Планирование управления внутренними рисками
Перед началом работы организации с управлением внутренними рисками необходимо выполнить важные действия по планированию. Затем ее команды по информационным технологиям (ИТ) и управлению соответствием требованиям должны рассмотреть эти действия и рекомендации. Тщательное понимание и планирование развертывания управления внутренними рисками помогает организациям обеспечить бесперебойную реализацию и соответствие рекомендациям решения.
Дополнительные сведения. Чтобы получить дополнительные сведения и обзор процесса планирования для решения рискованных действий в организации, перейдите по следующей ссылке, чтобы скачать статью: Запуск программы управления внутренними рисками.
Дополнительный просмотр. Дополнительные сведения об управлении внутренними рисками см. в следующих коротких видео:
- Управление внутренними рисками. В этом четырехминутном видео рассматривается рабочий процесс управления внутренними рисками. Он анализирует, как рабочий процесс может помочь организации предотвращать, обнаруживать и сдерживает риски, при этом приоритизируя ценности, культуру и пользовательский интерфейс компании.
- Microsoft Mechanics. В этом 14-минутном видео рассказывается, как совместно работают управление внутренними рисками и соответствие требованиям к обмену данными. В нем особое внимание уделяется тому, как они помогают свести к минимуму риски для данных, связанные с пользователями в организации.
Работа с заинтересованными лицами в организации
Организация должна определить соответствующих заинтересованных лиц, которые она назначает своей группе управления внутренними рисками.
- Он должен назначить определенным членам команды ответственность за принятие действий в отношении оповещений и случаев управления внутренними рисками.
- Другие заинтересованные лица должны нести ответственность за первоначальное планирование и комплексный рабочий процесс управления внутренними рисками. Эти заинтересованные лица обычно являются людьми из следующих областей организации:
- IT
- Соответствие требованиям
- Конфиденциальность
- Безопасность
- Управление персоналом
- Юридические аспекты
Определение региональных требований к соответствию
Различные географические и организационные области могут иметь требования к соответствию и конфиденциальности, которые отличаются от других областей организации. Работайте с заинтересованными лицами в этих областях, чтобы убедиться, что они понимают следующее:
- Контроль соответствия требованиям и конфиденциальности в управлении внутренними рисками.
- Как различные области организации должны использовать эти элементы управления.
В некоторых сценариях требования к соответствию и конфиденциальности могут требовать политики, которые определяют или ограничивают некоторых заинтересованных лиц в расследовании и случаях. Организация может основывать эти требования на случае пользователя или нормативных требованиях или требованиях политики для данной области.
Если организация требует, чтобы определенные заинтересованные лица работали в расследовании случаев, ей может потребоваться реализовать отдельные политики управления внутренними рисками. Эти политики будут ориентированы на пользователей в определенных регионах, ролях или подразделениях, даже если они идентичны. Такой подход позволяет организации привлекать необходимых заинтересованных лиц для каждого конкретного случая, а также обеспечивать адаптацию политик с учетом уникальных потребностей каждой группы. Такая конфигурация обеспечивает эффективное рассмотрение и управление делами, которые соответствующие заинтересованные лица могут определить как относящиеся к их ролям и регионам.
Планирование рабочего процесса проверки и исследования
Организации, которые хотят управлять политиками управления внутренними рисками и оповещениями, должны назначать пользователей определенным группам ролей для управления различными наборами функций управления внутренними рисками. Например:
- Он может назначать пользователей с различными обязанностями по соответствию определенным группам ролей для управления разными областями функций управления внутренними рисками.
- Он также может назначать все учетные записи пользователей для назначенных администраторов, аналитиков, следователей и зрителей группе ролей Управление внутренними рисками .
Организации должны использовать одну или несколько групп ролей, чтобы наилучшим образом соответствовать ее требованиям управления соответствием. Они могут выбрать один из вариантов группы ролей и действий решения в следующей таблице при работе с управлением внутренними рисками.
| Действия | Управление внутренними рисками | Управление внутренними рисками Администратор | Аналитики по управлению внутренними рисками | Исследователи управления внутренними рисками | Аудиторы по управлению внутренними рисками |
|---|---|---|---|---|---|
| Настройка политик и параметров | Да | Да | Нет | Нет | Нет |
| Доступ к аналитике | Да | Да | Да | Нет | Нет |
| Доступ & изучение оповещений | Да | Нет | Да | Да | Нет |
| Доступ к & расследованию случаев | Да | Нет | Да | Да | Нет |
| Доступ & просмотр содержимого Обозреватель | Да | Нет | Нет | Да | Нет |
| Настройка шаблонов уведомлений | Да | Нет | Да | Да | Нет |
| Просмотр журналов аудита & экспорта | Да | Нет | Нет | Нет | Да |
Организациям следует убедиться, что в группах ролей управления внутренними рисками или управления внутренними рисками Администратор группах ролей всегда должен быть хотя бы один пользователь (в зависимости от выбранного варианта). Таким образом, конфигурация управления внутренними рисками компании не подается в сценарии "нулевого администратора", если определенные пользователи покидают организацию.
Члены следующих ролей могут назначать пользователей группам ролей управления внутренними рисками и иметь те же разрешения решения, включенные в группу ролей Администратор управления внутренними рисками:
- Глобальный администратор Microsoft Entra
- Администратор соответствия требованиям Microsoft Entra
- Управление организацией Портал соответствия требованиям Microsoft Purview
- Администратор соответствия требованиям Портал соответствия требованиям Microsoft Purview
Примечание.
Azure Active Directory (Azure AD) теперь называется Microsoft Entra ID. Подробнее.
Общие сведения о требованиях и зависимостях
В зависимости от того, как планируется реализовать политики управления внутренними рисками, организация должна иметь соответствующие подписки на лицензирование Microsoft 365. Он также должен понимать и планировать некоторые предварительные требования решения.
Лицензирование
Управление внутренними рисками доступно в рамках широкого выбора лицензий Microsoft 365. Дополнительные сведения см. в статье Начало работы с управлением внутренними рисками.
Важно!
Управление внутренними рисками в настоящее время доступно в клиентах, размещенных в географических регионах и странах, поддерживаемых зависимостями служб Azure. Сведения о том, что ваша организация поддерживает управление внутренними рисками, см. в статье Доступность зависимостей Azure по странам или регионам.
Если в организации нет существующего плана Microsoft 365 корпоративный E5, она по-прежнему может попробовать управление внутренними рисками. Он может добавить Microsoft 365 в существующую подписку или зарегистрироваться для получения пробной версии Microsoft 365 корпоративный E5.
Требования к шаблону политики
В зависимости от шаблона политики, выбранного организацией, существуют требования, которые она должна понимать и планировать перед настройкой управления внутренними рисками:
- Кража данных путем ухода из шаблона пользователей. Организация должна настроить соединитель отдела кадров Microsoft 365 для периодического импорта сведений о дате увольнения и прекращения работы для своих пользователей. Пошаговые инструкции по настройке соединителя microsoft 365 HR см. в статье Импорт данных с помощью соединителя отдела кадров.
- Шаблоны утечек данных. Организация должна настроить по крайней мере одну политику Защита от потери данных Microsoft Purview (DLP) для определения конфиденциальной информации и получения оповещений о внутренних рисках для оповещений политики защиты от потери данных с высоким уровнем серьезности. Пошаговые инструкции по настройке политик защиты от потери данных см. в статье Создание и развертывание политик защиты от потери данных .
- Шаблоны нарушений политики безопасности. Организация должна включить Microsoft Defender для конечной точки интеграции управления внутренними рисками на портале Microsoft Defender для импорта оповещений о нарушениях безопасности. Пошаговые инструкции по включению интеграции Defender для конечной точки с управлением внутренними рисками см. в статье Настройка дополнительных функций в Microsoft Defender для конечной точки.
- Недовольные шаблоны пользователей. Организация должна настроить соединитель отдела кадров Microsoft 365 для периодического импорта сведений о производительности или понижении для пользователей организации. Пошаговые инструкции по настройке соединителя microsoft 365 HR см. в статье Импорт данных с помощью соединителя отдела кадров.
Тестирование с небольшой группой пользователей в рабочей среде
Прежде чем организация широко включит решение управления внутренними рисками в своей рабочей среде, ей следует рассмотреть возможность тестирования политик с небольшим набором рабочих пользователей при проведении необходимых проверок соответствия требованиям, конфиденциальности и юридических проверок. Оценка управления внутренними рисками в тестовой среде требует создания имитации действий пользователей и других сигналов для создания оповещений для рассмотрения и обращений для обработки. Этот подход не является практичным для большинства организаций. Таким образом, корпорация Майкрософт рекомендует протестировать управление внутренними рисками с небольшой группой пользователей в рабочей среде.
Во время тестирования оставьте функцию анонимизации в параметрах политики включенной. Этот параметр анонимизирует имена пользователей в консоль управления риска предварительной оценки во время тестирования, чтобы обеспечить конфиденциальность в средстве. Это помогает защитить конфиденциальность пользователей, у которых есть совпадения с политикой. Это также может помочь повысить объективность при анализе данных и проверках анализа для оповещений о рисках для участников программы предварительной оценки.
Если сразу после настройки политики управления внутренними рисками оповещения не отображаются, это может означать, что организация еще не достигла минимального порогового значения риска. Важно, чтобы вы проверка, активировало ли действие политику, и политика работает должным образом. Для этого просмотрите, находится ли пользователь в область политики на странице Пользователи.