BIO 16.03.01 ISO A.5.15

Information Barriers Design

📅 2025-10-30
⏱️ 9 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Information Barriers vormen de digitale ethische muren binnen Microsoft 365 waarmee organisaties communicatie tussen strikt gescheiden groepen afdwingen, zodat gevoelige marktinformatie, vertrouwelijke cliëntdossiers of geclassificeerde overheidsprojecten niet via Teams, SharePoint of OneDrive terechtkomen bij personen die daar geen toegang toe mogen hebben.

Aanbeveling
IMPLEMENTEER VOOR FINANCE/LEGAL - ANDERS NIET
Risico zonder
High
Risk Score
8/10
Implementatie
80u (tech: 32u)
Van toepassing op:
M365
Teams
SharePoint
Compliance en Naleving

Information Barriers zijn in gereguleerde sectoren geen luxe maar een harde toezichteis. Financiële instellingen moeten aantonen dat handelsafdelingen geen informatie ontvangen van teams die fusies begeleiden of researchrapporten opstellen, omdat toezichthouders zoals AFM, ESMA en SEC zware boetes opleggen bij belangenverstrengeling of handel met voorkennis. Bij advocaten- en advieskantoren geldt hetzelfde principe: teams die tegenover elkaar staan in een procedure of cliënten met conflicterende belangen vertegenwoordigen, mogen elkaar niet spontaan benaderen in Teams-chats of SharePoint-bibliotheken, anders komt het beroepsgeheim direct in gevaar. In de zorg verbiedt wetgeving rond klinische onderzoeken dat commerciële of marketingafdelingen toegang hebben tot geblindeerde patiëntgegevens. Voor Rijks- en gemeentelijke diensten speelt tot slot het scheiden van geclassificeerde opdrachten, bijvoorbeeld als Defensie-projecten met NATO SECRET-indicator naast reguliere bedrijfsvoering plaatsvinden. Zonder technische afdwinging moeten medewerkers vertrouwen op beleidsdocumenten en bewustwording, maar de praktijk laat zien dat vergissingen of kwaadwillende insiders conversationele kanalen, zoekfuncties of gasttoegang gebruiken om alsnog gevoelige informatie op te vragen. De reputatieschade, herstelkosten en sancties na zo’n incident zijn aanzienlijk, terwijl verzekeraars en auditors steeds vaker eisen dat informatiebarrières end-to-end in de digitale werkplek zijn ingericht en met bewijsmateriaal kunnen worden aangetoond.

PowerShell Modules Vereist
Primary API: Microsoft Graph / Compliance
Connection: Connect-MgGraph / Connect-IPPSSession
Required Modules: Microsoft.Graph, ExchangeOnlineManagement

Implementatie

Een solide Information Barriers ontwerp start met het modelleren van segmenten die rechtstreeks overeenkomen met juridische scheidingen in de organisatie. Gebruik actuele HR-gegevens en Azure AD-dynamische groepen om segmentcriteria te vullen met functie, afdeling, locatie, clearingniveau of klantteam en leg vast waarom elke groep geïsoleerd moet blijven. Daarna beschrijf je de beleidsregels: welke segmentcombinaties worden volledig geblokkeerd, welke communicatiekanalen vallen in scope en welke uitzonderingen mogen via tijdelijke vrijstellingen lopen. De technische afdwinging geldt voor zowel realtime samenwerking in Teams als extern delen in SharePoint en OneDrive; ook zoekresultaten en people cards tonen uitsluitend collega’s die binnen het toegestaan communicatiespectrum passen. Kies bewust tussen open modus, waarbij segmenten iedereen mogen bereiken behalve hun verboden tegenhanger, en beperkte modus, waarin een segment uitsluitend met expliciet goedgekeurde partners kan praten. Tot slot hoort bij het ontwerp een gedetailleerde teststrategie, governanceproces en rapportageketen zodat compliance officers voortdurend inzicht houden in wijzigingen, blokkades en gedoogverzoeken.

Vereisten

  1. Microsoft 365 E5 Compliance, eventueel aangevuld met een afzonderlijke Information Protection en Governance add-on voor geselecteerde doelgroepen, is onmisbaar omdat uitsluitend deze licentielaag de segmentatie-engine, beleidstemplates en auditlogboeken van Information Barriers activeert; zonder deze bundel kun je geen segmentcriteria publiceren, ontbreekt Purview-inzage voor auditors en kun je bij een AFM- of DNB-toets niet aantonen dat je een technische scheiding afdwingt, waardoor beleidsregels als onvoldoende effectief worden bestempeld en herstelmaatregelen verplicht volgen. Reserveer daarom budget voor zowel initiële activering als jaarlijkse herbeoordelingen, zodat licentiewijzigingen nooit leiden tot het onbedoeld uitschakelen van de barrières.
  2. Het Compliance Administrator-rolmodel moet vooraf stabiel worden ingericht, inclusief break-glass-accounts, gescheiden werkstations en gedocumenteerde procedures, omdat Purview-configuraties alleen door geautoriseerde beheerders mogen worden aangepast; verplicht multi-factor-authenticatie, sessielogging naar Microsoft Sentinel en een changeproces met vier-ogenprincipe zodat iedere wijziging aan segmentdefinities of beleidskoppelingen traceerbaar is en auditors kunnen controleren dat niemand buiten mandaat de ethische muren verslapt of juist te agressief afsluit. Documenteer daarnaast welke rollen slechts leesrechten hebben en hoe vervanging wordt geregeld tijdens verlofperioden, zodat continuïteit geborgd blijft.
  3. Een grondige juridische en compliance review vormt de start van elk IB-traject omdat alleen zij kunnen bepalen welke wet- en regelgeving van toepassing is, welke cliëntenconflicten aantoonbaar moeten worden afgeschermd en welke documentatie toezichthouders verwachten; leg per segment vast welke regelkaders (bijvoorbeeld MiFID II, Wft, AVG of beroepsgeheim) worden afgedekt, welke bewijzen in audits moeten worden overlegd en wanneer uitzonderingen zijn toegestaan, zodat technologie naadloos aansluit op juridische verplichtingen. Zonder deze analyse ontstaat er discussie over interpretaties en loop je het risico dat de technische oplossing niet aansluit op de feitelijke verplichtingen.
  4. Een volwassen gebruikerssegmentatiestrategie vereist actuele en eenduidige brondata uit HR-, resource- en vertrouwelijkheidsregisters, aangevuld met Azure AD-dynamische groepen die automatisch reageren op mutaties, zodat medewerkers direct in de juiste barrière vallen zodra hun rol wijzigt. Definieer duidelijke naamgevingsconventies, eigenaarschap en een lifecycleproces waarmee segmenten periodiek worden opgeschoond en dubbelrollen worden geïdentificeerd, want verouderde of overlappende segmenten leiden tot blokkades die het vertrouwen in de oplossing ondermijnen.
  5. Een uitgebreide test- en validatieomgeving met representatieve accounts, testtenant of afgeschermd productie-subset is essentieel omdat ontwerp- of configuratiefouten direct leiden tot geblokkeerde directies, deals of zorgprocessen. Automatiseer testscenario’s, verifieer alle communicatiestromen (chat, kanaal, vergaderingen, bestanden, people search) en voer negatieve tests uit waarin bewust een overtreding wordt geprobeerd, zodat je kunt aantonen dat de blokkade werkt en leg deze resultaten vast in het auditdossier. Zonder deze voorbereiding wordt de uitrol een gok met grote reputatie- en productiviteitsrisico’s.
  6. Een doordacht communicatie- en verandermanagementplan verklaart aan alle betrokken gebruikers waarom bepaalde collega’s niet langer zichtbaar zijn in Teams of documenten niet meer te delen zijn, welke contactpunten beschikbaar zijn en hoe uitzonderingen worden aangevraagd; combineer doelgroepgerichte uitleg voor handelsafdelingen, juristen, zorgteams en overheidsteams met infographics en FAQ’s zodat het draagvlak groeit en de maatregel niet wordt gezien als willekeurige beperking. Koppel dit plan aan bewustwordingscampagnes over integriteit en vertrouwelijkheid zodat de maatregel wordt begrepen in plaats van bestreden.
  7. Helpdesk- en supportteams hebben specifieke training nodig om signalen van ten onrechte geblokkeerde werkprocessen te onderscheiden van incidenten die juist aantonen dat de barrière werkt; geef hen troubleshooting-scripts, Powershell-queries en duidelijke escalatielijnen richting het IB-team, zodat tickets snel worden beoordeeld en gebruikers niet zelf gaan experimenteren met gedeelde mailgroepen of gasttoegang om de blokkade heen te werken. Voeg ook standaardcommunicatie toe waarmee medewerkers feedback krijgen over de reden van een blokkade.
  8. Escalatie- en uitzonderingsprocedures moeten vooraf juridisch zijn goedgekeurd, inclusief criteria voor tijdelijke vrijstellingen, maximale doorlooptijden, loggingvereisten en verplichte nazorg, zodat legitieme bedrijfsbehoeften (denk aan joint deal-teams of noodsituaties) gecontroleerd kunnen worden afgehandeld zonder de integrity van de barrière te ondermijnen. Gebruik workflowtools om goedkeuringen vast te leggen, verplicht het herbeoordelen van uitzonderingen en zorg dat rapportages beschikbaar zijn voor de compliancefunctie zodat trends in uitzonderingen zichtbaar blijven.

Implementatie

Gebruik PowerShell-script information-barriers.ps1 (functie Invoke-Remediation) – Het PowerShell-runbook information-barriers.ps1 automatiseert de volledige keten van het opzetten van een sessie met Microsoft Graph en Purview, het inlezen en valideren van segmentdefinities vanuit HR-exports, het publiceren van policies en het registreren van wijzigingen in een tamper-proof logboek; voer het script uitsluitend uit vanaf een geharde beheerwerkplek met transcript logging, gebruik de ingebouwde dry-run modus voor elke wijziging en laat de output goedkeuren door Legal en Compliance voordat je de daadwerkelijke push naar productie uitvoert..

Information Barriers grijpen diep in op primaire werkprocessen en moeten daarom worden behandeld als een hoog-risico verandering: elke configuratiefout kan een handelsdeal of juridische procedure platleggen, terwijl een te soepele instelling juist leidt tot toezichtsancties. Werk met duidelijke besluitvorming, koppel iedere stap aan een eigenaar en documenteer zowel technische als organisatorische controles voordat je live gaat.

  1. Stap 1: de ontwerp- en besluitvormingsfase staat onder regie van Legal, Compliance en de Chief Information Security Officer. Zij inventariseren welke processen wettelijke Chinese Walls vereisen, welke cliënten of projecten extra bescherming vragen en welke bewijsstukken een toezichthouder wil zien. Documenteer per segment het juridische kader, de risicoanalyse en de gewenste communicatiekanalen, leg vast welke autoriteit de definitieve goedkeuring geeft en borg dat wijzigingen alleen via formele changeverzoeken plaatsvinden zodat iedere latere audit exact kan volgen waarom een barrière bestaat.
  2. Stap 2: vertaal het ontwerp naar concrete segmentdefinities in Azure AD. Gebruik waar mogelijk dynamische groepen die automatisch reageren op attributen zoals afdeling, costcenter, locatie of clearance, en voeg validaties toe zodat medewerkers met dubbele rollen een expliciete beoordeling krijgen. Beschrijf voor iedere groep de eigenaar, de purpose, de lifetime en de manier waarop mutaties worden gesynchroniseerd vanuit HR, zodat er geen schaduwlijsten ontstaan. Test dit segmentatiemodel eerst los van de daadwerkelijke blokkades, controleer steekproefsgewijs of medewerkers correct worden ingedeeld en leg de resultaten vast.
  3. Stap 3: configureer de Information Barriers policies in Microsoft Purview op basis van het goedgekeurde matrixdocument. Definieer zowel blokkerende relaties als toestemmende relaties zodat duidelijk is wie elkaar nog wél mag benaderen, en gebruik beschrijvende namen die direct herleidbaar zijn naar het juridische dossier. Koppel de policies aan de juiste segmentobjecten, activeer logging, en voer een technische review uit waarin je controleert of alle sets van gebruikers zijn opgenomen. Laat de definitieve policyconfiguratie vervolgens accorderen door de eigenaar van het proces.
  4. Stap 4: voer een uitgebreide test- en acceptatiefase uit met representatieve pilotgebruikers en realistische scenario’s. Laat handelsdesks proberen om elkaar bestanden te sturen, controleer Teams-vergadering uitnodigingen, test SharePoint- en OneDrive-delingen, en verifieer search-resultaten en aanwezigheid. Documenteer zowel succesvolle blokkades als bevestigde toegestane communicatie, want auditors willen bewijs dat je geen noodzakelijke samenwerking hebt gebroken. Gebruik bovendien geautomatiseerde testcases zodat regressies in toekomstige wijzigingen snel kunnen worden opgespoord.
  5. Stap 5: plan een gefaseerde productie-uitrol waarbij je begint met een beperkt aantal cruciale policies en uitgebreide monitoring activeert. Communiceer ruim op tijd naar alle betrokkenen wanneer de blokkades worden ingeschakeld, houd een war room open voor directe ondersteuning en spreek af hoe je een gecontroleerde rollback uitvoert als een essentieel proces onbedoeld wordt geraakt. Verzamel in de eerste weken actief gebruikersfeedback en verwerk lessons learned in het ontwerp voordat je het aantal segmenten uitbreidt.
  6. Stap 6: richt een formeel uitzonderings- en ontheffingsproces in dat zowel juridische als technische goedkeuring vereist. Leg vast hoe tijdelijke vrijstellingen worden aangevraagd, welke bewijslast moet worden aangeleverd, hoe lang een vrijstelling geldig is en hoe de terugdraai wordt gecontroleerd. Automatiseer dit proces bij voorkeur via een workflowoplossing zodat je per uitzondering kunt aantonen wie toestemming gaf, welke logging is verzameld en hoe het verzoek impact had op de risicobeoordeling.

Monitoring

Gebruik PowerShell-script information-barriers.ps1 (functie Invoke-Monitoring) – De monitoringfunctie van information-barriers.ps1 haalt elke nacht beleidsstatussen, segmentwijzigingen en blokkade-events op uit Microsoft Graph en Purview, schrijft deze naar een centraal logbestand en kan optioneel een rapport publiceren in Microsoft Sentinel of Power BI; activeer deze taak als geplande run zodat afwijkingen automatisch zichtbaar worden en voeg notificaties toe die compliance en operations waarschuwen wanneer een policy door iemand is uitgezet of wanneer het aantal blokkadepogingen plotseling stijgt..

  1. Controleer dagelijks de effectiviteit van policies door het aantal geblokkeerde communicatiepogingen per segmentpaar te analyseren, onderscheid tussen expected blocks (zoals traders naar M&A) en onverwachte combinaties en koppel deze statistieken aan het aantal actieve gebruikers in elk segment. Gebruik deze analyse om te bepalen of segmentdefinities correct zijn, of processen wellicht zijn veranderd en of gebruikers proberen om barrières bewust te omzeilen. Leg bevindingen vast in een dashboard dat beschikbaar is voor CISO, Compliance en lijnmanagement zodat trends vroeg zichtbaar zijn en koppel geautomatiseerde alerts aan pieken, zodat het team meteen kan onderzoeken of er sprake is van incidentgedrag of van een configuratiefout.
  2. Koppel helpdesktickets en feedbackkanalen aan de monitoringdata, zodat je exact weet welke aanvragen voortkomen uit noodzakelijk werk dat nu geblokkeerd wordt en welke verzoeken juist aantonen dat de barrière werkt. Analyseer de gemiddelde oplostijd, de verdeling per afdeling en de redenen die gebruikers invullen, zodat je gericht voorlichting kunt geven of segmentcriteria kunt aanscherpen. Door tickets te taggen en automatisch terug te koppelen naar de beleidsmatrix, voorkom je dat incidenten zich opstapelen zonder structurele oplossing. Voeg bovendien sentimentanalyse toe aan berichten in Yammer of Viva Engage om verborgen weerstand tijdig te signaleren.
  3. Beheer uitzonderingsaanvragen als een afzonderlijke datastroom waarin je registreert wie het verzoek indiende, welke gegevensuitwisseling nodig was, hoe lang de vrijstelling duurde en welk risico werd geaccepteerd. Een stijging in uitzonderingen kan erop wijzen dat een policy te strikt is geconfigureerd of dat een nieuw bedrijfsproces nog niet in het ontwerp is verwerkt. Gebruik maandelijkse trendanalyses om patronen te herkennen, rapporteer hierover aan de compliancecommissie en borg dat alle openstaande uitzonderingen tijdig opnieuw worden beoordeeld. Automatiseer herinneringen naar proceseigenaren wanneer de einddatum nadert zodat vrijstellingen niet ongemerkt blijven bestaan.
  4. Combineer monitoringdata met formele compliance-events, zoals interne audits, meldingen bij de Autoriteit Persoonsgegevens of bevindingen uit integriteitsprogramma’s. Koppel ieder incident aan de relevante policy en segmenten, onderzoek of de barrière juist wel of niet heeft gefunctioneerd en documenteer de corrigerende maatregelen. Door deze terugkoppeling structureel uit te voeren, bouw je een aantoonbare controlecyclus op waarmee je externe auditors inzicht geeft in de werking van de barrières en de verbeteracties die daaruit voortkomen. Publiceer de uitkomsten richting het risicocomité zodat bestuurders kunnen sturen op prioriteiten en middelen.

Compliance en Auditing

  1. Financiële toezichthouders zoals FINRA, SEC, ESMA en de Autoriteit Financiële Markten eisen dat banken en assetmanagers aantoonbare Chinese Walls onderhouden tussen onder andere handelsdesks, researchafdelingen, investment banking en corporate finance. Information Barriers bieden het bewijs dat gesprekken, bestanden en vergaderingen automatisch worden geblokkeerd zodra zij een verboden combinatie vormen, waardoor organisaties kunnen laten zien dat voorkennis niet buiten de gecontroleerde informatieketen komt en dat cliënten eerlijk worden behandeld. Documenteer per policy welk artikel van MiFID II, MAR of Wft wordt afgedekt en voeg monitoringrapportages toe aan het jaarlijkse compliance-dossier.
  2. Advocatenkantoren, accountants en consultancyfirma’s moeten voldoen aan strenge beroepsregels rond cliëntvertrouwelijkheid en conflicten van belang. Door Information Barriers te koppelen aan zaak- of klantteams en deze te laten autoriseren door de compliance officer, toon je aan dat teams die tegenover elkaar staan in een procedure geen digitale verbinding meer hebben, en dat alleen de specifiek aangewezen medewerkers aan beide kanten toegang hebben tot relevante dossiers. Leg vast hoe je het beroepsgeheim van de Nederlandse Orde van Advocaten, de VGBA of andere ethische codes vertaalt naar segmentdefinities zodat tuchtrechtelijke onderzoeken kunnen worden beantwoord met technisch bewijs.
  3. De Baseline Informatiebeveiliging Overheid (BIO) control 16.03 vereist dat overheidsorganisaties maatregelen treffen om ongeautoriseerde informatiestromen te voorkomen binnen ketens en samenwerkingen. Information Barriers vormen een concrete invulling hiervan omdat zij afdwingen dat medewerkers zonder juiste clearance geen toegang hebben tot geclassificeerde projecten of aanbestedingsteams, zelfs niet als zij toevallig in hetzelfde samenwerkingsplatform actief zijn. Leg in het BIO-dossier uit welke processen onder de maatregel vallen, hoe je toezicht houdt op uitzonderingen en welke herbeoordelingscycli ervoor zorgen dat de barrière actueel blijft.
  4. ISO 27001:2022 maatregel A.5.15 verlangt dat toegang tot informatie wordt beperkt tot personen met een aantoonbare need-to-know. Door Information Barriers te gebruiken kun je laten zien dat deze toegangsprincipes niet alleen in policies zijn vastgelegd maar ook technisch zijn afgedwongen over Teams, SharePoint, OneDrive en Microsoft Search. Koppel de barriererapportages aan het Information Security Management System, leg change logs vast als bewijs voor audits en toon aan hoe afwijkingen worden opgevolgd via het verbeterregister. Dit versterkt de volwassenheidsscore in externe certificeringen.

Remediatie

Gebruik PowerShell-script information-barriers.ps1 (functie Invoke-Remediation) – De herstelprocedure voor Information Barriers start met een forensische reconstructie van het incident waarbij het monitoringrapport, de auditlogs uit Purview en eventuele gebruikerssignalen worden geanalyseerd om vast te stellen welke segmenten, policies of uitzonderingen betrokken waren. Het runbook information-barriers.ps1 beschikt over functies om de actuele configuratie naast het goedgekeurde referentiemodel te leggen; gebruik deze diff-functionaliteit om nauwkeurig te bepalen welke regels, groepen of relatieparen afwijken en exporteer het resultaat naar het change-dossier. Zodra de oorzaak bekend is, voer je het script uit in herstelmodus zodat onjuiste policies worden verwijderd of overschreven door de laatste goedgekeurde versie, dynamische groepen opnieuw worden berekend en exception lists worden opgeschoond van verlopen vrijstellingen. Plan het onderhoud in een gecontroleerd venster, communiceer naar de betrokken business dat tijdelijke verstoringen mogelijk zijn en zet een rollbackplan klaar waarin beschreven staat hoe je teruggaat naar de vorige staat indien een kritieke dienst geraakt wordt. Na de technische correctie voer je validatiescripts en handmatige scenario’s uit om te bewijzen dat de blokkade opnieuw werkt voor alle relevante kanalen (Teams, SharePoint, OneDrive, Search) en dat noodzakelijke samenwerking niet onbedoeld wordt tegengehouden. Documenteer tot slot de lessons learned, actualiseer procedures of trainingsmateriaal indien menselijke fouten de oorzaak waren en rapporteer richting bestuur en toezichthouders welke corrigerende maatregelen zijn getroffen, zodat de organisatie aantoont dat het incident gecontroleerd is afgehandeld en herhaling wordt voorkomen. Neem in het herstelverslag ook de business-impact op, bijvoorbeeld welke deals vertraging hebben opgelopen of welke dossiers tijdelijk ontoegankelijk waren, zodat je beter kunt onderbouwen welke compensatiemaatregelen of klantcommunicatie nodig zijn. Controleer verder of achterliggende processen, zoals HR-attribuutstromen of automatiseringsscripts, hebben bijgedragen aan het incident en voeg waar nodig extra validatieregels of alerts toe zodat toekomstige afwijkingen eerder worden gedetecteerd. Sluit het traject af met een formele goedkeuring van Legal, Compliance en de proceseigenaar, archiveer het bewijsmateriaal in het auditdossier en plan een gerichte awareness-actie voor de betrokken teams, zodat iedere correctieve actie ook leidt tot aantoonbare structurele verbetering. Werk daarnaast samen met het enterprise risk-team om de resterende risico’s opnieuw te beoordelen, actualiseer de entries in het risicoregister en koppel de verbetermaatregelen aan concrete KPI’s zoals tijd-tot-herstel, aantal uitzonderingen en aantal blokkade-incidenten per kwartaal. Door deze data te presenteren in de reguliere governancefora laat je zien dat herstelactiviteiten niet op zichzelf staan maar onderdeel vormen van continue verbetering en transparante verantwoording. Evalueer tenslotte of aanvullende tooling, zoals geautomatiseerde unit-tests voor beleidswijzigingen of integraties met ServiceNow, kan helpen om toekomstige fouten sneller te detecteren en verplicht het team om binnen dertig dagen na elk incident een maturity-review uit te voeren waarin structurele verbeteringen worden vastgelegd en opgevolgd. Herhaal dit volledige draaiboek wanneer een toezichthouder of interne audit om bewijs van herstel vraagt, zodat je altijd dezelfde gecontroleerde aanpak volgt en geen stappen overslaat..

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Information Barriers Design .DESCRIPTION Implementation for Information Barriers Design .NOTES Filename: information-barriers.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/design/compliance/information-barriers.json #> #Requires -Version 5.1 #Requires -Modules Microsoft.Graph [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Information Barriers Design" $BIOControl = "9.01" function Connect-RequiredServices { # Connection logic based on API } function Test-Compliance { Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "information-barriers" PolicyName = $PolicyName IsCompliant = $false TotalResources = 0 CompliantCount = 0 NonCompliantCount = 0 Details = @() Recommendations = @() } # Compliance check implementation # Based on: Design Document $result.Details += "Compliance check - implementation required based on control" $result.NonCompliantCount = 1 return $result } function Invoke-Remediation { Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan # Remediation implementation Write-Host " Configuration applied" -ForegroundColor Green Write-Host "`n[OK] Remediation completed" -ForegroundColor Green } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Total: $($result.TotalResources)" -ForegroundColor White Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green $color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" } Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color return $result } function Invoke-Revert { Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow } try { Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance if ($result.IsCompliant) { Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green } else { Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red } } } catch { Write-Error $_ }

Risico zonder implementatie

Risico zonder implementatie
High: Regulated industries (finance, legal) = CRITICAL regulatory requirement. Missing Chinese Walls = compliance violations, insider trading risk, conflict of interest. Fines, sanctions. Other industries = generally NOT needed. COMPLEX implementation = E5, extensive planning, HIGH operational impact. Het risico is KRITIEK finance/legal, LAAG others.

Management Samenvatting

Information Barriers: Ethical walls M365 (Teams chat/call/meeting blocks, SharePoint access restrictions, OneDrive sharing blocks). Prevents communication conflicting groups (M&A teams, trading desks). Vereist: M365 E5 Compliance. COMPLEX: Segment definitions, Policy design, Testing, Ongoing management. Kosten: E5 Compliance. Activatie: Purview → Information Barriers → Segments + Policies. Verplicht: Financial services (SEC, FINRA Chinese Walls), Legal firms (conflict of interest). Implementatie: 32-80 uur. ONLY waar regulatory mandatory - complexity HIGH, operational impact significant.