Tietosuoja ja tietosuoja – Suojaa ja hallinnoi tietoja
Tervetuloa vaiheeseen 2, jossa hallitaan tietosuojaa ja tietosuojaa Microsoft Priva ja Microsoft Purview: Suojaa ja hallinnoi tietojasi.
Kun tiedät, mitä henkilötietoja sinulla on, missä ne ovat ja mitä säädösten vaatimukset ovat, on aika ottaa käyttöön asioita tietojen suojaamiseksi. Microsoft tarjoaa kattavat ja vankat ominaisuudet, joiden avulla voit suojata henkilötietoja kahdella tavalla:
- OMINAISUUDET, jotka IT-järjestelmänvalvojat ovat määrittäneet luottamuksellisten kohteiden luokittelemiseksi ja suojatoimenpiteiden toiminnaksi, ja
- Ominaisuudet, joiden avulla työntekijäsi voivat havaita ja korjata tietosuojaongelmia nopeasti ja saada koulutusta järkeviin tietojenkäsittelykäytäntöihin.
Suoritettavat toiminnot
| Toiminta | Kuvaus | Hae tiedot |
|---|---|---|
| Tunnista luottamukselliset tietotyypit, jotta tiedät, mikä vaatii suojausta. | Organisaatiosi hallitsemien luottamuksellisten kohteiden tunnistaminen ja luokittelu on Information Protection kurinalaisuuden ensimmäinen vaihe. Microsoft Purview tarjoaa kolme tapaa tunnistaa kohteet niin, että käyttäjät voivat luokitella ne a) manuaalisesti, b) automatisoidun kuviontunnistuksen, kuten luottamukselliset tietotyypit, ja c) koneoppimisen. Luottamukselliset tietotyypit ovat kuviopohjaisia luokittajia. He tunnistavat arkaluonteisia tietoja, kuten sosiaaliturva-, luottokortti- tai pankkitilinumerot, arkaluonteisten kohteiden tunnistamiseksi. |
Lue lisätietoja luottamuksellisista tietotyypeistä Tarkastele luottamuksellisten tietotyyppien täydellistä luetteloa |
| Luokittele ja otsikoi sisältösi, jotta voit suojata sen ominaisuuksilla. | Sisällön luokittelu ja nimeäminen siten, että se voidaan suojata ja käsitellä oikein, on lähtökohta tietojen suojaamisen kurinalaisuudelle. Microsoft 365:ssä on kolme tapaa luokitella sisältöä. | Lue lisätietoja harjoitetettävissa luokistajista |
| Käytä luottamuksellisuustunnisteita tietojen suojaamiseksi, vaikka ne vaeltavatkin. | Kun olet tunnistanut luottamukselliset tietosi, haluat suojata ne. Tämä on usein haastavaa, kun ihmiset tekevät yhteistyötä muiden kanssa sekä organisaation sisällä että sen ulkopuolella. Näitä tietoja voi liikkua kaikkialla, eri laitteissa, sovelluksissa ja palveluissa. Kun se kulkee, haluat sen tekevän sen turvallisella ja suojatulla tavalla, joka täyttää organisaatiosi liiketoiminta- ja yhteensopivuuskäytännöt. Microsoft Purview Information Protection luottamuksellisuustunnisteiden avulla voit luokitella ja suojata organisaatiosi tietoja ja samalla varmistaa, että käyttäjän tuottavuus ja yhteistyökyky eivät ole esteenä. |
Lue lisätietoja luottamuksellisuustunnisteista |
| Tietojen menetyksen estämiskäytäntöjen avulla voit estää henkilötietojen jakamisen. | Organisaatioilla on hallinnassaan arkaluonteisia tietoja, kuten taloustietoja, omistusoikeudellisia tietoja, luottokorttinumeroita, terveystietoja tai sosiaaliturvatunnukset. Luottamuksellisten tietojen suojaamiseksi ja riskien vähentämiseksi he tarvitsevat keinon estää käyttäjiä jakamasta niitä sopimattomasti henkilöille, joilla ei pitäisi olla niitä. Tätä käytäntöä kutsutaan tietojen menetyksen estämiseksi (DLP). Microsoft Purview -tuotteen tietojen menetyksen esto avulla tietojen menetyksen estäminen toteutetaan määrittämällä ja ottamalla käyttöön DLP-käytäntöjä, joilla tunnistetaan, valvotaan ja suojataan automaattisesti luottamuksellisia kohteita Microsoft 365 -palveluissa, kuten Teamsissa, Exchangessa, SharePointissa ja OneDrivessa. Office-sovellukset, kuten Word, Excel ja PowerPoint; Windows 10, Windows 11 ja macOS:n (macOS:n nykyinen versio ja kaksi aiempaa versiota) päätepisteet; muut kuin Microsoft-pilvisovellukset; paikalliset tiedostoresurssit ja paikallinen SharePoint. Tämä DLP-ratkaisu tunnistaa luottamuksellisia kohteita syväsisältöanalyysin avulla, ei pelkästään yksinkertaisella tekstin tarkistuksella. Sisältö analysoidaan, jotta ensisijaiset tiedot vastaavat avainsanoja, arvioimalla säännönmukaisia lausekkeita, suorittamalla sisäisen funktion vahvistuksen ja toissijaisilla tietovastaavuilla, jotka ovat lähellä ensisijaista tietovastaavuutta. Sen lisäksi DLP käyttää myös koneoppimisalgoritmeja ja muita menetelmiä DLP-käytäntöjäsi vastaavan sisällön havaitsemiseksi. |
Lisätietoja tietojen menetyksen estämisestä |
| Hallitse Microsoft 365 -tietojasi vaatimustenmukaisuus- tai sääntelyvaatimusten vuoksi | Tietohallintoa voidaan käyttää ympäristössäsi tietosuojan vaatimustenmukaisuustarpeisiin vastaamiseksi, mukaan lukien yleisen tietosuoja-asetuksen (GDPR) mukainen luku, HIPAA-HITECH (Yhdysvallat terveydenhuollon tietosuojalaki), Kalifornian kuluttajansuojalaki (CCPA) ja Brasilian tietosuojalaki (LGPD). Microsoft Purview -tuotteen tietojen elinkaaren hallinta ja Microsoft Purview -tuotteen tietueiden hallinta tarjoavat näitä ohjausobjekteja säilytyskäytäntöjen, säilytysotsikoiden ja tietueiden hallintaominaisuuksien muodossa. | Lue, miten voit ottaa käyttöön tietojen hallintaratkaisun Microsoft Purview'n avulla |
| Määritä henkilötietojen suojattu tallennustila Microsoft Teamsissa. | Jos aiot tallentaa erittäin luottamuksellisia henkilötietoja Teamsissa, voit määrittää yksityisen tiimin ja käyttää luottamuksellisuustunnistetta, joka on erityisesti määritetty suojaamaan tiimin ja sen sisältämien tiedostojen käyttöoikeudet. | Lisätietoja ryhmän määrittämisestä suojauksen eristyksessä |
| Anna käyttäjille mahdollisuus havaita mahdollisia riskejä ja korjata ongelmia. | Luo tietojenkäsittelykäytäntöjä Priva Privacy Risk Management, jotta käyttäjät voivat välittömästi tunnistaa luomiensa ja hallitsemiensa tietojen riskit. Ilmoitussähköpostiviestit ilmoittavat käyttäjille, kun he siirtävät henkilötietoja sisältäviä kohteita organisaation ulkopuolella, tekevät sisällöstä liian laajaan käytettävissä tai pitävät henkilötietoja liian kauan. Ilmoitukset kehottavat käyttäjiä ryhtymään välittömiin korjaustoimiin henkilötietojen suojaamiseksi ja sisältämään linkkejä organisaatiosi ensisijaiseen tietosuojakoulutukseen. |
Lue lisätietoja tietosuojariskien hallinnasta Luo käytäntö, joka estää tiedonsiirron, ylitäydentämisen tai hamstraamisen Määritä käyttäjille ilmoituksia, joiden avulla he voivat korjata käsittelemäänsä sisältöön liittyviä ongelmia |
| Käytä tietueiden hallintaa arvokohteille, joita on hallittava liiketoimintaa, lainmukaisia tai lakisääteisiä tietojen säilyttämisvaatimuksia varten. | Tietueiden hallintajärjestelmä on organisaatioille ratkaisu sääntelyyn, lakiin ja liiketoimintaan liittyvien tärkeiden tietueiden hallintaan. Microsoft Purview -tuotteen tietueiden hallinta auttaa organisaatiota hallitsemaan oikeudellisia velvoitteitaan, tarjoaa mahdollisuuden osoittaa säädösten noudattamisen ja parantaa tehokkuutta säännöllisellä kohteiden luovutuksilla, joita ei enää vaadita säilyttää, jotka eivät ole enää arvokkaita tai joita ei enää tarvita liiketoimintatarkoituksiin. |
Lisätietoja tietueiden hallinnasta |
Onnistumisstrategian määrittäminen
Luottamuksellisten tietotyyppien (SIT) tunnistaminen, sisällön luokittelu ja nimeäminen sekä tietojen menetyksen estämiskäytäntöjen (DLP) käyttöönotto ovat avainvaiheita tietojen suojausstrategiassa. Yllä olevan taulukon linkit vievät yksityiskohtaisiin ohjeisiin näiden tärkeiden tehtävien suorittamiseksi.
Tietojen suojaaminen on myös jokaisen organisaation käyttäjän vastuulla, joka tarkastelee, luo ja käsittelee henkilötietoja työn aikana. Jokaisen käyttäjän on tiedettävä ja noudatettava organisaatiosi sisäisiä ja säädösten vastuualueita henkilötietojen suojaamiseksi aina, kun niitä on organisaatiossasi. Tätä varten Priva auttaa sinua antamaan käyttäjillesi mahdollisuuden tietää vastuunsa, saada tietoa siitä, kun he käsittelevät tietoja riskialttiilla tavoilla, ja ryhtyä välittömiin toimiin minimoidaksesi tietosuojariskit organisaatiolle.
Priva Privacy Risk Management kolme tietojen käsittelykäytäntöä auttavat käyttäjiäsi toimimaan ennakoivasti organisaatiosi tietosuojastrategiassa. Sähköposti-ilmoitukset, joissa on sisäisiä korjaustoimintoja, kehottavat käyttäjiä käyttämään tarvittavia suojauksia ja ottamaan organisaatiosi määrittämän tietosuojakoulutuksen. Tämä tietoisuus ja toimintakyky voivat auttaa kehittämään parempia tapoja tulevien tietosuojaongelmien ehkäisemiseksi.
Suosituksia ensimmäiselle Priva-tietojenkäsittelykäytännölle
Suosittelemme ottamaan käytännöt käyttöön vaiheittaisessa lähestymistavassa, jotta voit tutustua niiden toimintaan ja optimoida ne tarpeidesi mukaan. Ensimmäisessä vaiheessa suosittelemme luomaan yhden mukautetun käytännön, joka toimii pohjana ymmärtämiselle. Käytetään esimerkkinä tietojen liiallisen ulkoistamiskäytännön luomista. Siinä tunnistetaan henkilötietoja sisältävät sisältökohteet, jotka saattavat olla liian laajasti muiden käyttäjien käytettävissä. Yksityiskohtaiset ohjeet käytännön luomisesta alkavat täältä.
Kun siirryt ohjatun käytännön luomistoiminnon Valitse tiedot - kohtaan, suosittelemme, että valitset Yksittäiset luottamukselliset tietotyypit -vaihtoehdon ja valitset organisaatiollesi tärkeimmät STIT:t. Jos olet esimerkiksi rahoituspalveluyritys, jolla on asiakkaita Euroopassa, haluat todennäköisesti sisällyttää EU-pankkikortin numeron yhdeksi SIT:stäsi. Katso SIT-määritysten luettelo tästä.
Tämän käytännön vaiheen Valitse käyttäjät ja ryhmät -kohdassa suosittelemme valitsemaan Tietyt käyttäjät tai ryhmät ja valitsemaan tälle käytännölle pienen käyttäjäpiirin.
Käytäntövaiheen Valitse ehdot -kohdassa suosittelemme valitsemaan vain Ulkoinen, jotta seuraat tietoja, joita saatat pitää riskialttiimpina, säilyttäen samalla niiden tietojen kokonaismäärän, joita sinun on valvottava helpommin hallittavalla tasolla.
Määritä ilmoitukset ja raja-arvot -vaiheessa suosittelemme ilmoitusten ottaminen käyttöön ja ilmoitusten tiheysasetuksen valitsemista, kun jokin alla olevista ehdoista täyttyy. Ilmoitusten ottaminen käyttöön auttaa järjestelmänvalvojia mittaamaan, täyttävätkö hälytysten vakavuus ja tiheys heidän tarpeensa. Huomaa, että käytännöt eivät toimi takautuvasti, joten jos päätät pitää hälytykset ensin poissa käytöstä ja ottaa ne myöhemmin käyttöön, et näe ilmoituksia vastaavuuksista, jotka tapahtuivat ennen ilmoitusten käyttöönomista.
Päätä käytäntötila -tilassa suosittelemme, että pidät käytännön testitilassa ja valvot sen suorituskykyä vähintään viiden päivän ajan. Näin näet, millaisia vastaavuuksia käytäntöehdot poimivat ja miten hälytykset käynnistyvät.
Lisää käytäntöjä ja hienosäädä suorituskykyä asteittain
Ensimmäisen käytännön määrittämisen ja suorittamisen jälkeen haluat ehkä tehdä saman kahden muun käytäntötyypin kanssa. Tämä voi olla toinen vaihe, jossa opit vähitellen käyttämään ominaisuuksia samalla, kun optimoit niiden asetuksia. Voit esimerkiksi aluksi olla lähettämättä käyttäjän sähköposti-ilmoituksia , kun näet, kuinka monta vastaavuutta käytäntösi havaitsee. Voit lopulta päättää ottaa sähköposti-ilmoitukset käyttöön, kun käytännöt ovat vielä testitilassa ( käytäntöasetusten Määritä tulokset -vaiheessa). Jos käyttäjät saavat liian monta sähköpostiviestiä, siirry takaisin käytännön Tulokset-asetuksiin ja säädä ilmoitusten tiheyttä. Kaikki tämä hienosäätö voi auttaa mittaamaan toivottua vaikutusta käyttäjiin, ennen kuin otat käytännön käyttöön laajemmin koko organisaatiossasi.
Kahden muun käytäntötyypin suositellut asetukset
Alla on suosituksia tärkeille asetuksille, kun luot ensimmäisen tiedonsiirron ja tietojen ylikäyttökäytännöt .
Tiedonsiirto:
- Valitse tietyt SIT-tiedot, jotta tietoja voidaan valvoa.
- Valitse Valitse käyttäjät ja ryhmät, joita tämä käytäntö koskee, valitse käyttäjien sisäinen rengas.
- Valitse käytännön Valitse ehdot -kohdassa ehto, jolla on eniten merkitystä.
- Ota sähköposti-ilmoitukset käyttöön Määritä tulokset, kun käytäntövastaavuus havaitaan -ruudussa.
- Määritä ilmoitukset ja raja-arvot -kohdassa ota ilmoitukset käyttöön aina, kun toiminto tapahtuu.
- Ota Käytäntötila-kohdassa Käyttöön käytäntötila (joka poistaa testitilan käytöstä).
Tietojen pienentäminen:
- Valitse valvottavalle tiedolle tietyt SIT- tai luokitusryhmät.
- Valitse Valitse käyttäjät ja ryhmät, joita tämä käytäntö koskee, valitse käyttäjien sisäinen rengas.
- Valitse käytännön Valitse ehdot -kohdassa 30, 60, 90 tai 120 päivää.
- Pidä Käytäntö-kohdassa Valitse käytäntö testitilassa.
Käytännön suorituskyvyn maksimointi tietosuojariskien minimoimiseksi
Salli käytäntöjen suorittaminen vähintään 2–4 viikkoa. Tänä aikana sinun on tarkistettava ja dokumentoitava seuraavat tulokset:
- Kunkin käytäntötyypin luomat vastaavuudet sekä false-positiivisten ja false-negatiivisten esiintymien esiintymät
- Vaikutus ja loppukäyttäjien ja järjestelmänvalvojien palaute
Havaintojen perusteella voit nyt hienosäätää käytännön suorituskykyä toimimalla seuraavasti:
- Valmiiden ja mukautettujen SIT:iden tai luokitusryhmien sisällyttäminen tai pois jättäminen
- Luomalla versioita käytännöistä ehdoilla ja käyttäjäryhmillä, jotta kohdistaminen olisi tehokkaampaa
- Käytännön raja-arvojen säätäminen, mukaan lukien käyttäjille lähetettyjen sähköpostiviestien määrä, valvottavien päivien määrä jne.
Ajattele tätä kolmantena vaiheena. Voit luoda enemmän versioita kustakin käytäntötyypistä ja ottaa ne käyttöön koko organisaatiossa kahdella kierroksella: ensimmäinen kierros, joka kattaa 50 % käyttäjistäsi, ja toinen kierros, joka kattaa 100% käyttäjistäsi.
Tämä on myös vaihe, jossa keräät käyttäjän käyttäytymiseen perustuvia oppimia, kuten Privassa on mainittu, ja luot käyttäjillesi erityistä tietosuojakoulutusta, jonka voit sisällyttää käytäntöjesi käyttäjän sähköposti-ilmoituksiin.
Seuraavat vaiheet
Siirry vaiheeseen 3. Pysy ajan tasalla tietosuojamääräyksistä.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle