Erstellen eines gut durchdachten Datenklassifizierungsframeworks
Berücksichtigen Sie bei der Entwicklung, Überarbeitung oder Optimierung Ihres Datenklassifizierungsframeworks die folgenden führenden Methoden:
Gehen Sie nicht von 0 bis 100 an Tag 1 aus: Microsoft empfiehlt einen Durchforstungs-Walk-Run-Ansatz, bei dem die für die Organisation wichtigen Features priorisiert und einer Zeitachse zugeordnet werden. Führen Sie den ersten Schritt aus, stellen Sie sicher, dass er erfolgreich war, und fahren Sie dann mit der nächsten Phase fort, in der die gelernten Lektionen angewendet werden. Denken Sie daran, dass Ihre Organisation beim Entwerfen des Datenklassifizierungsframeworks möglicherweise weiterhin Risiken ausgesetzt ist. Daher ist es in Ordnung, mit nur wenigen Klassifizierungsstufen klein zu beginnen und später nach Bedarf zu erweitern.
Sie schreiben nicht nur für Cybersicherheitsexperten: Datenklassifizierungsframeworks sind für ein breites Publikum gedacht, einschließlich Ihres durchschnittlichen Mitarbeiters, Ihrer Rechts- und Complianceteams und Ihres IT-Teams. Es ist wichtig, klare, leicht verständliche Definitionen für Ihre Datenklassifizierungsebenen zu schreiben, wo immer möglich reale Beispiele bereitgestellt werden. Versuchen Sie, Jargon zu vermeiden und betrachten Sie ein Glossar für Akronymen und hochtechnische Begriffe. Verwenden Sie z. B. "Persönlich identifizierbare Informationen", und geben Sie eine Definition an, anstatt einfach nur "PERSONENBEZOGENE Informationen" zu sagen.
Datenklassifizierungsframeworks sollen implementiert werden: Damit Datenklassifizierungsframeworks erfolgreich sind, müssen sie implementiert werden. Dies ist besonders relevant bei der Erstellung der Kontrollanforderungen für jede Datenklassifizierungsstufe. Stellen Sie sicher, dass die Anforderungen klar definiert sind und dass sie alle Unklarheiten, die während der Implementierung auftreten können, antizipieren und beheben. Wenn Sie beispielsweise über ein Steuerelement für personenbezogene Informationen verfügen, stellen Sie sicher, dass Sie genau festlegen, was dieses Steuerelement bedeutet, z. B. Sozialversicherungs- oder Reisepassnummer.
Gehen Sie nur granular, wenn Sie dies benötigen: Datenklassifizierungsframeworks enthalten in der Regel eine beliebige Stelle von 3 bis 5 Datenklassifizierungsebenen. Aber nur weil Sie fünf Ebenen einschließen können , bedeutet dies nicht, dass Sie dies tun sollten. Berücksichtigen Sie bei der Entscheidung über die Anzahl der benötigten Klassifizierungsstufen die folgenden Kriterien:
- Ihre Branche und Ihre damit verbundenen regulatorischen Verpflichtungen (stark regulierte Branchen benötigen in der Regel mehr Klassifizierungsstufen)
- Der für die Aufrechterhaltung eines komplexeren Frameworks erforderliche Betriebsaufwand
- Ihre Benutzer und ihre Fähigkeit, die erhöhte Komplexität und Nuance im Zusammenhang mit mehr Klassifizierungsstufen einzuhalten
- Benutzerfreundlichkeit und Barrierefreiheit bei der Suche nach manueller Klassifizierung über mehrere Gerätetypen hinweg
Holen Sie sich die richtigen Personen: Ein senior Stakeholder zu haben, ist entscheidend für den Erfolg, da viele Projekte schwierigkeiten, ohne Geschäftsleitungszurückhaltung zu beginnen oder länger zu dauern. Datenklassifizierungsframeworks befinden sich in der Regel im Besitz von Informationstechnologieteams, haben aber möglicherweise rechtliche, Compliance-, Datenschutz- und Change Management-Auswirkungen. Um sicherzustellen, dass Sie ein Framework erstellen, das Zum Schutz Ihres Unternehmens beiträgt, sollten Sie bei der Entwicklung Ihrer Richtlinie datenschutzrechtliche und rechtliche Interessengruppen wie Ihren Chief Privacy Officer und das Office of General Counsel einbeziehen. Wenn Ihre Organisation über eine Complianceabteilung, Informationsgovernance-Experten oder ein Datensatzverwaltungsteam verfügt, kann sie auch wertvollen Input haben. Da Ihr Framework für das Unternehmen eingeführt wird, spielt Ihre Kommunikationsabteilung auch eine Schlüsselrolle für internes Messaging und die Einführung.
Balance zwischen Sicherheit und Komfort: Ein häufiger Fehler besteht darin, ein sicheres, aber zu restriktives Datenklassifizierungsframework zu entwerfen. Dieses Framework wurde möglicherweise unter Berücksichtigung der Sicherheit entworfen, ist aber in der Praxis oft schwierig zu implementieren. Wenn Benutzer komplexe, starre und zeitaufwendige Verfahren befolgen müssen, um das Framework in ihrem täglichen Leben anzuwenden, besteht immer das Risiko, dass sie nicht mehr an ihren Wert glauben und schließlich nicht mehr den Verfahren folgen. Dieses Risiko besteht auf allen Ebenen der Organisation, einschließlich Managern auf Führungsebene (C-Suite) innerhalb der Organisation. Ein gutes Gleichgewicht zwischen Sicherheit und Komfort zusammen mit benutzerfreundlichen Tools führt in der Regel zu einer breiteren Benutzerakzeptanz und -verwendung. Wenn es Lücken in Ihrem Framework gibt, warten Sie nicht, bis alles perfekt ist, um mit der Implementierung zu beginnen. Bewerten Sie stattdessen das Risiko oder die Lücke, erstellen Sie einen Plan zur Entschärfung, und setzen Sie den Fortschritt fort. Denken Sie daran, dass der Informationsschutz eine Reise ist, es ist nicht etwas, das über Nacht aktiviert und dann erledigt wird. Planen, implementieren Sie einige Funktionen, bestätigen Sie den Erfolg, und durchlaufen Sie den nächsten Meilenstein, wenn sich die Tools weiterentwickeln und Benutzer Reife und Erfahrung gewinnen.
Denken Sie auch daran, dass ein Datenklassifizierungsframework nur darauf zutrifft , was Ihre Organisation zum Schutz vertraulicher Daten tun sollte. Datenklassifizierungsframeworks werden häufig von Regeln für die Datenverarbeitung oder Richtlinien begleitet, die definieren, wie diese Richtlinien aus technischer und technischer Sicht umgesetzt werden. In den folgenden Abschnitten wenden wir uns einigen praktischen Anleitungen an, wie Sie Ihr Datenklassifizierungsframework von einem Richtliniendokument zu einer vollständig implementierten und umsetzbaren Initiative machen.
Probleme beim Erstellen eines Datenklassifizierungsframeworks
Die Datenklassifizierungsbemühungen sind von Natur aus weit reichend und berühren fast jede Geschäftsfunktion innerhalb eines Unternehmens. Aufgrund dieses breiten Umfangs und der Komplexität der Verwaltung von Inhalten in modernen digitalen Umgebungen stehen Unternehmen häufig vor Herausforderungen, zu wissen, wo sie beginnen, wie sie eine erfolgreiche Implementierung verwalten und wie sie ihren Fortschritt messen können. Häufige Schwachstellen sind häufig:
- Entwerfen eines robusten und leicht verständlichen Datenklassifizierungsframeworks, einschließlich der Bestimmung von Klassifizierungsstufen und zugehörigen Sicherheitskontrollen.
- Entwickeln eines Implementierungsplans, der die Bestätigung der geeigneten Technologielösung, die Ausrichtung des Plans an bestehende Geschäftsprozesse und die Ermittlung der Auswirkungen auf die Mitarbeiter umfasst.
- Einrichten eines Datenklassifizierungsframeworks innerhalb der ausgewählten Technologielösung und Beheben etwaiger Lücken zwischen den Technologiefunktionen des Tools und dem Framework selbst.
- Schaffung einer Governancestruktur, die die laufende Wartung und Integrität der Datenklassifizierungsbemühungen überwacht.
- Identifizieren bestimmter Key Performance Indicators (KPIs) zur Überwachung und Messung des Fortschritts.
- Das Bewusstsein und das Verständnis von Datenklassifizierungsrichtlinien zu erhöhen, warum sie wichtig sind und wie sie eingehalten werden können.
- Einhaltung interner Auditüberprüfungen, die auf Datenverlust und Cybersicherheitskontrollen abzielen.
- Schulung und Einbindung der Benutzer, damit sie sich der Notwendigkeit einer korrekten Klassifizierung in ihrer täglichen Arbeit bewusst werden und die richtigen Klassifizierungsmaßnahmen anwenden.
Change Management und Schulung
Organisationen verwenden heute Tools wie Microsoft 365, um ihr Datenklassifizierungsframework zu implementieren. Der Zweck besteht darin, zu versuchen, die Klassifizierung von Daten zu automatisieren und die Belastung Ihrer Mitarbeiter nicht zu erhöhen. Diese Struktur bedeutet nicht, dass Ihre Organisation keine Verantwortung hat, das Bewusstsein für die Notwendigkeit zu erhöhen, Inhalte zu verwalten und die Organisation vor den in diesem Dokument erläuterten Risiken zu schützen. Die führende Praxis besteht weiterhin darin, Sensibilisierungsschulungen in der gesamten Organisation im Rahmen des jährlichen Schulungsplans durchzuführen. Unsere Erfahrung zeigt, dass das Einsetzen robuster und umfassender Anstrengungen in die Schulung Ihrer Benutzer, die das wichtigste Publikum sind, das diese Arbeit ausführt, ihre "Buy-In" zu den Anstrengungen erhöht und die Akzeptanz und Qualität erhöhen kann. Das Hinzufügen von Bezeichnungsempfehlungen und In-App-Tipps kann diese Bemühungen verstärken. Diese Schulung muss kein umfangreicher eigenständiger Kurs sein. Ihre Organisation kann sie in andere regelmäßige Schulungen wie ihre jährliche Schulung zur Informationssicherheit integrieren und dann eine Übersicht über Die Datenklassifizierungsstufen und -definitionen enthalten. Der Hauptpunkt ist, dass Ihre Mitarbeiter das Verständnis haben, dass das Tool zwar die Klassifizierung von Daten automatisiert, aber nicht die Gesamtverantwortung jedes Benutzers für den Schutz der Daten gemäß Ihrer Unternehmensrichtlinie beseitigt.
Darüber hinaus sollten Sie eine ausführlichere Schulung für IT- und Informationssicherheitsteams in Betracht ziehen, um die Betriebsbereitschaft zu stärken. Die Teams, die das Tool und das Datenklassifizierungsframework verwalten, müssen sich auf derselben Seite befinden. Diese Koordinierung erfordert möglicherweise, dass Sie in einen robusteren Schulungsplan investieren, der häufiger als jährlich sein kann. Investitionen in häufigere Schulungen stellen eine weitere Möglichkeit dar, risiken für Ihre Organisation zu verringern. Dieses Team ist für die Implementierung verantwortlich und könnte daher ein Fehlerpunkt sein, wenn es nicht auf das Tool und die Richtlinie trainiert wird.
Wenn Sie Inhalte im Tool manuell markieren müssen, ist die Entwicklung einer Gruppe von Superbenutzern, die eine erweiterte Schulung erhalten haben, angemessen. Diese Superbenutzer wären in Situationen eingebunden, in denen Benutzer Dokumente manuell mit Datensensibilitätsbezeichnungen kennzeichnen müssen und über ein tiefes Verständnis des Datenklassifizierungsframeworks und der gesetzlichen Anforderungen Ihrer Organisation verfügen.
Schließlich sollte Ihre Führung die Förderung von Informationssicherheitsverhalten priorisieren, um den Mitarbeitern die Bedeutung von Risikomanagementinitiativen zu stärken. Dazu gehören die Entwicklung und Implementierung eines robusten Datenklassifizierungsrahmens und die Zuweisung wichtiger Führungskräfte zur Förderung der Initiative, die manchmal als Botschafter oder Champions des Wandels bezeichnet werden.
Governance und Wartung
Nachdem Sie Ihr Datenklassifizierungsframework entwickelt und implementiert haben, sind fortlaufende Governance und Wartung entscheidend für Ihren Erfolg. Zusätzlich zur Nachverfolgung, wie Vertraulichkeitsbezeichnungen in der Praxis verwendet werden, müssen Sie Ihre Kontrollanforderungen basierend auf Änderungen der Vorschriften, führenden Praktiken der Cybersicherheit und der Art der von Ihnen verwalteten Inhalte aktualisieren. Governance- und Wartungsanstrengungen können Folgendes umfassen:
- Einrichtung eines Governance-Gremiums, das der Datenklassifizierung gewidmet ist, oder Hinzufügen einer Datenklassifizierungsverantwortung zur Charta einer vorhandenen Informationssicherheitsstelle.
- Definieren von Rollen und Zuständigkeiten für Benutzer, die die Datenklassifizierung überwachen.
- Einrichten von KPIs zum Überwachen und Messen des Fortschritts.
- Nachverfolgen führender Praktiken und regulatorischer Änderungen im Bereich Cybersicherheit.
- Entwickeln von Standardbetriebsverfahren, die ein Datenklassifizierungsframework unterstützen und erzwingen.
Überlegungen zur Branche
Während die Grundprinzipien für die Entwicklung eines starken Datenklassifizierungsframeworks universell sind, hängen die Details Ihres Frameworks von der Art Ihrer Branche und den einzigartigen Compliance- und Sicherheitsfaktoren ab, die Ihre Daten erfordern.
Beispielsweise müssen Finanzdienstleistungsunternehmen möglicherweise die Einhaltung mehrerer gesetzlicher Rahmenbedingungen in Betracht ziehen, je nach Umfang ihres Unternehmens und den Regionen, in denen sie tätig sind. Wertpapierfirmen in der USA müssen kontorechtliche Vorschriften wie sec Rule 17a-4(f) oder FINRA Rule 4511 einhalten, die anforderungen rund um die Sicherheit und Aufbewahrung von Büchern und Datensätzen erfüllen. Ebenso müssen unternehmen, die im Vereinigten Königreich tätig sind, die FCA-Compliance berücksichtigen.
Regierungsbehörden stehen verschiedenen Vorschriften für ihre Daten gegenüber, die je nach Gebiet und Art ihrer Arbeit variieren. In der USA unterliegen z. B. Regierungsbehörden und deren Vertreter, die auf Steuerinformationen des Bundes (FTI) zugreifen, IRS 1075, der darauf abzielt, das Risiko von Verlust, Verletzung oder Missbrauch von Bundessteuerinformationen zu minimieren.
Finanzdienstleistungsunternehmen und Regierungsbehörden gehören zwar zu den am stärksten regulierten Organisationen der Welt, die meisten Unternehmen haben jedoch branchenspezifische Überlegungen, die berücksichtigt werden müssen. Beispiele:
- Organisationen der Gesundheitsbranche stellen die Einhaltung von HIPAA sicher.
- Bildungseinrichtungen, von K-12-Schulen bis zu Universitäten, verwalten FERPA-Compliance.
- Arzneimittelhersteller, die sich an die GxP-Richtlinien in ihrem Land oder ihrer Region im Bereich der Informationssicherheit halten.
- Medien, Einzelhandel und viele andere Unternehmen, die sich mit der DSGVO-Compliance beschäftigen.
- Bereitstellung und Speicherung von Unterhaltungs-, Software- und Informationsinhalten im Umgang mit CDSA.
- Informationssicherheit der Energiebranche gemäß NERC CIP-Standard.
Implementieren Ihres Datenklassifizierungsframeworks in Microsoft 365
Nachdem Sie Ihr Datenklassifizierungsframework entwickelt haben, besteht der nächste Schritt in der Implementierung. Die Microsoft Purview-Complianceportal ermöglicht Es Administratoren, ihre Daten in Übereinstimmung mit ihrem Datenklassifizierungsframework zu ermitteln, zu klassifizieren, zu überprüfen und zu überwachen. Vertraulichkeitsbezeichnungen können verwendet werden, um Ihre Daten zu schützen, indem verschiedene Schutzmaßnahmen wie Verschlüsselung und Inhaltskennzeichnung erzwungen werden. Sie können manuell auf Daten angewendet werden; standardmäßig basierend auf Richtlinieneinstellungen; oder automatisch als Ergebnis einer Bedingung, z. B. identifizierter PERSONENBEZOGENER Daten.
Für kleinere Organisationen oder Organisationen mit einem relativ optimierten Datenklassifizierungsframework kann das Erstellen einer einzelnen Vertraulichkeitsbezeichnung für jede Ihrer Datenklassifizierungsstufen ausreichen. Das folgende Beispiel zeigt eine 1:1-Datenklassifizierungsstufe zur Zuordnung von Vertraulichkeitsbezeichnungen:
| Klassifizierungsbezeichnung | Vertraulichkeitsbezeichnung | Bezeichnungseinstellungen | Veröffentlicht in |
|---|---|---|---|
| Uneingeschränkte | Uneingeschränkte | Anwenden der Fußzeile "Uneingeschränkt" | Alle Benutzer |
| Allgemein | Allgemein | Anwenden der Fußzeile "Allgemein" | Alle Benutzer |
Tipp
Während eines internen Microsoft-Pilotprojekts zum Schutz von Informationen gab es Schwierigkeiten beim Verständnis und bei der Verwendung der Bezeichnung "Persönlich". Die Benutzer waren verwirrt, ob dies PII bedeutete oder nur mit einer persönlichen Angelegenheit verbunden war. Die Bezeichnung wurde in "nicht geschäftlich" geändert, um klarer zu sein. Dieses Beispiel zeigt, dass die Taxonomie von Anfang an nicht perfekt sein muss. Beginnen Sie mit dem, was Sie für richtig halten, testen Sie es, und passen Sie die Bezeichnung bei Bedarf basierend auf Feedback an.
Für größere Organisationen mit einer globalen Reichweite oder komplexeren Anforderungen an die Informationssicherheit ist diese 1:1-Beziehung zwischen der Anzahl der Klassifizierungsstufen in Ihrer Richtlinie und der Anzahl der Vertraulichkeitsbezeichnungen in Ihrer Microsoft 365-Umgebung möglicherweise eine Herausforderung. Diese Herausforderung gilt insbesondere in globalen Organisationen, in denen eine bestimmte Datenklassifizierungsstufe wie "Eingeschränkt" je nach Region eine andere Definition oder einen anderen Satz von Steuerelementen aufweisen kann.
Weitere Informationen zur Implementierung finden Sie unter Grundlegendes zur Datenklassifizierung und Informationen zu Vertraulichkeitsbezeichnungen.