Datenschutz und -schutz – Schützen und Steuern von Daten
Willkommen bei Schritt 2 der Verwaltung des Datenschutzes und des Datenschutzes mit Microsoft Priva und Microsoft Purview: Schützen und Steuern Ihrer Daten.
Wenn Sie wissen, über welche personenbezogenen Daten Sie verfügen, wo sie sich befinden und welche gesetzlichen Anforderungen sie haben, ist es an der Zeit, Dinge zum Schutz dieser Daten zu erstellen. Microsoft bietet umfassende, robuste Funktionen, mit denen Sie personenbezogene Daten auf zwei Arten schützen können:
- Features, die IT-Administratoren einrichten, um vertrauliche Elemente zu kategorisieren und Schutzmaßnahmen zu ergreifen, und
- Features, die es Ihren Mitarbeitern ermöglichen, Datenschutzprobleme schnell zu erkennen und zu beheben und sich mit fundierten Methoden für den Umgang mit Daten vertraut zu machen.
Erforderliche Maßnahmen
| Aktion | Beschreibung | Abrufen von Details |
|---|---|---|
| Identifizieren Sie typen vertraulicher Informationen, damit Sie wissen, was geschützt werden muss. | Das Identifizieren und Kategorisieren vertraulicher Elemente, die von Ihrem organization verwaltet werden, ist der erste Schritt in der disziplinierten Information Protection. Microsoft Purview bietet drei Möglichkeiten zum Identifizieren von Elementen, sodass sie a) manuell von Benutzern kategorisiert werden können, b) automatisierte Mustererkennung wie vertrauliche Informationstypen und c) maschinelles Lernen. Typen vertraulicher Informationen (SIT) sind musterbasierte Klassifizierer. Sie erkennen vertrauliche Informationen wie Sozialversicherung, Kredit- Karte oder Bankkontonummern, um vertrauliche Elemente zu identifizieren. |
Weitere Informationen zu typen vertraulicher Informationen Anzeigen der vollständigen Liste vertraulicher Informationstypen |
| Kategorisieren und bezeichnen Sie Ihre Inhalte, damit Sie Features anwenden können, um sie zu schützen. | Das Kategorisieren und Bezeichnen von Inhalten, damit sie geschützt und ordnungsgemäß behandelt werden können, ist der Ausgangspunkt für die Disziplin zum Schutz von Informationen. Microsoft 365 verfügt über drei Möglichkeiten zum Klassifizieren von Inhalten. | Weitere Informationen zu trainierbaren Klassifizierern |
| Wenden Sie Vertraulichkeitsbezeichnungen an, um Daten zu schützen, auch wenn sie roamingn. | Wenn Sie Ihre vertraulichen Daten identifiziert haben, sollten Sie sie schützen. Dies ist oft eine Herausforderung, wenn Menschen mit anderen innerhalb und außerhalb des organization zusammenarbeiten. Diese Daten können überall, geräte-, app- und dienstübergreifend übertragen werden. Beim Roaming soll dies auf sichere, geschützte Weise durchgeführt werden, die den Geschäfts- und Konformitätsrichtlinien Ihres organization entspricht. Mit Vertraulichkeitsbezeichnungen aus Microsoft Purview Information Protection können Sie die Daten Ihrer Organisation klassifizieren und schützen und gleichzeitig sicherstellen, dass Produktivität und Zusammenarbeit der Benutzer nicht beeinträchtigt werden. |
Weitere Informationen zu Vertraulichkeitsbezeichnungen |
| Verwenden Sie Richtlinien zur Verhinderung von Datenverlust, um die Freigabe personenbezogener Daten zu verhindern. | Organisationen haben vertrauliche Informationen wie Finanzdaten, proprietäre Daten, Kreditnummern Karte, Gesundheitsdaten oder Sozialversicherungsnummern unter ihrer Kontrolle. Um vertrauliche Informationen zu schützen und Risiken zu reduzieren, benötigen sie eine Möglichkeit, ihre Benutzer daran zu hindern, sie unangemessen mit Personen zu teilen, die sie nicht besitzen sollten. Diese Vorgehensweise wird als Verhinderung von Datenverlust (Data Loss Prevention, DLP) bezeichnet. Mit Microsoft Purview Data Loss Prevention implementieren Sie die Verhinderung von Datenverlust, indem Sie DLP-Richtlinien definieren und anwenden, um vertrauliche Elemente in Microsoft 365-Diensten wie Teams, Exchange, SharePoint und OneDrive zu identifizieren, zu überwachen und automatisch zu schützen. Office-Anwendungen wie Word, Excel und PowerPoint; Windows 10-, Windows 11- und macOS-Endpunkte (die aktuelle Version und die beiden vorherigen Versionen von macOS), Nicht-Microsoft-Cloud-Apps sowie lokale Dateifreigaben und lokales SharePoint. Diese DLP-Lösung erkennt vertrauliche Elemente mithilfe einer umfassenden Inhaltsanalyse, nicht nur durch eine einfache Textüberprüfung. Der Inhalt wird auf Übereinstimmungen primärer Daten mit Schlüsselwörtern analysiert, indem reguläre Ausdrücke ausgewertet werden, interne Funktionsüberprüfungen und sekundäre Daten, die sich in der Nähe der primären Dateneinstimmung befinden. Darüber hinaus verwendet DLP auch Machine Learning-Algorithmen und andere Methoden, um Inhalte zu erkennen, die Ihren DLP-Richtlinien entsprechen. |
Weitere Informationen zur Verhinderung von Datenverlust |
| Steuern Ihrer Microsoft 365-Daten für Compliance- oder gesetzliche Anforderungen | Informationsgovernance-Kontrollen können in Ihrer Umgebung eingesetzt werden, um anforderungen an die Einhaltung des Datenschutzes zu erfüllen, einschließlich einer Nummer, die für die Datenschutz-Grundverordnung (DSGVO), HIPAA-HITECH (USA Health Care Privacy Act), California Consumer Protection Act (CCPA) und das Brasilianische Datenschutzgesetz (LGPD) spezifisch ist. Microsoft Purview-Datenlebenszyklusverwaltung und Microsoft Purview-Datensatzverwaltung diese Steuerelemente in Form von Aufbewahrungsrichtlinien, Aufbewahrungsbezeichnungen und Datensatzverwaltungsfunktionen bereitstellen. | Erfahren Sie, wie Sie eine Datengovernancelösung mit Microsoft Purview bereitstellen. |
| Richten Sie die sichere Speicherung personenbezogener Daten in Microsoft Teams ein. | Wenn Sie planen, hochsensible personenbezogene Daten in Teams zu speichern, können Sie ein privates Team konfigurieren und eine Vertraulichkeitsbezeichnung verwenden, die speziell konfiguriert ist, um den Zugriff auf das Team und die darin enthaltenen Dateien zu schützen. | Weitere Informationen zum Konfigurieren eines Teams mit Sicherheitsisolation |
| Ermöglichen Sie Benutzern, potenzielle Risiken zu erkennen und Probleme zu beheben. | Erstellen Sie Datenverarbeitungsrichtlinien in Priva Privacy Risk Management, damit Ihre Benutzer Risiken in den von ihnen erstellten und verwalteten Daten sofort erkennen können. Benachrichtigungs-E-Mails benachrichtigen Benutzer, wenn sie Elemente mit personenbezogenen Daten außerhalb des organization übertragen, Inhalte zu allgemein zugänglich machen oder personenbezogene Daten zu lange speichern. Die Benachrichtigungen fordern Benutzer auf, sofortige Korrekturmaßnahmen zum Schutz personenbezogener Daten zu ergreifen, und enthalten Links zu den bevorzugten Datenschutzschulungen Ihrer organization. |
Weitere Informationen zum Datenschutz-Risikomanagement Erstellen einer Richtlinie zum Verhindern von Datenübertragungen, übermäßiger Exposure oder Hoarding Richten Sie Benachrichtigungen für Benutzer ein, um Probleme mit inhalten zu beheben, die sie behandeln. |
| Verwenden Sie die Datensatzverwaltung für hochwertige Elemente, die für geschäftliche, rechtliche oder behördliche Aufbewahrungsanforderungen verwaltet werden müssen. | Ein Datensatzverwaltungssystem ist eine Lösung für Organisationen zum Verwalten gesetzlicher, rechtlicher und unternehmenskritischer Datensätze. Microsoft Purview-Datensatzverwaltung hilft einem organization, seine gesetzlichen Verpflichtungen zu verwalten, bietet die Möglichkeit, die Einhaltung von Vorschriften nachzuweisen, und erhöht die Effizienz durch regelmäßige Entsorgung von Artikeln, die nicht mehr aufbewahrt werden müssen, nicht mehr wert sind oder nicht mehr für geschäftliche Zwecke erforderlich sind. |
Weitere Informationen zur Datensatzverwaltung |
Einrichten Ihrer Strategie für den Erfolg
Das Identifizieren vertraulicher Informationstypen (Sensitive Information Types, SITs), das Kategorisieren und Bezeichnen Ihrer Inhalte und die Bereitstellung von Richtlinien zur Verhinderung von Datenverlust (Data Loss Prevention, DLP) sind wichtige Schritte in einer Information Protection-Strategie. Die Links in der obigen Tabelle führen Sie zu detaillierten Anleitungen für die Durchführung dieser wesentlichen Aufgaben.
Der Schutz von Daten liegt auch in der Verantwortung jedes Benutzers in Ihrem organization, der personenbezogene Daten im Rahmen der Beruflichen Aufgaben einnimmt, erstellt und verarbeitet. Jeder Benutzer muss die internen und gesetzlichen Zuständigkeiten Ihres organization kennen und einhalten, um personenbezogene Daten überall dort zu schützen, wo sie in Ihrem organization vorhanden sind. Zu diesem Zweck unterstützt Priva Ihre Benutzer dabei, ihre Zuständigkeiten zu kennen, informiert zu sein, wenn sie Daten auf riskante Weise behandeln, und sofortige Maßnahmen ergreifen, um die Datenschutzrisiken für die organization zu minimieren.
Die drei in Priva Privacy Risk Management verfügbaren Datenverarbeitungsrichtlinien helfen Ihren Benutzern, eine proaktive Rolle bei der Datenschutzstrategie Ihrer organization zu spielen. Email Benachrichtigungen mit integrierten Wiederherstellungsaktionen fordern Benutzer auf, die erforderlichen Schutzmaßnahmen anzuwenden und eine von Ihrem organization festgelegte Datenschutzschulung durchzuführen. Dieses Bewusstsein und die Handlungsfähigkeit können dazu beitragen, bessere Gewohnheiten zur Verhinderung zukünftiger Datenschutzprobleme zu entwickeln.
Empfehlungen für Ihre erste Priva-Datenverarbeitungsrichtlinie
Es wird empfohlen, Richtlinien in einem stufenweisen Ansatz bereitzustellen, damit Sie wissen, wie sie sich verhalten, und sie entsprechend Ihren Anforderungen optimieren können. Für die erste Phase wird empfohlen, eine benutzerdefinierte Richtlinie zu erstellen, die als Grundlage des Verständnisses dient. Lassen Sie uns das Beispiel für die Erstellung einer Datenüberlastungsrichtlinie verwenden, die Inhaltselemente identifiziert, die personenbezogene Daten enthalten, auf die andere Personen möglicherweise zu allgemein zugreifen können. Ausführliche Anweisungen zum Erstellen von Richtlinien finden Sie hier.
Wenn Sie zum Schritt Daten zum Überwachen auswählen des Richtlinienerstellungs-Assistenten gelangen, empfiehlt es sich, die Option Einzelne Typen vertraulicher Informationen auszuwählen und die SITs auszuwählen, die für Ihre organization am relevantesten sind. Wenn Sie beispielsweise ein Finanzdienstleistungsunternehmen mit Kunden in Europa sind, sollten Sie wahrscheinlich die EU-Debit-Karte Nummer als eine Ihrer SITs einschließen. Die Liste der SIT-Definitionen finden Sie hier.
Im Schritt Benutzer und Gruppen auswählen, die von dieser Richtlinie abgedeckt werden , empfehlen wir, Bestimmte Benutzer oder Gruppen auszuwählen und einen kleinen inneren Kreis von Benutzern im Bereich dieser Richtlinie auszuwählen.
Im Schritt Bedingungen für die Richtlinie auswählen empfehlen wir, nur Extern auszuwählen, damit Sie Daten nachverfolgen, die Sie möglicherweise als gefährdeter betrachten, während sie die Gesamtmenge der Daten, die Sie überwachen müssen, auf besser verwaltbaren Ebenen halten.
Im Schritt Warnungen und Schwellenwerte angeben empfiehlt es sich, Warnungen ein zu aktivieren und die HäufigkeitsoptionWarnung auszuwählen, wenn eine der folgenden Bedingungen erfüllt ist. Wenn Sie Warnungen aktivieren, können Administratoren messen, ob der Schweregrad und die Häufigkeit von Warnungen ihren Anforderungen entsprechen. Beachten Sie, dass Richtlinien nicht im Nachhinein funktionieren. Wenn Sie sich also entscheiden, Warnungen zunächst deaktiviert und später zu aktivieren, werden keine Warnungen für Übereinstimmungen angezeigt, die vor dem Aktivieren von Warnungen aufgetreten sind.
Im Zustand Richtlinienmodus entscheiden empfiehlt es sich, die Richtlinie im Testmodus zu behalten und die Leistung mindestens fünf Tage lang zu überwachen. Auf diese Weise können Sie sehen, welche Art von Übereinstimmungen die Richtlinienbedingungen aufnehmen, und wie die Warnungen ausgelöst werden.
Schrittweises Einrichten weiterer Richtlinien und Optimieren der Leistung
Nachdem Sie Ihre erste Richtlinie eingerichtet und ausgeführt haben, können Sie dies auch mit den anderen beiden Richtlinientypen tun. Dies kann Ihre zweite Phase sein, in der Sie nach und nach features verwenden und deren Einstellungen optimieren. Sie können z. B. festlegen, dass Benutzer-E-Mail-Benachrichtigungen zunächst nicht gesendet werden sollen, während Sie sehen, wie viele Übereinstimmungen Ihre Richtlinie erkennt. Schließlich können Sie E-Mail-Benachrichtigungen aktivieren, während sich die Richtlinien noch im Testmodus befinden (in der Phase Ergebnisse definieren der Richtlinieneinstellungen). Wenn Benutzer zu viele E-Mails erhalten, wechseln Sie zurück zu den Ergebniseinstellungen der Richtlinie, um die Häufigkeit der Benachrichtigungen anzupassen. All diese Optimierungen können Ihnen dabei helfen, die gewünschten Auswirkungen auf Ihre Benutzer zu messen, bevor Sie die Richtlinie im gesamten organization breiter bereitstellen.
Empfohlene Einstellungen für die beiden anderen Richtlinientypen
Im Folgenden finden Sie spezifische Empfehlungen für wichtige Einstellungen beim Erstellen Ihrer ersten Datenübertragungs- und Datenüberlastungsrichtlinien .
Datenübertragung:
- Wählen Sie für zu überwachende Daten bestimmte SITs aus.
- Wählen Sie unter Benutzer und Gruppen auswählen, die von dieser Richtlinie abgedeckt sind, einen inneren Ring von Benutzern aus.
- Wählen Sie unter Bedingungen für die Richtlinie auswählen die Bedingung aus, die am wichtigsten ist.
- Aktivieren Sie für Definieren von Ergebnissen, wenn eine Richtlinienentsprechung erkannt wird, E-Mail-Benachrichtigungen.
- Aktivieren Sie für Warnungen und Schwellenwerte angeben warnungen für jedes Mal, wenn eine Aktivität auftritt.
- Aktivieren Sie für Richtlinienmodus entscheiden den Richtlinienmodus (wodurch der Testmodus deaktiviert wird).
Datenminimierung:
- Wählen Sie für zu überwachende Daten bestimmte SITs oder Klassifizierungsgruppen aus.
- Wählen Sie unter Benutzer und Gruppen auswählen, die von dieser Richtlinie abgedeckt sind, einen inneren Ring von Benutzern aus.
- Wählen Sie unter Bedingungen für die Richtlinie auswählen die Option 30, 60, 90 oder 120 Tage aus.
- Behalten Sie für Richtlinienmodus entscheiden die Richtlinie im Testmodus bei.
Maximieren der Richtlinienleistung zur Minimierung von Datenschutzrisiken
Lassen Sie die Ausführung Ihrer Richtlinien für mindestens zwei bis vier Wochen zu. Während dieser Zeit sollten Sie die folgenden Ergebnisse überprüfen und dokumentieren:
- Die übereinstimmungen, die von jedem Richtlinientyp und den Instanzen falsch positiver und falsch negativer Werte generiert werden
- Auswirkungen und Feedback von Endbenutzern und Administratoren
Basierend auf Ihren Ergebnissen können Sie nun die Richtlinienleistung wie folgt optimieren:
- Einschließen oder Ausschließen von sofort einsatzbereiten und benutzerdefinierten SITs oder Klassifizierungsgruppen
- Erstellen von Versionen der Richtlinien mit Bedingungen und Benutzergruppen, um die Zielgruppenadressierung effizienter zu gestalten
- Anpassen der Schwellenwerte der Richtlinie, einschließlich der Häufigkeit von E-Mails an Benutzer, anzahl der zu überwachenden Tage usw.
Stellen Sie sich dies als Ihre dritte Phase vor. Sie können weitere Versionen jedes Richtlinientyps erstellen und in zwei Runden für die gesamte organization bereitstellen: eine erste Runde, die 50 % Ihrer Benutzer abdeckt, und eine zweite Runde, die 100 % Ihrer Benutzer abdeckt.
Dies ist auch die Phase, in der Sie Basierend auf dem Benutzerverhalten, wie in Priva angegeben, Lernen sammeln und spezifische Datenschutzschulungen für Ihre Benutzer erstellen, die Sie in die Benutzer-E-Mail-Benachrichtigungen Ihrer Richtlinien aufnehmen können.
Nächster Schritt
Besuchen Sie Schritt 3. Bleiben Sie mit Datenschutzbestimmungen auf Kurs.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für