Power BI 实现规划:组织级信息保护

  • 项目

备注

本文是 Power BI 实现规划系列文章中的一篇。 本系列着重介绍 Microsoft Fabric 中的 Power BI 体验。 有关该系列的介绍,请参阅 Power BI 实施规划

本文介绍 Power BI 中信息保护的初始评估和准备活动。 本文面向:

  • Power BI 管理员:负责监督组织中 Power BI 的管理员。 Power BI 管理员需要与信息安全和其他相关团队协作。
  • 卓越中心、IT 和 BI 团队:负责在组织中监督 Power BI 的团队。 他们可能需要与 Power BI 管理员、信息安全团队和其他相关团队协作。

重要

信息保护和数据丢失防护 (DLP) 是组织范围内的一项重要工作。 它的范围和影响远远超过 Power BI 本身。 这种类型的计划需要资金支持、设定优先级和做好规划。 预期规划、使用和监督工作中涉及多个跨职能团队。

当前状态评估

在开始进行任何设置活动之前,请评估组织中当前正在发生的事情。 了解信息保护的当前实现(或规划)范围至关重要。

一般情况下,敏感度标签有两种使用情况。

  • 当前正在使用敏感度标签:在这种情况下,敏感度标签已设置并用于对 Microsoft Office 文件进行分类。 在这种场合下,为 Power BI 使用敏感度标签所需的工作量将大大减少。 时间线更短,而且设置起来更快更直接。
  • 尚未使用敏感度标签:在这种情况下,敏感度标签未用于 Microsoft Office 文件。 在这种场合下,需要一个组织范围的项目来实现敏感度标签。 对于某些组织而言,该项目可能意味着大量工作和大量时间的投入。 这是因为,标签旨在供整个组织中的多个应用程序(而不是一个应用程序,例如 Power BI)使用。

下图显示了如何在整个组织中广泛使用敏感度标签。

示意图显示了如何使用敏感度标签。下表描述了示意图中的项。

上图描绘了以下项:

项目 描述
项 1。 在 Microsoft Purview 合规性门户中设置敏感度标签。
项 2。 敏感度标签可应用于多种类型的项和文件,例如 Microsoft Office 文件、Power BI 服务中的项、Power BI Desktop 文件和电子邮件。
项 3。 敏感度标签可应用于 Teams 网站、SharePoint 网站和 Microsoft 365 组。
项 4。 敏感度标签可应用于在 Microsoft Purview 数据映射中注册的架构化数据资产。

请注意,在示意图中,Power BI 服务中的项和 Power BI Desktop 文件只是众多允许分配敏感度标签的资源中的一部分。 敏感度标签在 Microsoft Purview 信息保护中集中定义。 定义后,整个组织中所有受支持的应用程序都将使用相同的标签。 无法定义仅在一个应用程序(例如 Power BI)中使用的标签。 因此,规划过程需要考虑更广泛的使用方案来定义可在多个上下文中使用的标签。 由于信息保护旨在跨应用程序和服务一致使用,因此首先评估当前实现了哪些敏感度标签至关重要。

Power BI 的信息保护一文介绍了实现敏感度标签的活动。

注意

敏感度标签是用于实现信息保护的第一个构建基块。 DLP 发生在设置信息保护之后。

清单 - 在评估组织中信息保护和 DLP 的当前状态时,关键决策和措施包括:

  • 确定当前是否在使用信息保护:确定当前启用了哪些功能、其使用方式、由哪些应用程序使用,以及由谁使用。
  • 确定当前谁在负责信息保护:在评估当前功能时确定当前负责人。 让该团队参与将来的所有活动。
  • 合并信息保护项目:在适当情况下,合并当前使用的信息保护方法。 如果可能,请合并项目和团队以提高效率和一致性。

团队人员配备

如前所述,要设置的许多信息保护和 DLP 功能将对整个组织产生影响(影响力远远超过 Power BI)。 正因如此,组建一个纳入所有相关人员的团队至关重要。 团队在定义目标(如下一部分所述)和指导整体工作方面将发挥关键作用。

为团队定义角色和职责时,我们建议纳入有能力解释要求并与利益干系人良好沟通的人员。

团队应吸纳涉及组织中不同个人和小组的相关利益干系人,包括:

  • 首席信息安全官/数据保护官
  • 信息安全/网络安全团队
  • 合法
  • 合规性
  • 风险管理
  • 企业数据治理委员会
  • 首席数据官/首席分析官
  • 内部审核团队
  • 分析卓越中心 (COE)
  • 企业分析/商业智能 (BI) 团队
  • 来自重要业务部门的数据专员和领域数据所有者

团队还应纳入以下系统管理员:

  • Microsoft Purview 管理员
  • Microsoft 365 管理员
  • Microsoft Entra ID(以前称为 Azure Active Directory)管理员
  • Defender for Cloud Apps 管理员
  • Power BI 管理员

提示

预见到信息保护的规划和实现是一项需要投入时间才能正确完成的协作性工作。

规划和实现信息保护的任务通常由大部分成员兼职完成。 它通常是许多紧迫性优先事务之一。 因此,指派执行发起人将有助于明确优先级、设定期限并提供策略指导。

在与跨组织边界的跨职能团队合作时,必须明确角色和职责,以避免误解和延误。

清单 - 在组建信息保护团队时,关键决策和措施包括:

  • 组建团队:让所有相关的技术和非技术利益干系人参与进来。
  • 确定执行发起人:确保清楚地知道谁是规划和实现工作的领导者。 让此人(或小组)参与优先级设定、资助、达成共识和决策工作。
  • 明确角色和职责:确保每个参与人都清楚自己的角色和职责。
  • 制定沟通计划:考虑如何以及何时与整个组织的用户进行沟通。

目标和要求

必须考虑实现信息保护和 DLP 的目标是什么。 在组建的团队中,不同的利益干系人可能有不同的观点和关注的方面。

此时,我们建议专注于策略目标。 如果团队已开始定义实现级别的细节,我们建议暂缓一步,先定义策略目标。 妥善定义的策略目标有助于使实现变得更顺畅。

信息保护和 DLP 要求可以包括以下目标。

  • 为自助用户赋能:使自助式 BI 内容创建者和所有者能够协作、分享成果并尽可能提高工作效率 – 所有这些目标都遵守治理团队建立的防护措施。 目标是平衡自助式 BI 和集中式 BI,让自助用户能够轻松地做正确的事情,而不会对他们的工作效率产生负面影响。
  • 重视保护受信任数据的数据文化:以低摩擦且不妨碍用户工作效率的方式实现信息保护。 以平衡的方式实现时,用户更有可能在你的系统内工作,而不是在周围环境中工作。 用户教育和用户支持至关重要。
  • 降低风险:通过降低风险来保护组织。 降低风险的目标通常包括尽量减少在组织外部泄漏数据的可能性,并防止未经授权访问数据。
  • 合规性:支持行业、区域和政府法规的合规性工作。 此外,组织还可能需要符合关键的内部治理和安全要求。
  • 可审核性和意识:了解敏感数据在整个组织中的位置,以及谁在使用敏感数据。

请注意,引入信息保护的计划是对涉及安全性和隐私性的其他相关方法的补充。 协调信息保护计划与其他工作,例如:

  • Power BI 内容的访问角色、权限、共享和行级安全性 (RLS)
  • 数据驻留要求
  • 网络安全要求
  • 数据加密要求
  • 数据编目计划

有关在 Power BI 中保护内容的详细信息,请参阅安全性计划一文。

清单 - 考虑信息保护目标时,关键决策和措施包括:

  • 确定适用的数据隐私法规和风险:确保团队了解组织在行业或地理区域中需要遵守的数据隐私法规。 在必要的情况下展开数据隐私风险评估。
  • 讨论并阐明目标:与相关利益干系人和感兴趣的人员展开初步讨论。 确保你清楚自己的信息保护策略目标。 确保可将这些目标转化为业务要求。
  • 批准、阐述目标并将其设为优先事务:确保阐述策略目标并将其设为优先事务。 需要做出复杂的决策、设定优先级或进行权衡时,请参考这些目标。
  • 验证并阐述监管和业务要求:确保阐述所有有关数据隐私的监管和业务要求。 在解决优先级设定和合规性需求时参考这些要求。
  • 开始制定计划:使用优先策略目标和阐述的要求开始制定项目计划。

相关内容

本系列的下一篇文章中,了解用于 Power BI 的数据资产的标记和分类。