مشاركة عبر

خصوصية البيانات وحمايتها - حماية البيانات والتحكم فيها

مرحبا بك في الخطوة 2 لإدارة خصوصية البيانات وحماية البيانات باستخدام Microsoft Priva وMicrosoft Purview: حماية بياناتك والتحكم فيها.

خطوات إدارة خصوصية البيانات وحماية البيانات باستخدام Microsoft Priva وMicrosoft Purview

عندما تعرف البيانات الشخصية التي لديك، ومكان وجودها، ومتطلباتك التنظيمية، فقد حان الوقت لوضع الأشياء في مكانها لحماية تلك البيانات. توفر Microsoft قدرات شاملة وقوية لمساعدتك في حماية البيانات الشخصية بطريقتين:

  1. الميزات التي قام مسؤولو تكنولوجيا المعلومات بإعدادها لتصنيف العناصر الحساسة واتخاذ إجراءات وقائية، و
  2. الميزات التي تمكن موظفيك من اكتشاف مشكلات خصوصية البيانات وإصلاحها بسرعة والحصول على تدريب على ممارسات معالجة البيانات السليمة.

الإجراءات التي يجب اتخاذها

فعل الوصف الحصول على التفاصيل
حدد أنواع المعلومات الحساسة حتى تعرف ما يحتاج إلى الحماية. يعد تحديد العناصر الحساسة التي تديرها مؤسستك وتصنيفها الخطوة الأولى في حماية البيانات الانضباط.

يوفر Microsoft Purview ثلاث طرق لتحديد العناصر بحيث يمكن تصنيفها أ) يدويا من قبل المستخدمين، ب) التعرف التلقائي على الأنماط، مثل أنواع المعلومات الحساسة، وc) التعلم الآلي.

أنواع المعلومات الحساسة (SIT) هي مصنفات تستند إلى النمط. يكتشفون معلومات حساسة مثل الضمان الاجتماعي أو بطاقة الائتمان أو أرقام الحسابات البنكية لتحديد العناصر الحساسة.

 تعرف على المزيد حول أنواع المعلومات الحساسة

عرض القائمة الكاملة أنواع المعلومات الحساسة
قم بتصنيف المحتوى وتسميةه حتى تتمكن من تطبيق الميزات لحمايتها. تصنيف المحتوى ووضع العلامات عليه بحيث يمكن حمايته ومعالجته بشكل صحيح هو مكان البداية لضبط حماية المعلومات. لدى Microsoft 365 ثلاث طرق لتصنيف المحتوى. تعرف على المزيد حول المصنفات القابلة للتدريب
تطبيق أوصاف الحساسية لحماية البيانات، حتى لو كانت تتجول. عند تحديد بياناتك الحساسة، ستحتاج إلى حمايتها. غالبا ما يكون ذلك صعبا عندما يتعاون الأشخاص مع الآخرين داخل المؤسسة وخارجها. يمكن أن تتجول هذه البيانات في كل مكان، عبر الأجهزة والتطبيقات والخدمات. وعندما تتجول، تريدها أن تفعل ذلك بطريقة آمنة ومحمية تتوافق مع نهج الأعمال والتوافق الخاصة بمؤسستك.

تتيح لك أوصاف الحساسية من حماية البيانات في Microsoft Purview تصنيف بيانات مؤسستك وحمايتها، مع التأكد من عدم إعاقة إنتاجية المستخدم وقدرته على التعاون.

 تعرف على المزيد حول أوصاف الحساسية
استخدم نهج منع فقدان البيانات لمنع مشاركة البيانات الشخصية. تمتلك المؤسسات معلومات حساسة تحت سيطرتها مثل البيانات المالية أو البيانات الخاصة أو أرقام بطاقات الائتمان أو السجلات الصحية أو أرقام الضمان الاجتماعي. للمساعدة في حماية المعلومات الحساسة وتقليل المخاطر، يحتاجون إلى طريقة لمنع مستخدميهم من مشاركتها بشكل غير مناسب مع أشخاص لا ينبغي أن يكونوا لديهم. تسمى هذه الممارسة منع فقدان البيانات (DLP).

باستخدام تفادي فقدان البيانات في Microsoft Purview، يمكنك تنفيذ منع فقدان البيانات عن طريق تحديد نهج DLP وتطبيقها لتحديد العناصر الحساسة ومراقبتها وحمايتها تلقائيا عبر خدمات Microsoft 365 مثل Teams وExchange وSharePoint وOneDrive؛ تطبيقات Office مثل Word وExcel وPowerPoint؛ نقاط النهاية Windows 10 Windows 11 وmacOS (الإصدار الحالي والإصدارين السابقين من macOS) والتطبيقات السحابية غير التابعة ل Microsoft ومشاركات الملفات المحلية وSharePoint المحلي.

يكتشف حل DLP هذا العناصر الحساسة باستخدام تحليل المحتوى العميق، وليس فقط عن طريق فحص النص البسيط. يتم تحليل المحتوى لمطابقات البيانات الأساسية مع الكلمات الأساسية، وتقييم التعبيرات العادية، والتحقق من صحة الدالة الداخلية، وتطابقات البيانات الثانوية القريبة من مطابقة البيانات الأساسية. بالإضافة إلى ذلك، يستخدم DLP أيضا خوارزميات التعلم الآلي وأساليب أخرى للكشف عن المحتوى الذي يطابق نهج DLP الخاصة بك.

 تعرف على المزيد حول منع فقدان البيانات
التحكم في بيانات Microsoft 365 الخاصة بك للامتثال أو المتطلبات التنظيمية يمكن استخدام ضوابط إدارة المعلومات في بيئتك للمساعدة في تلبية احتياجات الامتثال لخصوصية البيانات، بما في ذلك عدد خاص باللوائح العامة لحماية البيانات (GDPR)، وHIPA-HITECH (قانون خصوصية الرعاية الصحية في الولايات المتحدة)، وقانون حماية المستهلك في كاليفورنيا (CCPA)، وقانون حماية البيانات البرازيلي (LGPD). توفر إدارة دورة البيانات في Microsoft Purview إدارة سجلات Microsoft Purview عناصر التحكم هذه في شكل نهج الاستبقاء وتسميات الاستبقاء وقدرات إدارة السجلات. تعرف على كيفية نشر حل إدارة البيانات باستخدام Microsoft Purview
إعداد تخزين آمن للبيانات الشخصية في Microsoft Teams. إذا كنت تخطط لتخزين بيانات شخصية حساسة للغاية في Teams، يمكنك تكوين فريق خاص واستخدام وصف حساسية تم تكوينه خصيصا لتأمين الوصول إلى الفريق والملفات الموجودة فيه. تعرف على المزيد حول تكوين فريق مع عزل الأمان
تمكين المستخدمين من اكتشاف المخاطر المحتملة وإصلاح المشكلات. إنشاء نهج معالجة البيانات في إدارة مخاطر الخصوصية في Priva بحيث يمكن للمستخدمين تحديد المخاطر على الفور في البيانات التي يقومون بإنشائها وإدارتها.

تنبه رسائل البريد الإلكتروني للإعلام المستخدمين عندما ينقلون عناصر مع بيانات شخصية داخل خارج المؤسسة، أو يجعلون المحتوى متاحا على نطاق واسع جدا، أو يحتفظون بالبيانات الشخصية لفترة طويلة جدا. تطالب الإعلامات المستخدمين باتخاذ خطوات معالجة فورية لتأمين البيانات الشخصية، وتحتوي على ارتباطات لتدريب الخصوصية المفضل لمؤسستك.

 تعرف على المزيد حول إدارة مخاطر الخصوصية

إنشاء نهج لمنع نقل البيانات أو الإفراط في التعرض أو الاكتناز

إعداد إعلامات للمستخدمين لإصلاح المشكلات المتعلقة بالمحتوى الذي يتعاملون معه
استخدم إدارة السجلات للعناصر عالية القيمة التي يجب إدارتها لمتطلبات حفظ السجلات التجارية أو القانونية أو التنظيمية. نظام إدارة السجلات هو حل للمؤسسات لإدارة السجلات التنظيمية والقانونية والسجلات الحرجة للأعمال.

إدارة سجلات Microsoft Purview يساعد المؤسسة على إدارة التزاماتها القانونية، ويوفر القدرة على إثبات الامتثال للوائح، ويزيد من الكفاءة مع التصرف المنتظم في العناصر التي لم تعد مطلوبة للاحتفاظ بها، أو لم تعد ذات قيمة، أو لم تعد مطلوبة لأغراض تجارية.

 تعرف على المزيد حول إدارة السجلات

إعداد استراتيجيتك للنجاح

تحديد أنواع المعلومات الحساسة (SITs)، وتصنيف المحتوى الخاص بك وتصنيفه، ونشر نهج منع فقدان البيانات (DLP) هي خطوات رئيسية في استراتيجية حماية المعلومات. تنقلك الروابط الموجودة في الجدول أعلاه إلى إرشادات مفصلة لتنفيذ هذه المهام الأساسية.

حماية البيانات هي أيضا مسؤولية كل مستخدم في مؤسستك يعرض البيانات الشخصية وينشئها ويعالجها أثناء مهام الوظيفة. يجب أن يعرف كل مستخدم ويلتزم بالمسؤوليات الداخلية والتنظيمية لمؤسستك لحماية البيانات الشخصية أينما كانت في مؤسستك. لتحقيق هذه الغاية، تساعدك Priva على تمكين المستخدمين من معرفة مسؤولياتهم، وإبلاغهم عندما يتعاملون مع البيانات بطرق محفوفة بالمخاطر، واتخاذ إجراءات فورية لتقليل مخاطر الخصوصية التي تتعرض لها المؤسسة.

تساعد نهج معالجة البيانات الثلاثة المتوفرة في إدارة مخاطر الخصوصية في Priva المستخدمين على لعب دور استباقي في استراتيجية حماية البيانات لمؤسستك. تطالب إعلامات البريد الإلكتروني التي تتضمن إجراءات المعالجة المضمنة المستخدمين بتطبيق الحماية الضرورية واتخاذ تدريب على الخصوصية تم تعيينه من قبل مؤسستك. يمكن أن يساعد هذا الوعي والقدرة على العمل على تنمية عادات أفضل لمنع مشكلات الخصوصية المستقبلية.

توصيات لسياسة معالجة بيانات Priva الأولى

نوصي بنشر النهج في نهج مرحلي حتى تتمكن من التعرف على كيفية تصرفها وتحسينها لتناسب احتياجاتك. بالنسبة للمرحلة الأولى، نوصي بإنشاء نهج مخصص واحد ليكون بمثابة أساس للفهم. لنستخدم مثال إنشاء نهج فرط عرض البيانات، والذي يحدد عناصر المحتوى التي تحتوي على بيانات شخصية يمكن الوصول إليها على نطاق واسع جدا من قبل أشخاص آخرين. يمكنك العثور على إرشادات تفصيلية لإنشاء النهج بدءا من هنا.

  • عند الوصول إلى خطوة اختيار البيانات لمراقبة معالج إنشاء النهج، نوصي بتحديد الخيار أنواع المعلومات الحساسة الفردية واختيار SITs الأكثر صلة بمؤسستك. على سبيل المثال، إذا كنت شركة خدمات مالية مع عملاء في أوروبا، فسترغب على الأرجح في تضمين رقم بطاقة خصم الاتحاد الأوروبي كأحد بطاقات SITs الخاصة بك. ابحث عن قائمة تعريفات SIT هنا.

  • في خطوة اختيار المستخدمين والمجموعات التي تغطيها خطوة النهج هذه ، نوصي بتحديد مستخدمين أو مجموعات محددة واختيار دائرة داخلية صغيرة من المستخدمين في نطاق هذا النهج.

  • في خطوة اختيار الشروط للنهج ، نوصي بتحديد External فقط بحيث تقوم بتعقب البيانات التي قد تعتبرها أكثر عرضة للخطر مع الحفاظ على إجمالي كمية البيانات التي سيتعين عليك مراقبتها على مستويات أكثر قابلية للإدارة.

  • في الخطوة تحديد التنبيهات والحدود ، نوصي بتشغيل التنبيهات وتحديد خيار الترددللتنبيه عند استيفاء أحد الشروط أدناه. سيساعد تشغيل التنبيهات المسؤولين على قياس مدى خطورة التنبيهات وتكرارها لتلبية احتياجاتهم. لاحظ أن النهج لا تعمل بأثر رجعي، لذلك إذا قررت إيقاف تشغيل التنبيهات في البداية ثم تشغيلها لاحقا، فلن ترى أي تنبيهات للمطابقات التي حدثت قبل تشغيل التنبيهات.

  • في حالة تحديد وضع النهج ، نوصي بالاحتفاظ بالنهج في وضع الاختبار ومراقبة أدائه لمدة خمسة أيام على الأقل. يسمح لك هذا برؤية نوع التطابقات التي تلتقطها شروط النهج، وكيف سيتم إطلاق التنبيهات.

إعداد المزيد من النهج وتحسين الأداء تدريجيا

بعد إعداد النهج الأول وتشغيله، قد ترغب في القيام بنفس الشيء مع نوعي النهج الآخرين. يمكن أن تكون هذه هي مرحلتك الثانية، حيث يمكنك زيادة استخدام الميزات تدريجيا أثناء التنقل وتحسين إعداداتها. على سبيل المثال، قد تختار عدم إرسال إعلامات البريد الإلكتروني للمستخدم في البداية بينما ترى عدد التطابقات التي يكتشفها النهج الخاص بك. ثم في النهاية قد تقرر تشغيل إعلامات البريد الإلكتروني بينما لا تزال النهج في وضع الاختبار (في مرحلة تحديد النتائج لإعدادات النهج). إذا كان المستخدمون يحصلون على عدد كبير جدا من رسائل البريد الإلكتروني، فارجع إلى إعدادات النتائج الخاصة بالنهج لضبط تكرار الإعلامات. يمكن أن يساعدك كل هذا الضبط الدقيق في قياس التأثير المطلوب على المستخدمين قبل نشر النهج على نطاق أوسع في جميع أنحاء مؤسستك.

الإعدادات الموصى بها لنوعي النهج الآخرين

فيما يلي توصيات محددة للإعدادات الرئيسية عند إنشاء أول نهج نقل البياناتوالإفراط في عرض البيانات .

نقل البيانات:

  • لكي تراقب البيانات، حدد SITs محددة.
  • لاختيار المستخدمين والمجموعات التي يغطيها هذا النهج، حدد حلقة داخلية للمستخدمين.
  • لاختيار شروط النهج، اختر الشرط الأكثر أهمية.
  • لتحديد النتائج عند الكشف عن تطابق نهج، قم بتشغيل إعلامات البريد الإلكتروني.
  • لتحديد التنبيهات والحدود، قم بتشغيل التنبيهات لكل مرة يحدث فيها نشاط.
  • بالنسبة إلى تحديد وضع النهج، قم بتشغيل وضع النهج (الذي يؤدي إلى إيقاف تشغيل وضع الاختبار).

تصغير البيانات:

  • لكي تتم مراقبة البيانات، اختر SITs معينة أو مجموعات تصنيف.
  • لاختيار المستخدمين والمجموعات التي يغطيها هذا النهج، حدد حلقة داخلية للمستخدمين.
  • لاختيار شروط النهج، اختر 30 أو 60 أو 90 أو 120 يوما.
  • بالنسبة إلى تحديد وضع النهج، احتفظ بالنهج في وضع الاختبار.

تعظيم أداء النهج لتقليل مخاطر الخصوصية

السماح بتشغيل النهج لمدة أسبوعين إلى أربعة أسابيع على الأقل. خلال هذا الوقت، يجب مراجعة النتائج التالية وتوثيقها:

  • التطابقات التي تم إنشاؤها بواسطة كل نوع نهج ومثيلات الإيجابيات الخاطئة والسلبيات الكاذبة
  • التأثير والملاحظات من المستخدمين والمسؤولين

استنادا إلى النتائج التي توصلت إليها، يمكنك الآن ضبط أداء النهج عن طريق القيام بما يلي:

  • تضمين أو استبعاد مجموعات SITs أو التصنيف الجاهزة والمخصصة
  • إنشاء إصدارات من النهج مع الشروط ومجموعات المستخدمين لجعل الاستهداف أكثر كفاءة
  • تعديل حدود النهج، بما في ذلك تكرار رسائل البريد الإلكتروني للمستخدمين، وعدد الأيام التي يجب مراقبتها، وما إلى ذلك.

فكر في هذا على أنه مرحلتك الثالثة. يمكنك إنشاء المزيد من الإصدارات من كل نوع نهج ونشرها في المؤسسة بأكملها في جولتين: جولة أولى تغطي 50٪ من المستخدمين، وجولة ثانية تغطي 100٪ من المستخدمين.

هذه هي أيضا المرحلة التي تقوم فيها بتجميع التعلم استنادا إلى سلوك المستخدم كما هو ملاحظ في Priva وإنشاء تدريب خصوصية محدد للمستخدمين، والذي يمكنك تضمينه في إعلامات البريد الإلكتروني للمستخدم الخاصة بنهجك.

الخطوة التالية

تفضل بزيارة الخطوة 3. ابق على المسار الصحيح مع لوائح الخصوصية.