符合法規和合規性需求
作為 零信任 採用指引的一部分,本文說明符合可能適用於貴組織的法規和合規性需求的商務案例。
無論您的組織IT環境或組織大小的複雜性為何,可能會影響您企業的新法規需求都會持續增加。 這些法規包括歐盟的一般數據保護規定(GDPR)、加州消費者隱私法(CCPA)、無數的醫療保健和金融資訊法規和數據落地要求。
不符合法規和合規性需求的程式,在未正確管理時,可能很長、複雜且乏味。 這項挑戰已大幅提升安全性、合規性和法規小組的工作負載,以達成並證明合規性、準備稽核,並備妥持續的最佳作法。
零信任 方法通常超過合規性法規所強加的一些需求類型,例如控制個人資料的存取權。 實作 零信任 方法的組織可能會發現它們已經符合一些新的條件,或可以輕鬆地建置在其 零信任 架構上,以符合規範。
符合法規和合規性需求的傳統方法 | 使用 零信任 符合法規和合規性需求的現代方法 |
---|---|
許多組織都使用各種舊版解決方案結合在一起。 這些解決方案通常無法順暢地一起運作,暴露基礎結構缺口並增加營運成本。 一些獨立的「最佳品種解決方案」甚至可能會防止遵守某些法規,而它們用來滿足另一個法規。 其中一個廣泛的範例是使用加密來確保已授權的個人安全地處理數據。 但大部分的加密解決方案都會將數據不透明提供給數據外洩防護(DLP)、電子檔探索或封存等服務。 加密可防止組織對利用加密數據的使用者所執行動作執行盡職盡責。 此結果會強制組織做出艱難且有風險的決策,例如禁止使用檔案層級加密進行敏感數據傳輸,或讓加密的數據不在組織外進行未指定。 |
使用 零信任 方法來整合您的安全性策略和原則,可細分 IT 小組與系統之間的孤島,讓 IT 堆棧的可見度與保護更加清楚。 原生整合的合規性解決方案,例如 Microsoft Purview 中的合規性解決方案,不僅能一起支援合規性需求和 零信任 方法,還能完全透明地執行這項作業,讓每個解決方案都能利用其他解決方案的優點,例如運用內容中敏感度卷標的通訊合規性。 整合式合規性解決方案可以提供所需的涵蓋範圍,以最少的取捨,例如電子檔探索或 DLP 解決方案以透明方式處理加密的內容。 實時可見度允許自動探索資產,包括重要資產和工作負載,而合規性授權可透過分類和敏感度標籤套用至這些資產。 實作 零信任 架構可協助您以完整的策略符合法規和合規性需求。 在 零信任 架構中使用 Microsoft Purview 解決方案,可協助您根據影響貴組織的法規,探索、控管、保護及管理組織的整個數據資產。 零信任 策略通常涉及實作符合或超過特定法規需求的控件,以減輕執行全系統變更以遵守新法規需求的負擔。 |
本文中的指引將逐步引導您瞭解如何開始使用 零信任 作為符合法規和合規性需求的架構,並強調如何與整個組織的商務領袖和小組溝通和合作。
本文使用與 Azure 雲端採用架構 相同的生命週期階段—定義策略、規劃、就緒、採用及管理,但適用於 零信任。
下表是圖例的可存取版本。
定義策略 | 計畫 | 就緒 | 採用 | 治理和管理 |
---|---|---|---|---|
組織對齊 戰略目標 結果 |
項目關係人小組 技術計劃 技能整備程度 |
評價 測試 試驗 |
以累加方式在您的數字資產中實作 | 追蹤和測量 監視和偵測 反覆運算成熟度 |
定義策略階段
定義策略階段對於定義和正規化處理此案例的「原因」工作至關重要。 在此階段中,您會透過法規、商務、IT、營運和策略觀點來瞭解案例。
接著,您可以定義在此案例中測量成功的結果,瞭解合規性是累加式和反覆的旅程。
本文建議與許多組織相關的動機和結果。 使用這些建議來根據您獨特的需求來磨練組織的策略。
瞭解企業領導者的動機
雖然 零信任 有助於簡化符合法規需求的程式,但最大的挑戰可能是從貴組織領導者獲得支持和貢獻。 此採用指引旨在協助您與其通訊,以便取得組織一致性、定義您的戰略目標,以及識別結果。
取得一致性開始,先瞭解哪些因素會激勵您的領導者,以及為什麼他們應該關心符合法規需求。 下表提供範例檢視方塊,但請務必與您每一位領導者和小組會面,並共同瞭解彼此的動機。
角色 | 為什麼符合法規需求很重要 |
---|---|
首席執行官(首席執行官) | 負責保護外部稽核機構所驗證的組織策略。 首席執行官大多向董事會報告,董事會也可能評估整個組織法規要求的合規性程度和年度稽核結果。 |
首席行銷官(CMO) | 負責確保機密公司資訊不會僅供行銷之用外部共用。 |
資訊長(CIO) | 通常是組織中的資訊官員,而且會受到信息監管者的責任。 |
首席技術官(CTO) | 負責維護數位資產內的法規合規性。 |
資訊安全長(CISO) | 負責採用和符合業界標準,以提供與資訊安全合規性直接相關的控制。 |
首席運營官(COO) | 確保與資訊安全性、數據隱私權和其他法規做法相關的公司原則和程式會維持在作業層級。 |
首席財務官(CFO) | 評估合規性的財務缺點和優點,例如網路保險和稅務合規性。 |
首席風險官(CRO) | 擁有組織內治理風險與合規性 (GRC) 架構的風險元件。 降低不符合規範和合規性的威脅。 |
組織的不同部分對於執行法規和合規性需求的工作,可能會有不同的動機和獎勵。 下表摘要說明其中一些動機。 請務必與您的項目關係人聯繫,以瞭解其動機。
區域 | 動機 |
---|---|
商務需求 | 遵守適用的法規和立法要求。 |
IT 需求 | 若要實作符合法規和合規性需求的技術,如貴組織在身分識別、數據、裝置(端點)、應用程式和基礎結構的範圍內所設定。 |
作業需求 | 實作參考並符合相關業界標準和相關合規性需求的原則、程式和工作指示。 |
策略需求 | 降低侵犯國家、地區和地方法律的風險,以及可能導致侵權的潛在財務和公共聲譽損害。 |
使用治理金字塔來通知策略
在此商務案例中,最重要的事項是,零信任 架構是建立組織內各種立法、法定、法規、政策和程式需求的較大治理模型的一部分。 在合規性和法規空間中,有許多方式可以達到相同的需求或控制。 請務必指出,本文使用 零信任 方法追求法規合規性。
通常用於法規合規性的策略模型是此處所示的治理金字塔圖。
此金字塔說明大多數組織管理資訊技術 (IT) 治理的不同層級。 從金字塔頂端到底部,這些層級是立法、標準、政策和程式,以及工作指示。
金字塔頂端代表最重要的一級立法。 在這個層面,組織之間的變化較少,因為法律廣泛適用於許多組織,雖然國家和商務特定法規只能適用於某些公司,而不是其他公司。 金字塔的基底、工作指示,代表跨組織實作的最大變化和介面區的區域。 這是一個層級,可讓組織利用技術來滿足較高層級的更重要需求。
金字塔右側提供組織合規性可能導致正面業務成果和優點的案例範例。 商務相關性會為組織建立更多治理策略的獎勵。
下表說明金字塔左側的不同治理層級如何提供右側的戰略業務優勢。
治理層級 | 策略性商務相關性和成果 |
---|---|
立法和法律,集體考慮 | 通過法律審計可以避免罰款和處罰,並建立消費者信任和品牌忠誠。 |
標準為人們提供可靠的基礎,以分享產品或服務的相同期望 | 標準透過各種行業品質控制提供質量保證。 有些認證也有網路保險權益。 |
原則和程式會記錄組織的日常功能與作業 | 許多與治理相關的手動程式可以簡化和自動化。 |
工作指示說明如何根據定義的原則和程式,在詳細步驟中執行程式 | 手動和指示檔的複雜詳細數據可以透過技術簡化。 這可大幅減少人為錯誤並節省時間。 例如,使用 Microsoft Entra 條件式存取原則作為員工上線程式的一部分。 |
治理金字塔模型可協助專注優先順序:
立法和法律要求
如果組織未遵循,組織可能會面臨嚴重反響。
產業特定和安全性標準
組織可能需要符合或通過其中一或多個標準進行認證。 零信任 架構可以對應到各種安全性、資訊安全性和基礎結構管理標準。
原則和程序
組織專屬並控管企業內更內建的程式。
工作指示
為組織提供高度技術和自定義的詳細控制,以履行原則和程式。
有數個標準會將最大價值新增至 零信任 架構的區域。 將注意力集中在下列適用於您的標準上,將會產生更多影響:
因特網 安全性中心 (CIS) 基準檢驗 為裝置管理和端點管理原則提供寶貴的指引。 CIS 基準檢驗包括 Microsoft 365 和 Microsoft Azure 的實作指南。 所有產業和垂直行業的組織都會使用 CIS 基準來協助它們達成安全性和合規性目標。 特別是那些在嚴格管制的環境中運作的人。
國家標準與技術研究所(NIST)提供 NIST 特別出版物 (NIST SP 800-63-4 ipd) 數位識別指導方針。 這些指導方針為實作數位身分識別服務的聯邦機構提供技術需求,並不適合限制在此用途之外開發或使用標準。 請務必注意,這些需求是為了增強構成 零信任 策略一部分的現有通訊協定。 政府和公共部門組織,特別是 美國 訂閱NIST,但上市公司也可以使用框架內的指導原則。 NIST 也提供在 NIST SP 1800-35 隨附的發行集中實作 零信任 架構的說明。
針對整體數據控管和資訊安全性,建議使用新修訂的 ISO 27002:2022 標準。 不過,附錄 A 控件為建立安全性控件檢查清單提供了良好的基礎,稍後可轉換成可行的目標。
ISO 27001:2022 也提供如何在資訊安全內容中實作風險管理的完整指導方針。 對於大部分入口網站和儀錶板中使用者可用的計量數目,這可能特別有用。
這類標準可以排定優先順序,為您的組織提供符合常見需求的基準原則和控件。
Microsoft 提供 Microsoft Purview 合規性管理員,協助您規劃和追蹤適用於貴組織的標準進度。 合規性管理員可以在整個合規性過程中為您提供協助,從取得資料保護風險的清查,到管理實行控制項的複雜性、維持最新的法規和認證,以及向稽核員報告。
定義策略
從合規性的觀點來看,您的組織應該根據其內部 GRC 方法來定義其策略。 如果組織未訂閱特定標準、原則或架構,則應該從合規性管理員取得評定範本。 每個作用中的 Microsoft 365 訂用帳戶都會獲派數據保護基準,以針對 零信任 部署指導方針進行對應。 此基準可讓您的實作者從合規性觀點實際實作 零信任 的起點。 這些記載的控件稍後可以轉換成可測量的目標。 這些目標應該是特定、可測量、可達成、現實和時間範圍 (SMART)。
合規性管理員中的數據保護基準範本會針對 零信任 整合 36 個動作,並符合下列控制系列:
- 零信任 應用程式
- 零信任 應用程式開發指引
- 零信任 端點
- 零信任 數據
- 零信任 身分識別
- 零信任 基礎結構
- 零信任 網路
- 零信任 可見度、自動化和協調流程
這些會與 零信任 參考架構緊密對齊,如下所示。
計劃階段
下表摘要說明許多組織可以採用四階段的方法進行這些技術活動。
階段 1 | 階段 2 | 階段3 | 階段 4 |
---|---|---|---|
識別適用於您組織的法規需求。 使用合規性管理員來識別可能會影響您業務的法規、評估這些法規所強加的高階需求的合規性,以及規劃已識別差距的補救。 檢閱適用於您組織之法規的目前指導方針。 |
使用 Microsoft Purview 中的內容總管來識別受限於法規需求的數據,並評估其風險和暴露程度。 定義自定義分類器,以根據您的業務需求調整這項功能。 評估信息保護的需求,例如數據保留和記錄管理原則,然後使用保留和敏感度標籤實作基本資訊保護和數據管理原則。 實作基本的 DLP 原則,以控制受管制資訊的流程。 如有法規需要,請實 作通訊合規性政策 。 |
使用自動化擴充數據生命週期管理原則。 如果法規需要,請使用敏感度標籤、DLP 或 資訊屏障 來設定數據分割和隔離控件。 藉由實作容器標籤、自動和強制標籤,以及更嚴格的 DLP 原則,來擴充資訊保護原則。 然後將這些原則擴充至內部部署數據、裝置(端點)和第三方雲端服務,並使用 Microsoft Purview 中的其他功能。 使用合規性管理員重新評估合規性,並識別並補救剩餘的差距。 |
使用 Microsoft Sentinel 根據統一的稽核記錄來建置報告,以持續評估和清查您資訊的合規性狀態。 持續使用合規性管理員,以識別和補救剩餘的差距,並符合新法規或更新法規的需求。 |
如果這個分段方法適用於您的組織,您可以使用:
這個 可下載的PowerPoint投影片組 ,可讓您透過這些階段和目標,呈現及追蹤商務領導者和其他專案關係人進度。 以下是此商務案例的投影片。
此 Excel 活頁簿 可指派擁有者,並追蹤這些階段、目標和其工作的進度。 以下是此商務案例的工作表。
項目關係人小組
此商務案例的利害關係人小組包含組織中投資安全性狀態且可能包含下列角色的主管:
計劃領導者和技術擁有者 | 當責 |
---|---|
贊助者 | 策略、指導、呈報、方法、業務一致性和協調管理。 |
項目潛在客戶 | 參與、資源、時程表和排程、通訊和其他項目的整體管理。 |
CISO | 數據資產和系統的保護和治理,例如風險和原則判斷和追蹤和報告。 |
IT 合規性管理員 | 判斷解決合規性和保護需求的必要控件。 |
終端使用者安全性和可用性 (EUC) 潛在客戶 | 代表您的員工。 |
調查和稽核角色 | 與合規性與保護線索合作的調查和報告。 |
信息保護管理員 | 數據分類和敏感數據識別、控件和補救。 |
架構潛在客戶 | 技術需求、架構、檢閱、決策和優先順序。 |
Microsoft 365 系統管理員 | 租用戶和環境、準備、設定、測試。 |
此採用內容的PowerPoint投影片組包含下列投影片,其中包含您可以為自己的組織自定義的項目關係人檢視。
技術計劃和技能整備程度
Microsoft 提供資源來協助您符合法規和合規性需求。 下列各節會醒目提示先前定義四個階段中特定目標的資源。
階段 1
在階段 1 中,您可以識別適用於貴組織的法規,並開始使用合規性管理員。 您也會檢閱 適用於貴組織的法規。
階段1的目標 | 資源 |
---|---|
使用治理金字塔識別合規性需求。 | 合規性管理員評定 |
使用合規性管理員來評估已識別差距的合規性和規劃補救。 | 請流覽 Microsoft Purview 合規性入口網站,並檢閱與貴組織相關的所有客戶管理改進動作。 |
檢閱適用於您組織之法規的目前指導方針。 | 請參閱下表。 |
下表列出常見的法規或標準。
法規或標準 | 資源 |
---|---|
國家標準暨技術研究院 (NIST) | 設定 Microsoft Entra ID 以符合 NIST 驗證器保證層級 |
聯邦風險與授權管理計畫 (FedRAMP) | 設定 Microsoft Entra ID 以符合 FedRAMP 高影響層級 |
網路安全性成熟度模型認證 (CMMC) | 設定 CMMC 合規性的 Microsoft Entra ID |
改善國家網路安全的行政命令(EO 14028) | 符合具有 Microsoft Entra 識別符的備忘錄 22-09 身分識別需求 |
1996 年健康保險流通與責任法案 (HIPAA) | 設定 HIPAA 合規性的 Microsoft Entra 識別碼 |
支付卡產業安全標準委員會 (PCI SSC) | Microsoft Entra PCI-DSS 指引 |
金融服務法規 | 美國銀行和資本市場的主要合規性和安全性考慮
|
北美洲 電力可靠性公司(NERC) | 能源產業的重要合規性和安全性考慮 |
階段 2
在階段 2 中,您會開始實作尚未就緒之數據的控件。 規劃及部署資訊保護控件的更多指引位於識別和保護敏感性商務數據 零信任 採用指南中。
第 2 階段的目標 | 資源 |
---|---|
使用內容總管來識別受管制的數據。 | 開始使用內容總管 內容總管可協助您檢閱目前受管制數據的曝光,並評估其合規性,以聽寫其必須儲存的位置,以及如何加以保護。 建立自定義敏感性信息類型 |
使用保留和敏感度標籤實作基本數據控管和資訊保護原則。 | 瞭解保留原則和標籤以保留或刪除 深入了解敏感度標籤 |
確認您的 DLP 和加密原則。 | Purview 數據外洩防護 使用 敏感度標籤進行加密 Office 365 加密 |
實作通訊原則(如果適用的話)。 | 建立和管理通訊合規性原則 |
階段 3
在階段 3 中,您會開始將數據控管原則自動化以進行保留和刪除,包括使用調適型範圍。
此階段包含實作隔離和隔離的控件。 例如,NIST 規定,如果這些專案與 美國 政府的特定分類工作類型相關,則會在隔離的環境中裝載專案。 在某些情況下,金融服務法規需要分割環境,以防止不同業務部分的員工彼此通訊。
階段3的目標 | 資源 |
---|---|
使用自動化擴充數據生命週期管理原則。 | 數據生命週期管理 |
設定數據分割和隔離控件(如果適用的話)。 | 資訊屏障 數據外洩防護 跨租使用者存取 |
將資訊保護原則擴充至其他工作負載。 | 了解資訊保護掃描器 針對非 Microsoft 雲端應用程式使用資料外洩防護原則 數據外洩防護和 Microsoft Teams 使用端點數據外洩防護 使用敏感度標籤來保護 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站中的內容 |
使用合規性管理員重新評估合規性。 | 合規性管理員 |
階段 4
第 4 階段的目標是要透過持續評估資產合規性到適用法規和標準的動作,來運作此案例。
階段 4 的目標 | 資源 |
---|---|
持續評估和清查資源的合規性狀態。 | 本文已識別出每個必要工具,並針對此目標,您可以形成可重複的反覆程式,以持續監視數位資產內的資源和資產。 在合規性入口網站中搜尋稽核記錄 |
使用 Microsoft Sentinel 建置報告來測量合規性。 | 使用 Microsoft Sentinel 根據整合稽核記錄來建置報告,以評估及測量合規性,並示範控件的有效性。 Azure 中的 Log Analytics |
利用合規性管理員來識別並補救新的間距。 | 合規性管理員 |
就緒階段
大部分的合規性工作都是透過原則強制執行進行。 您可以判斷必須符合哪些條件才能達到合規性,然後建立原則或原則集,以自動化一組控件。 使用 零信任 強制執行原則會為所實作的特定合規性控制建立可重複的驗證。 藉由將控件建置到組織每天與其互動的作業技術中,就成為達成稽核整備度更簡單的工作。
在 [就緒 ] 階段中,您會評估、測試及試驗目標的原則,以確保這些活動能達到預期的結果。 請確定這些不會帶來新的風險。 在此 零信任 商務案例中,請務必與實作訪問控制、數據保護和其他基礎結構保護的利害關係人合作。 例如,評估、測試和試驗原則以啟用遠端和混合式工作的建議,與識別和保護數位資產中敏感數據的建議不同。
範例控件
每個 零信任 要素都可以對應至法規或標準架構內的特定控件。
範例 1
身分識別 零信任 會對應至因特網安全性中心 (CIS)) 基準內的 存取控制 管理,並對應至 ISO 27001:2022 中的附錄 A.9.2.2 使用者存取布建。
在此圖中,存取控制 管理定義於 ISO 27001 需求標準的附錄 9.2.2:使用者存取布建中。 本節的需求是透過要求多重要素驗證來滿足。
每個控件的執行,例如強制執行條件式存取原則,對每個組織而言都是獨一無二的。 貴組織的風險配置檔以及資產清查應建立精確的介面區和實作範圍。
範例 2
零信任 架構與業界標準之間較明顯的相互關聯之一,包括信息分類。 ISO 27001 的附錄 8.2.1 規定:
- 信息必須根據法律需求、價值、關鍵性和敏感性來分類,以反映任何未經授權的洩漏或修改,最好分類以反映商務活動,而不是抑制或使它複雜化。
在此圖表中,Microsoft Purview 數據分類服務可用來定義敏感度標籤,並將敏感度標籤套用至電子郵件、文件和結構化數據。
範例 3
附錄 8.1.1 在 ISO 27001:2022(資產清查)中,要求「任何與資訊和資訊處理設施相關的資產都必須在生命周期內識別和管理,且一律為最新狀態」。
透過實作 Intune 裝置管理,即可達成此控制需求。 這項需求會清楚說明庫存,並針對已定義的公司或產業原則報告每個裝置的合規性狀態。
針對此控制需求,您可以使用 Microsoft Intune 來管理裝置,包括設定合規性政策,根據您設定的原則報告裝置的合規性。 您也可以使用條件式存取原則,在驗證和授權程序期間要求裝置合規性。
範例 4
已對應至業界標準的 零信任 支柱最全面的範例是威脅情報和事件回應。 整個 Microsoft Defender 和 Microsoft Sentinel 產品廣度在此案例中都適用,以提供威脅情報和即時事件回應的深入分析和執行。
在此圖表中,Microsoft Sentinel 與 Microsoft Defender 工具一起提供威脅情報。
採用階段
在採用階段中,您可以累加實作整個數位資產的技術計劃。 您必須依區域分類技術計劃,並與對應的小組合作來完成此階段。
針對身分識別和裝置存取,請採取分段方法,從少數使用者和裝置開始,然後逐漸增加部署以包含完整環境。 這在安全遠端和混合式工作採用案例中說明。 以下是範例。
保護數據的採用牽涉到階層式的工作和反覆執行,以確保您所建立的原則會針對您的環境適當磨練。 這在識別及保護機密商務數據採用案例中說明。 以下是範例。
治理和管理
符合法規和合規性需求是一個持續的過程。 當您轉換至此階段時,請移至追蹤和監視。 Microsoft 提供一些工具來協助。
您可以使用內容總管來監視組織合規性的狀態。 針對數據分類,內容總管會提供組織內敏感性資訊橫向和散佈的檢視。 從可訓練分類器到不同類型的敏感數據,無論是透過調適型範圍還是手動建立的敏感度標籤,您的系統管理員都可以看到指定的敏感度架構是否在整個組織中正確套用。 這也是識別敏感性資訊在 Exchange、SharePoint 和 OneDrive 中持續共用特定風險區域的機會。 以下是範例。
藉由使用 Microsoft Purview 合規性入口網站 內更大的報告功能,您可以建立和量化合規性的宏檢視。 以下是範例。
相同的思維和程式可以套用至 Azure。 使用 適用於雲端的 Defender 法規合規性來判斷合規性分數,類似於 Purview 合規性管理員中提供的相同分數。 分數符合各種產業垂直的多個法規標準和架構。 貴組織必須瞭解這些法規標準和架構適用於分數的哪一個。 此儀錶板所提供的狀態會顯示一個常數的即時評量,以透過每個標準進行通過與失敗的評量。 以下是範例。
Purview 儀錶板提供廣泛的評量,可協助通知業務主管,並用於部門報告,例如每季檢閱。 在更操作的注意事項中,您可以建立Log Analytics工作區來整合稽核記錄數據,藉此運用 Microsoft Sentinel。 此工作區可以連線到您的 Microsoft 365 數據,並提供用戶活動的深入解析。 以下是範例。
此數據是可自定義的,並可與其他儀錶板搭配使用,以將法規需求與貴組織策略、風險配置檔、目標和目標特別相符的內容化。
後續步驟
進度追蹤資源
針對任何 零信任 商務案例,您可以使用下列進度追蹤資源。
進度追蹤資源 | 這有助於您... | 設計用途 |
---|---|---|
採用案例方案階段方格可 下載的 Visio 檔案 或 PDF |
輕鬆瞭解每個商務案例的安全性增強功能,以及規劃階段階段和目標的工作層級。 | 商務案例項目負責人、商務領導者和其他項目關係人。 |
零信任 採用追蹤器可下載的PowerPoint投影片組 |
透過計畫階段和目標追蹤進度。 | 商務案例項目負責人、商務領導者和其他項目關係人。 |
商務案例目標和工作可下載的 Excel 活頁簿 |
指派擁有權並追蹤進度,並完成計劃階段的階段、目標和工作。 | 商務案例專案潛在客戶、IT 潛在客戶和IT實作者。 |
如需其他資源,請參閱 零信任 評量和進度追蹤資源。