5 zasad dobrego wdrożenia usługi Azure Information Protection

Na co zwrócić uwagę przy wdrażaniu klasyfikacji informacji? Które etykiety wybrać? Oto 5 wskazówek, które ułatwią wdrożenie usługi Azure Information Protection.
aip implementation tips

Podczas wdrażania mechanizmów bezpieczeństwa informacji, na przykład gdy ma miejsce wdrożenie AiP, należy wziąć pod uwagę wiele aspektów technicznych i ludzkich. Niewłaściwe planowanie wdrożenia może powodować zarówno problemy techniczne, jak i niewłaściwe stosowanie nowych mechanizmów. W obu sytuacjach wdrożenie nie powiedzie się, a Twoje informacje pozostaną niezabezpieczone.

Poniżej znajduje się pięć wskazówek, które zdecydowanie pomogą ci zaplanować proces wdrażania. Są szablonem postępowania, który musisz oczywiście dostosować do swojej organizacji, specyfiki biznesowej i użytkowników.

Stwórz odpowiedni zestaw etykiet początkowych

Bardzo ważne jest wybieranie znormalizowanych i przystępnych etykiet. Użytkownicy biznesowi powinni rozumieć znaczenie etykiet i móc z nich korzystać w naturalny sposób.

for example:

  1. Osobiste

    Dane niezwiązane z działalnością biznesową, wyłącznie do użytku osobistego

  2. Publiczne

    Dane biznesowe, które są specjalnie przygotowane i zatwierdzone do publicznego użycia. Na przykład broszura dla zespołu.

  3. Domyślne (etykieta domyślna)

    Dane biznesowe, które nie są przeznaczone do publicznego spożycia. W razie potrzeby można to jednak udostępnić partnerom zewnętrznym. Przykłady obejmują wewnętrzny spis telefonów firmy, schematy organizacyjne, standardy wewnętrzne i większość komunikacji wewnętrznej.

  4. Poufne

    Wrażliwe dane biznesowe, które mogą być szkodliwe dla firmy, jeśli zostaną udostępnione osobom nieupoważnionym. Przykłady obejmują umowy, raporty bezpieczeństwa, podsumowania prognoz finansowych i dane kont sprzedaży

  5. Wysoce poufne

    Bardzo wrażliwe dane biznesowe, które mogłyby spowodować szkody dla firmy, gdyby zostały udostępnione nieupoważnionym osobom. Przykłady obejmują informacje o pracownikach i klientach, hasła, kod źródłowy i wcześniej ogłoszone raporty finansowe.

Utwórz etykiety podrzędne dla kluczowych działów

Na przykład:

dla klasyfikacji Poufne , etykietami podrzędnymi mogą być:

  • Dodatkowy personel

  • Pracownicy etatowi

    Dane sklasyfikowane jako poufne przeznaczone dla wszystkich pracowników zatrudnionych w pełnym wymiarze godzin. Goście biznesowi są wykluczeni z tego zakresu

  • Zasoby ludzkie

  • Dział Prawny

    Dane sklasyfikowane jako Poufne, przeznaczone dla uzytkowników pełniących funkcje kierownicze związane z prawem

  • Dział Finansowy

    Dane sklasyfikowane jako poufne przeznaczone dla ról kierowniczych związanych z finansami

and

dla etykiety Wysoce poufne etykietami podrzędnymi mogą być:

  • Dodatkowy personel

  • Pracownicy etatowi

    Dane sklasyfikowane jako poufne przeznaczone dla wszystkich pracowników zatrudnionych w pełnym wymiarze godzin. Goście biznesowi są wykluczeni z tego zakresu

  • Projekt X

    Specjalny projekt zatwierdzony przez liderów. Nie udostępniaj nazwy tego projektu innym osobom. Skontaktuj się z Jane Doe, aby uzyskać szczegółowe informacje

  • Zasoby ludzkie

  • Dział Prawny

    Dane sklasyfikowane jako Poufne, przeznaczone przeznaczone dla uzytkowników pełniących funkcje kierownicze związane z prawem

  • Dział finansowy

    Dane sklasyfikowane jako poufne przeznaczone dla ról kierowniczych związanych z finansami

Twórz zakresowe zasady dla wyspecjalizowanych zespołów

Lista globalnych etykiet może i powinna być taka sama dla wszystkich pracowników. Możesz zmieniać i dostosowywać tylko listy pod-etykiet. Dla poszczególnych etykiet mogą byc definiowane różne uprawnienia oraz różne polityki.

Zachęcaj do właściwego zachowania użytkownika

Istnieją cztery podejścia do klasyfikacji danych

  • Automatyczne

    Podczas klasyfikowania informacji i stosowania etykiet zgodnie z regułami automatycznymi. Automatyczna klasyfikacja jest dobra, ale nie należy oczekiwać, że rozwiąże ona wszystkie nasze problemy. Opiera się na prostych zasadach i nie należy oczekiwać od niej zbyt wiele.

  • Rekomendowane

    Gdy zalecasz użycie jakiejś klasyfikacji informacji

  • Ponowna klasyfikacja

    Gdy zezwalasz użytkownikom na zmianę klasyfikacji

  • Ręczna

    Gdy oczekujesz od użytkowników ręcznej klasyfikacji. Jeśli ufasz, że użytkownicy zrobią to dobrze, będą pamiętać i wierzysz, że dobrze rozumieją, co robią i w jakim celu

Najlepsze wyniki uzyskuje się, stosując zalecaną klasyfikację wraz z możliwością jej zmiany. Warto również zapytać użytkownika o przyczynę zmiany. Zmusza to użytkowników do przemyślenia i świadomego podjęcia decyzji o zmianie.

Bazowanie wyłącznie na klasyfikaji ręcznej, może doprowadzić do sytuacji gdzie nie bedzie ona wykorzystywana.

Automatyczna klasyfikacja jest dobrym mechanizmem inicjującym proces klasyfikacji danych, jednak cały mechanizm bezpieczeństwa informacji nie powinien się na nim opierać.

Zabezpiecz komunikację e-mail

Użyj klasyfikacji informacji w komunikacji e-mail. Możesz określać uprawnienia do informacji wysyłanych e-mailem. Będziesz także mieć kontrolę nad dalszym przesyłaniem i kopiowaniem wiadomości.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

seven − six =