Adatvédelem és adatvédelem – Adatok védelme és szabályozása
Üdvözöljük az adatvédelem és adatvédelem Microsoft Priva és a Microsoft Purview: Az adatok védelme és szabályozása című 2. lépésben.
Ha tudja, hogy milyen személyes adatokkal rendelkezik, hol vannak, és milyen szabályozási követelményekkel rendelkezik, ideje, hogy az adatok védelme érdekében mindent megtehessenek. A Microsoft átfogó, robusztus képességeket biztosít a személyes adatok kétféle módon történő védelméhez:
- Az informatikai rendszergazdák által a bizalmas elemek kategorizálására és védelmi műveletekre beállított funkciók, valamint
- Olyan funkciók, amelyek lehetővé teszik az alkalmazottak számára, hogy gyorsan észlelik és kijavítják az adatvédelmi problémákat, és betanulják a megfelelő adatkezelési eljárásokat.
Végrehajtandó műveletek
| Művelet | Leírás | Részletek lekérése |
|---|---|---|
| Azonosítsa a bizalmasadat-típusokat, hogy tudja, mit kell védenie. | A szervezet által kezelt bizalmas elemek azonosítása és kategorizálása a Information Protection szemlélet első lépése. A Microsoft Purview háromféleképpen azonosítja az elemeket, hogy manuálisan kategorizálhatók legyenek a) felhasználók, b) automatizált mintafelismerés, például bizalmas információtípusok és c) gépi tanulás. A bizalmasadat-típusok (SIT) mintán alapuló osztályozók. Észlelik a bizalmas adatokat, például a társadalombiztosítási adatokat, a hitelkártyákat vagy a bankszámlaszámokat a bizalmas elemek azonosításához. |
További információ a bizalmasadat-típusokról Bizalmasadat-típusok teljes listájának megtekintése |
| Kategorizálhatja és címkézheti a tartalmakat, hogy védelemmel lássa el a funkciókat. | A tartalom kategorizálása és címkézése a védelem és a megfelelő kezelés érdekében az információvédelmi szemlélet kiindulópontja. A Microsoft 365 háromféleképpen sorolja be a tartalmakat. | További információ a betanítható osztályozókról |
| Bizalmassági címkéket alkalmazhat az adatok védelmére, még akkor is, ha azok barangolnak. | Ha azonosította a bizalmas adatokat, meg kell védenie őket. Ez gyakran kihívást jelent, ha az emberek a szervezeten belül és kívül is együttműködnek másokkal. Az adatok mindenhol, az eszközök, alkalmazások és szolgáltatások között barangolhatnak. Ha pedig barangol, azt szeretné, hogy biztonságos, védett módon tegye meg, amely megfelel a szervezet üzleti és megfelelőségi szabályzatainak. A Microsoft Purview információvédelem bizalmassági címkéi lehetővé teszik a szervezet adatainak besorolását és védelmét, miközben gondoskodhat arról, hogy a felhasználók termelékenysége és együttműködése ne legyen akadályozva. |
További információ a bizalmassági címkékről |
| Használjon adatveszteség-megelőzési szabályzatokat a személyes adatok megosztásának megakadályozására. | A szervezetek bizalmas adatokkal rendelkeznek, például pénzügyi adatokkal, tulajdonosi adatokkal, hitelkártyaszámokkal, egészségügyi nyilvántartásokkal vagy társadalombiztosítási számokkal. A bizalmas információk védelme és a kockázatok csökkentése érdekében meg kell akadályozniuk, hogy a felhasználók nem megfelelően oszthassák meg azokat olyan személyekkel, akiknek nem kellene. Ezt a gyakorlatot adatveszteség-megelőzésnek (DLP) nevezzük. A Microsoft Purview adatveszteség-megelőzés használatával adatveszteség-megelőzést valósíthat meg DLP-szabályzatok definiálásával és alkalmazásával a bizalmas elemek azonosítására, figyelésére és automatikus védelmére a Microsoft 365-szolgáltatásokban, például a Teamsben, az Exchange-ben, a SharePointban és a OneDrive-on; Office-alkalmazások, például Word, Excel és PowerPoint; Windows 10, Windows 11 és macOS (a macOS jelenlegi verziója és az előző két verzió) végpontok; nem Microsoft-felhőalkalmazások; valamint helyszíni fájlmegosztások és helyszíni SharePoint. Ez a DLP-megoldás mély tartalomelemzéssel észleli a bizalmas elemeket, nem csupán egy egyszerű szöveges vizsgálattal. A tartalom elemzése során a rendszer elemzi az elsődleges adatok kulcsszavakkal való egyezéseit, a reguláris kifejezések kiértékelését, a belső függvényérvényesítést és az elsődleges adatok egyezéséhez közel álló másodlagos adategyezéseket. Ezen túlmenően a DLP gépi tanulási algoritmusokat és más módszereket is használ a DLP-szabályzatoknak megfelelő tartalom észlelésére. |
További információ az adatveszteség-megelőzésről |
| A Microsoft 365-adatok szabályozása megfelelőségi vagy szabályozási követelmények alapján | Az információirányítási vezérlők a környezetében alkalmazhatók az adatvédelmi megfelelőségi igények kielégítéséhez, beleértve az általános adatvédelmi rendeletre (GDPR), a HIPAA-HITECH-re (az Egyesült Államok egészségügyi adatvédelmi törvényre), a kaliforniai fogyasztóvédelmi törvényre (CCPA) és a brazíliai adatvédelmi törvényre (LGPD) vonatkozó számokat. Microsoft Purview adatélettartam-kezelés és Microsoft Purview Rekordkezelés biztosítják ezeket a vezérlőket adatmegőrzési házirendek, adatmegőrzési címkék és rekordkezelési képességek formájában. | Megtudhatja, hogyan helyezhet üzembe adatszabályozási megoldást a Microsoft Purview-val |
| Személyes adatok biztonságos tárolásának beállítása a Microsoft Teamsben. | Ha rendkívül bizalmas személyes adatokat szeretne tárolni a Teamsben, konfigurálhat egy privát csapatot, és használhat egy bizalmassági címkét, amely kifejezetten a csoporthoz és a benne lévő fájlokhoz való hozzáférés biztonságossá tételére van konfigurálva. | További információ a biztonsági elkülönítéssel rendelkező csapatok konfigurálásáról |
| Lehetővé teheti a felhasználók számára a potenciális kockázatok azonosítását és a problémák megoldását. | Hozzon létre adatkezelési szabályzatokat Priva adatbiztonsági kockázatkezelés, hogy a felhasználók azonnal azonosíthassák az általuk létrehozott és kezelt adatok kockázatait. Az értesítési e-mailek figyelmeztetik a felhasználókat, amikor személyes adatokat tartalmazó elemeket továbbítanak a szervezeten belül, túl széles körben elérhetővé teszik a tartalmat, vagy túl sokáig tartják a személyes adatokat. Az értesítések arra kérik a felhasználókat, hogy azonnali javítási lépéseket tegyenek a személyes adatok védelme érdekében, és tartalmazzák a szervezet által előnyben részesített adatvédelmi képzésre mutató hivatkozásokat. |
További információ az adatvédelmi kockázatkezelésről Szabályzat létrehozása az adatátvitel, a túlexponálás vagy az adattovábbítás megakadályozásához Értesítések beállítása a felhasználók számára az általuk kezelt tartalommal kapcsolatos problémák megoldásához |
| A rekordkezelést olyan nagy értékű elemekhez használja, amelyeket üzleti, jogi vagy szabályozási nyilvántartási követelményekhez kell kezelni. | A rekordkezelő rendszer olyan megoldás a szervezetek számára, amely szabályozási, jogi és üzleti szempontból kritikus fontosságú rekordokat kezel. Microsoft Purview Rekordkezelés segít a szervezeteknek jogi kötelezettségeik kezelésében, lehetővé teszi a szabályozásoknak való megfelelés igazolását, és növelik a hatékonyságot az olyan elemek rendszeres törlésével, amelyeket már nem kell megőrizni, többé nem kell értékesíteni, vagy már nincs szükség üzleti célokra. |
További információ a rekordkezelésről |
A stratégia beállítása a sikerhez
A bizalmasadat-típusok (SIT-k) azonosítása, a tartalom kategorizálása és címkézése, valamint az adatveszteség-megelőzési (DLP-) szabályzatok üzembe helyezése az adatvédelmi stratégia kulcsfontosságú lépései. A fenti táblázatban található hivatkozások részletes útmutatást nyújtanak ezeknek az alapvető feladatoknak a végrehajtásához.
Az adatok védelme a szervezet minden olyan felhasználójának felelőssége is, aki a munkaköri feladatok során megtekinti, létrehozza és kezeli a személyes adatokat. Minden felhasználónak ismernie és be kell tartania a szervezet belső és szabályozási felelősségeit a személyes adatok védelme érdekében, bárhol is legyenek azok a szervezetben. Ennek érdekében a Priva segít abban, hogy a felhasználók tisztában legyenek a felelősségükkel, hogy kockázatos módon értesüljenek az adatok kezeléséről, és azonnali lépéseket tegyenek a szervezetet érintő adatvédelmi kockázatok minimalizálása érdekében.
A Priva adatbiztonsági kockázatkezelés három adatkezelési szabályzata segít a felhasználóknak proaktív szerepet játszani a szervezet adatvédelmi stratégiájában. Email beépített javítási műveletekkel rendelkező értesítések arra kérik a felhasználókat, hogy alkalmazzák a szükséges védelmet, és vegyenek részt a szervezet által kijelölt adatvédelmi képzésen. Ez a tudatosság és a cselekvés képessége segíthet a jövőbeli adatvédelmi problémák megelőzésére szolgáló jobb szokások fejlesztésében.
Javaslatok az első Priva adatkezelési szabályzathoz
Javasoljuk, hogy a szabályzatokat szakaszos megközelítésben helyezze üzembe, hogy megismerhesse azok viselkedését, és az igényeinek megfelelően optimalizálhassa őket. Az első fázisban azt javasoljuk, hogy hozzon létre egy egyéni szabályzatot, amely a megértés alapjaként szolgál. Vegyük példaként az adattúllépési szabályzat létrehozását, amely azonosítja azokat a személyes adatokat tartalmazó tartalomelemeket, amelyeket mások túl széles körben elérhetnek. A szabályzatlétrehozás részletes utasításait itt találja.
A szabályzatlétrehozási varázsló Figyelendő adatok kiválasztása lépésének kiválasztásakor javasoljuk, hogy válassza az Egyéni bizalmasadat-típusok lehetőséget, és válassza ki a szervezet szempontjából legrelevánsabb SIT-ket. Ha például Ön egy európai ügyfelekkel rendelkező pénzügyi szolgáltató vállalat, valószínűleg az EU bankkártyaszámát szeretné megadni az SIT-k egyikeként. A SIT-definíciók listáját itt találja.
A Szabályzat által érintett felhasználók és csoportok kiválasztása lépésben javasoljuk, hogy válassza az Adott felhasználók vagy csoportok lehetőséget, és válasszon ki egy kis belső felhasználói kört a szabályzat hatókörében.
A Szabályzat feltételeinek kiválasztása lépésben azt javasoljuk, hogy csak a Külső lehetőséget válassza ki, hogy könnyebben nyomon követhesse azokat az adatokat, amelyeket nagyobb kockázatnak tekinthet, miközben kezelhetőbb szinteken tarthatja a monitorozni kívánt adatok teljes mennyiségét.
A Riasztások és küszöbértékek megadása lépésben javasoljuk, hogy kapcsolja be a riasztásokat, és válassza a Riasztás gyakorisága lehetőséget, ha az alábbi feltételek valamelyike teljesül. A riasztások bekapcsolása segít a rendszergazdáknak felmérni, hogy a riasztások súlyossága és gyakorisága megfelel-e az igényeiknek. Vegye figyelembe, hogy a szabályzatok visszamenőlegesen nem működnek, ezért ha úgy dönt, hogy először kikapcsolja a riasztásokat, majd később bekapcsolja őket, a riasztások bekapcsolása előtt nem fog megjelenni az egyezésekre vonatkozó riasztás.
A Szabályzatmód meghatározása állapotban azt javasoljuk, hogy a szabályzatot legalább öt napig tesztelt módban tartsa , és monitorozza a teljesítményét. Így láthatja, hogy milyen típusú egyezések vannak a szabályzatfeltételek felvétele során, hogyan aktiválódnak a riasztások.
Fokozatosan több szabályzat beállítása és a teljesítmény finomhangolása
Az első szabályzat beállítása és futtatása után érdemes lehet ugyanezt megtenni a másik két házirendtípussal is. Ez lehet a második fázis, amelyben fokozatosan egyre több funkciót fog használni útközben, és optimalizálja a beállításokat. Dönthet például úgy, hogy először nem küld felhasználói e-mail-értesítéseket , miközben láthatja, hogy hány egyezést észlel a szabályzat. Ezután dönthet úgy, hogy bekapcsolja az e-mail-értesítéseket, amíg a szabályzatok még tesztelési módban vannak (a szabályzatbeállítások Eredmények meghatározása szakaszában). Ha a felhasználók túl sok e-mailt kapnak, lépjen vissza a szabályzat Eredmények beállításaihoz az értesítések gyakoriságának módosításához. Mindez a finomhangolás segíthet felmérni a kívánt hatást a felhasználókra, mielőtt szélesebb körben telepítené a szabályzatot a szervezetben.
Javasolt beállítások a másik két házirendtípushoz
Az alábbiakban konkrét javaslatokat talál az első adatátviteli és adattúllépési szabályzatok létrehozásakor szükséges kulcsbeállításokra vonatkozóan.
Adatátvitel:
- A Monitorozni kívánt adatok beállításnál válassza ki az adott SIT-ket.
- A Jelen szabályzat hatálya alá tartozó felhasználók és csoportok kiválasztása beállításnál válassza ki a felhasználók belső körét.
- A Szabályzat feltételeinek kiválasztása lehetőségnél válassza ki azt a feltételt, amely a legfontosabb.
- Az Eredmények meghatározása szabályzategyeztetés észlelésekor beállításnál kapcsolja be az e-mail-értesítéseket.
- A Riasztások és küszöbértékek megadása beállításnál kapcsolja be a riasztásokat minden alkalommal, amikor egy tevékenység bekövetkezik.
- A Szabályzati mód meghatározása beállításnál kapcsolja be a szabályzatmódot (amely kikapcsolja a tesztelési módot).
Adatminimizálás:
- A monitorozni kívánt adatokhoz válasszon ki adott SIT-ket vagy besorolási csoportokat.
- A Jelen szabályzat hatálya alá tartozó felhasználók és csoportok kiválasztása beállításnál válassza ki a felhasználók belső körét.
- A Szabályzat feltételeinek kiválasztása lehetőségnél válassza a 30, 60, 90 vagy 120 napot.
- A Szabályzat eldöntése mód esetében tartsa a szabályzatot tesztelési módban.
A szabályzat teljesítményének maximalizálása az adatvédelmi kockázatok minimalizálása érdekében
Engedélyezze, hogy a szabályzatok legalább két-négy hétig fussanak. Ez idő alatt a következő eredményeket kell áttekintenie és dokumentálnia:
- Az egyes szabályzattípusok által létrehozott egyezések, valamint a hamis pozitívok és a hamis negatívok példányai
- A végfelhasználók és rendszergazdák hatása és visszajelzése
Az eredmények alapján mostantól az alábbi lépésekkel hangolhatja a szabályzat teljesítményét:
- Beépített és egyéni SIT-k vagy besorolási csoportok belefoglalása vagy kizárása
- A szabályzatok verzióinak létrehozása feltételekkel és felhasználói csoportokkal a hatékonyabb célzás érdekében
- A szabályzat küszöbértékeinek módosítása, beleértve a felhasználóknak küldött e-mailek gyakoriságát, a figyelendő napok számát stb.
Gondoljon erre úgy, mint a harmadik fázisra. Az egyes szabályzattípusok több verzióját is létrehozhatja, és két körben telepítheti őket a teljes szervezetben: az első kör a felhasználók 50%-át lefedi, a második pedig a felhasználók 100%-át lefedi.
Ez az a szakasz, ahol a Priva által említett felhasználói viselkedés alapján gyűjti össze a tanulást, és létrehoz egy speciális adatvédelmi képzést a felhasználók számára, amelyeket belefoglalhat a szabályzatok felhasználói e-mail-értesítéseibe.
További lépés
Látogasson el a 3. lépésre. Kövesse nyomon az adatvédelmi előírásokat.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: