsoft Entra 多重要素驗證 (MFA) 內建在平臺中,並提供額外的保護層級,以協助確保使用者在存取敏感數據和應用程式時所說出的身分。 Microsoft Entra 多重要素驗證需要至少兩種形式的驗證,例如密碼和已知的行動裝置。 其支援數個次要因素驗證選項,包括:Microsoft Authenticator 應用程式、透過 SMS 傳遞的一次性密碼,接聽使用者必須輸入 PIN 的電話、智慧卡或憑證型驗證。 如果密碼遭入侵,潛在的駭客仍需要使用者的手機,才能存取組織資料。 此外,Microsoft 365 會使用新式驗證作為金鑰通訊協定,讓 Web 瀏覽器提供的強大驗證體驗,也能在共同作業工具中使用,包括 Microsoft Outlook 和其他 Microsoft Office 應用程式。

Microsoft Entra 條件式存取提供強大的解決方案,可將訪問控制決策自動化,並強制執行原則來保護公司資產。 常見的範例是當員工嘗試存取包含敏感性客戶數據的應用程式,且自動需要他們執行多重要素驗證時。 Azure 條件式存取會將來自使用者存取要求 (的訊號彙集在一起,例如使用者的屬性、其裝置、位置、網路,以及他們嘗試存取的應用程式或存放庫) 。 它會針對您設定的原則,動態評估每次嘗試存取應用程式的時間。 如果提高使用者或裝置風險,或不符合其他條件,Microsoft Entra ID 會自動強制執行原則 (,例如動態要求 MFA、限制或甚至封鎖存取) 。 此設計有助於確保敏感性資產在動態變更的環境中受到保護。

適用於 Office 365 的 Microsoft Defender 提供整合的服務,可保護組織免受透過電子郵件傳遞的惡意連結和惡意程式碼侵害。 目前影響使用者的最常見攻擊媒介之一是電子郵件網路釣魚攻擊。 這些攻擊可以謹慎地以特定高調員工為目標,並且精心製作以令人信服。 它們通常包含一些要求用戶選取惡意連結或使用惡意代碼開啟附件的動作呼叫。 一旦受到感染,攻擊者就可以竊取使用者的認證,並在組織中橫行。 攻擊者也可以將電子郵件和資料外流,尋找敏感性資訊。 適用於 Office 365 的 Microsoft Defender 會在點選時評估潛在惡意網站的連結並加以封鎖。 電子郵件附件會在受保護的沙箱中開啟,再傳送到使用者的信箱。

Microsoft Defender for Cloud Apps 可讓組織具備在細微層次執行原則的能力。 此設計包括根據使用 Machine Learning 自動定義的個別使用者配置檔來偵測行為異常。 Microsoft Defender for Cloud Apps,會透過評估與使用者行為和所存取之文件屬性相關的額外訊號,依據 Azure 條件式存取組建。 經過一段時間後,Defender for Cloud Apps 會針對每一位員工,了解其典型的行為 (所存取的資料和使用的應用程式)。 根據已知的行為模式,如果員工的行為超出該行為設定檔,原則便可自動強制執行安全性控制。 例如,如果員工通常會從上午 9:00 到星期五下午 5:00 存取會計應用程式,但該使用者在星期日晚上開始大量存取該應用程式,Defender for Cloud Apps 可以動態強制執行原則,要求使用者重新驗證。 此需求有助於確保認證未遭到入侵。 此外,Defender for Cloud Apps 可協助探索及識別組織中的影子 IT。 此功能可協助 InfoSec 小組確保員工在處理敏感數據時使用獲批准的工具。 最後,Defender for Cloud Apps 可以保護雲端中任何位置的敏感性資料,甚至是 Microsoft 365 平台以外的資料。 它可讓組織批准 (或不批准特定外部雲端應用程式) ,以控制用戶在這些應用程式中工作時的存取權和監視。

Microsoft Entra ID,以及相關的 Microsoft 365 安全性服務,提供將新式雲端共同作業平臺推出給能源產業組織的基礎。 Microsoft Entra ID 包含可保護數據和應用程式存取權的控件。 除了提供強大的安全性之外,這些控制措施也可協助組織符合法規合規性義務。

Microsoft Entra ID 和Microsoft 365 服務,且已深度整合,並提供下列重要功能:

  • 集中儲存並安全管理使用者身分識別
  • 使用強身份驗證通訊協定,包括多重要素驗證,在存取要求上驗證使用者
  • 提供跨任何應用程式的一致且可靠的驗證體驗
  • 動態驗證所有存取要求的原則,將多個訊號納入原則決策程序中,包括身分識別、使用者/群組成員資格、應用程式、裝置、網路、位置,以及即時風險分數。
  • 根據使用者行為和檔案內容驗證細微原則,並在需要時動態強制執行其他安全性措施
  • 識別組織中的「影子 IT」,並允許資訊安全小組批准或封鎖雲端應用程式
  • 監視及控制 Microsoft 和非 Microsoft 雲端應用程式的存取權
  • 主動防範電子郵件網路釣魚和勒索軟體攻擊

識別敏感性資料並防止資料外洩

FedRAMP 中等控制集和 NERC CIP 標準也包含可作為關鍵控制需求的資訊保護 (CIP-011-2)。 這些需求特別解決了識別與 BES (大量電氣系統) 網路系統資訊相關資訊的需求,和對該資訊的保護和安全處理的需求 (包括儲存、傳輸和使用)。 BES 網路系統資訊的特定範例可能包括安全性程式或系統安全性資訊,這些系統是操作大量電力系統的基礎, (BES 網路系統、實體 存取控制 系統,以及電子 存取控制 或監視系統,) 無法公開使用,而且可用來允許未經授權的存取或未經授權的散發。 不過,能源組織每日營運中也有相當重要的識別及保護客戶資訊需求存在。

Microsoft 365 讓組織內的敏感性資料都能透過強大的功能組合來識別和保護,包括:

  • Microsoft Purview 資訊保護,以使用者為基礎的分類和敏感性資料的自動化分類

  • Microsoft Purview 資料外洩防護 (DLP) ,以使用敏感數據類型 (即正則表達式) 和關鍵詞,以及強制執行原則,來自動識別敏感數據

Microsoft Purview 資訊保護可讓員工使用敏感度標籤,將文件和電子郵件分類。 使用者可以在 Microsoft Office 應用程式的文件和 Microsoft Outlook 中的電子郵件手動套用敏感度標籤。 敏感度標籤可自動套用文件標記、加密保護,以及強制執行版權管理。 您也可以設定使用關鍵詞和敏感數據類型 (信用卡號碼、社會安全號碼、身分識別號碼等 ) 的原則,來自動套用敏感度標籤。

Microsoft 也提供可訓練分類器。 這些是利用機器學習模型,根據內容而不是直接透過模式比對或內容中的元素,來識別敏感性資料。 分類器透過查看要分類之內容的眾多範例,學習如何識別內容類型。 訓練分類器的第一步是為分類器提供特定類別內容的範例。 處理範例時,會透過提供模型相符和不相符的範例組合來測試模型。 接著分類器會預測指定範例是否屬於某類別。 然後,人員會確認結果,並排序陽性、陰性、誤判和漏報,以提高分類器預測的準確性。 當定型分類器發佈時,它會處理並自動分類 SharePoint Online、Exchange Online 和 OneDrive 中的內容。

將敏感度標籤套用至文件和電子郵件,會在識別所選敏感度的物件內嵌元數據,藉此允許敏感度隨著數據移動。 因此,即使已加上標籤的檔案儲存在使用者的桌面或內部部署系統中,它仍會受到保護。 此設計可讓其他Microsoft 365解決方案,例如 Microsoft Defender for Cloud Apps 或網路邊緣裝置,識別敏感數據並自動強制執行安全性控制。 「敏感度標籤具有額外的優點是教育員工如何將組織內的資料視為敏感性,以及如何處理該資料。

Microsoft Purview 資料外洩防護 (DLP) 會藉由掃描這些敏感數據類型的專案,然後在這些物件上強制執行原則,自動識別包含敏感數據的檔、電子郵件和交談。 原則是在 SharePoint Online 和商務用 OneDrive 中的文件強制執行。 當使用者在聊天和通道交談中傳送電子郵件和 Microsoft Teams 時,也會強制執行原則。 可以將原則設定為尋找關鍵字、敏感性資料類型、保留標籤,以及資料是在組織內部或外部共用。 提供控制項以協助組織微調 DLP 原則,以進一步避免誤報。 找到敏感性資料時,可在 Microsoft 365 應用程式內為使用者顯示自訂原則提示。 原則提示會通知使用者他們的內容包含敏感性資料,而且可以提出矯正措施。 原則也可以防止使用者存取文件、共用文件,或傳送包含特定敏感性資料類型的電子郵件。 Microsoft 365 支援超過 100 個內建敏感性資料類型。 組織可以設定自訂敏感性資料類型以滿足其原則。

向組織推出 Microsoft Purview 資訊保護和 DLP 原則需要仔細規劃。 此外,它也需要使用者教育,讓員工瞭解組織的資料分類結構描述,以及哪些類型的資料是敏感性的。 為員工提供工具和教育計劃可協助他們識別敏感性資料,並協助他們了解如何處理這些資料,讓他們成為解決資訊安全風險問題的解決方案的一環。

藉由有效管理記錄來管理資料

法規要求許多組織依照受管理的公司保留排程表來管理關鍵組織文件的保留。 如果資料未妥善保留 (太早刪除),組織會面臨法規合規性風險,如果資料過度保留 (保留的時間過長),組織則會面臨法規風險。 有效的記錄管理策略可協助確保組織文件會依照預先決定的保留期間保留,以將組織的風險降至最低。 保留期間是在集中管理的組織記錄保留排程中規定的。 保留期間是以每一種文件類型的性質,保留特定資料類型的規章合規性需求,以及組織定義的原則為基礎。

跨組織文件正確指派記錄保留期間可能需要細微的程式,以將保留期間唯一指派給個別檔。 大規模套用記錄保留原則可能很困難,有許多原因。 這些原因包括能源產業組織內部大量的文件,並且事實上,在許多情況下,組織事件 (例如,合約即將到期或員工離開組織) 可能會觸發保留期間。

Microsoft 365 提供功能來定義保留標籤和原則,以輕易地實作記錄管理需求。 記錄管理員定義保留標籤,該標籤代表傳統保留排程中的「記錄類型」。 保留標籤包含的設定會定義:

  • 記錄保留的時間長度
  • 並行需求或保留期間到期時,會發生什麼情況 (刪除文件、開始處置檢閱或不採取任何動作)
  • 觸發保留期間開始的項目 (建立日期、上次修改日期、標籤日期或事件),以及
  • 如果檔案或電子郵件是記錄 (表示無法編輯或刪除)

保留標籤便會發佈到 SharePoint 或 OneDrive 網站、Exchange 信箱和 Office 365 群組。 用戶接著可以手動將保留標籤套用至文件和電子郵件。 或者,記錄管理員可以使用規則來自動套用保留標籤。 自動套用規則可以根據文件或電子郵件中找到的關鍵字或機密資料,例如信用卡號碼、社會保險號碼或其他個人身分識別資訊 (PII)。 自動套用規則也可以 SharePoint 中繼資料為基礎。

FedRAMP 中等控制集和 NERC CIP 標準也包含可作為關鍵控制需求的資產重複使用和處置 (CIP-011-2)。 同樣地,這些需求特別解決 BES (大量電力系統) 網路系統資訊。 不過,其他管轄區法規會要求能源產業組織有效管理和處置許多類型的信息記錄。 此資訊包擴括財務報表、資本專案資訊、預算、客戶資料等等。在所有情況下,都需要能源組織維護可靠的記錄管理方案與可防護處置公司記錄的相關證據。

在每個保留標籤上,Microsoft 365 可讓記錄管理員判斷是否需要處置檢閱。 當這些記錄類型進行處置時,在其保留期間到期之後,必須由指定的處置檢閱者執行檢閱,才能刪除內容。 一旦核准處置檢閱,內容刪除就會繼續進行。 不過,刪除的證據 (執行刪除的使用者,以及發生的日期/時間) 仍會保留數年,做為銷毀憑證。 如果組織需要更長或永久保留毀損憑證,他們可以使用 Microsoft Sentinel 來長期儲存雲端式記錄和稽核數據。 Microsoft Sentinel 可讓組織完全控制長期儲存和保留活動資料、記錄資料和保留/處置資料。

符合 FERC 和 FTC 對於能源市場的法規要求

美國聯邦能源管理委員會 (FERC) 會監督與能源市場和電力能源與天然氣市場交易相關的法規。 美國聯邦貿易委員會 (FTC) 會監督石油市場中的法規。 在這兩種情況下,這些監管機關會制定規則和指導,以禁止能源市場操縱。 例如,FERC 建議能源組織投資技術資源,以監視交易、交易員通訊及內部控制合規性。 監管機關也建議能源組織定期評估組織合規性計畫持續的有效性。

傳統上,通訊監視解決方案成本高昂,而且設定及管理相當複雜。 此外,組織在監視員工可用的眾多不同的通訊通道時,可能會遇到挑戰。 Microsoft 365 提供數個內建健全功能,可讓您監視員工通訊、監管員工活動,並協助遵循 FERC 對於能源市場的法規。

實作監管控制

Microsoft 365 可讓組織設定擷取員工通訊 (根據設定的條件) 的監督原則,並允許由指定的主管檢閱這些通訊。 監督原則可以擷取內部/外部電子郵件和附件、Microsoft Teams 聊天與通道通訊、商務用 Skype 線上聊天通訊和附件,以及透過使用協力廠商服務 (Facebook 或 Dropbox 等) 進行的通訊。

組織內可能擷取和檢閱的通訊完整本質,以及可設定原則的廣泛條件,允許Microsoft 365 監督原則,以協助組織遵守 FERC 能源市場法規。 監督原則可以設定為檢閱個人或群組的通訊。 此外,監督員可以設定為個人或群組。 可以將綜合條件設為根據輸入或傳出郵件、網域、保留標籤、關鍵字或片語、關鍵字字典、敏感性資料類型、附件、郵件大小或附件大小來擷取通訊。 檢閱者能使用儀表板檢閱已標記的通訊、對可能違反原則的通訊採取動作,以及將已標記的項目標示為已解決。 他們也可以檢閱先前檢閱的結果和已解決的專案。

Microsoft 365 提供報告,可以根據原則和檢閱者稽核監督原則檢閱活動。 可用的報告可用於驗證監督原則是否如組織書面監督原則所定義的方式運作。 報告也可以用來識別需要檢閱的通訊,包括不符合公司原則的通訊。 最後,與設定監督原則及檢閱通訊相關的所有活動都會在 Office 365 整合稽核記錄中稽核。

Microsoft 365 監督原則可讓組織監視通訊是否符合公司原則,例如公司通訊中的人力資源騷擾侵犯和攻擊性語言。 通訊合規性也能讓組織在進行敏感性組織變更 (例如合併和收購或領導層變更) 時監視通訊,以降低風險。

通訊合規性

因為員工有許多通訊通道可用,所以組織更加需要有效的解決方案,以偵測及調查管制產業 (例如能源交易市場) 中的通訊。 這些挑戰可能包括不斷增加的通訊通道和訊息量,以及違反原則的潛在罰款風險。

MIcrosoft Purview 通訊合規性為合規性解決方案,協助您偵測、調查及處理組織內的不當訊息,儘量降低通訊風險。 預先定義和自訂原則可讓您針對原則相符項目掃描內部和外部通訊,以便由指定的檢閱者加以檢查。 檢閱者可以調查貴組織中掃描的電子郵件、Microsoft Teams、Viva Engage 或第三方通訊,並採取適當的動作,以確保其符合貴組織的郵件標準。

「通訊合規性」可協助合規性小組有效且有效率地檢閱郵件的潛在違規:

  • 公司原則,例如可接受的使用、道德標準,和公司特定原則
  • 敏感性或敏感性商業披露,例如未經授權的敏感性專案通訊,如近期收購、合併、收益披露、改組或領導團隊變更
  • 法規合規性需求,例如組織參與的業務或交易類型需遵循 FERC 對於能源市場的法規,其中的相關員工通訊。

通訊合規性提供內建威脅、騷擾和粗話交叉分類器,以協助減少檢閱通訊時的誤報。 此分類可在調查和補救程式期間節省檢閱者的時間。 其可協助檢閱者在冗長往來書信中,將焦點放在已由原則警示醒目提示的特定訊息。 此結果可協助合規性小組更快速地找出並補救風險。 合規性小組也可以透過通訊合規性來輕鬆設定和微調原則、調整解決方案以符合組織的特定需求以及降低誤報。 「通訊合規性」也可以協助識別一段時間內有潛在危險的使用者行為,醒目提示危險行為或原則違規的潛在模式。 最後,它提供彈性的內建補救工作流程。 這些工作流程可協助檢閱者快速採取行動,根據已定義的公司程序呈報給法務或人力資源小組。

防範資料外流和測試人員風險

企業的常見威脅是資料外流或從組織擷取資料的行為。 這項動作可能是能源組織的重要考慮,因為員工或現場服務人員可能會每天存取敏感性資訊。 該資料包括 BES (大量電力系統) 網路系統資訊,以及與商務相關的資訊和客戶資料。 隨著可用的通訊方法和移動資料的工具數量增多,通常需要進階工具來降低資料外洩、違反原則和測試人員風險。

測試人員風險管理

讓員工能夠使用在線共同作業工具來存取任何原本就對組織造成風險。 員工可能會不小心或惡意地將數據洩漏給攻擊者或競爭對手。 或者,他們可能會將數據外流以供個人使用,或將數據帶給未來的雇主。 從安全性和合規性立場而言,這些情形都會讓組織暴露在嚴重風險中。 若要識別並迅速緩解這些風險,就需要智慧型工具進行資料收集和跨部門共同作業,例如法務部、人力資源部和資訊安全部。

Microsoft Purview 內部風險管理可以透過啟用偵測、調查及處理貴組織中惡意和意外的活動,協助將內部風險降到最低。 測試人員風險原則可讓您定義要在貴組織中識別和偵測的風險類型,包括視需要對案例採取行動,以及將案例升級至 Microsoft 電子文件探索 (進階版)。 組織中的風險分析師可以迅速採取適當的動作,以確保使用者符合組織的合規性標準。

例如,內部風險管理可以與使用者裝置的信號,例如:將檔案複製到 USB 磁碟機,或將電子郵件傳送至個人電子郵件帳戶,與線上服務之間的活動,例如:Office 365 電子郵件、SharePoint 線上、Microsoft Teams 或商務用 OneDrive 進行關聯來識別資料外流模式。 還可以將這些活動與離開組織的員工相關聯,這是與資料外流相關聯的常見行為模式。 可偵測多個潛在風險活動和一段時間的行為。 常見模式出現時,便可發出警報,並協助調查人員專注於關鍵活動,以高信賴度驗證原則違規。 「內部風險管理」可以對調查人員的資料進行混淆處理,以協助符合資料隱私權法規,同時還可以進行一些關鍵活動,以協助有效執行調查。 就緒時,這可讓研究人員按照一般向上呈報工作流程,安全地將關鍵活動資料封裝並傳送到人力資源和法務部門,以執行補救動作。

「測試人員風險管理」大幅提升在 Microsoft 365 中偵測及調查內部風險的能力,同時讓組織仍能符合資料隱私權法規,並在案例需要更高層級動作時遵循已建立的向上呈報路徑。

總結

Microsoft 365 提供整合且全面的解決方案,可讓您在企業中利用 Microsoft Teams 來啟用易於使用的雲端式共同作業。 Microsoft Teams 也能夠與現場服務人員進行更好的通訊與共同作業,協助能源組織更加有效率。 讓整個企業以及與現場人員之間能夠有更好的共同作業,最終可協助能源組織為客戶提供更好的服務。

能源產業組織必須遵守與儲存、保護、管理及保留其營運和客戶相關資訊有關的嚴格法規。 他們也必須遵守與如何監視和預防能源市場操縱相關的法規。 Microsoft 365 提供健全的安全性控制,可保護資料、身分識別、裝置和應用程式免於風險,並遵循嚴格的能源產業法規。 提供的內建工具可協助能源組織評估其合規性,以及在一段時間內採取動作和追蹤補救活動。 這些工具也提供易於使用的方法,可監視和監督通訊。 Microsoft 365 平臺是以 Azure 和 Microsoft Microsoft Entra ID 等基礎元件為基礎,可協助保護整體平臺,並協助組織符合 FedRAMP 中度和高控制集的合規性需求。 此設計又有助於能源組織符合 NERC CIP 標準的能力。

總的來說,Microsoft 365 可協助能源組織更佳地保護組織、擁有更健全的合規性方案,並且讓人員專注於取得更好的深入解析和實作策略,以便更能降低風險。