Microsoft Purview 내부 위험 관리 및 커뮤니케이션 규정 준수 개인 정보 가이드

Microsoft Purview 내부 위험 솔루션은 조직에 잠재적인 위험 및 정책 위반을 감지하고 완화하는 데 도움이 되는 기능을 제공합니다. Microsoft Purview 내부 위험 솔루션은 다음과 같습니다.

• Microsoft Purview 내부 위험 관리 IP 도난, 데이터 유출 및 보안 위반과 같은 잠재적인 악의적이거나 의도하지 않은 내부자 위험을 식별하기 위해 다양한 신호를 상호 연결합니다. 내부 위험 관리를 통해 고객은 보안 및 규정 준수를 관리하는 정책을 만들 수 있습니다.
• Microsoft Purview 커뮤니케이션 규정 준수 조직이 잠재적인 규정 준수(예: SEC 또는 FINRA)를 감지하고 중요하거나 기밀 정보, 언어를 괴롭히거나 위협하는 언어, 성인 콘텐츠 공유와 같은 비즈니스 행위 위반을 탐지하는 데 도움이 되는 도구를 제공합니다.

내부 위험 관리 및 커뮤니케이션 규정 준수는 조직의 위험을 감지하고 완화하는 데 도움이 되는 도구와 사용자 개인 정보를 설계하고 균형을 조정하여 개인 정보 보호로 구축됩니다. Microsoft는 핵심 개인 정보 보호 원칙을 통해 사용자 신뢰를 보호하고 사용자 수준 개인 정보를 유지하기 위해 최선을 다하고 있습니다.

• 가명화
• 역할 기반 액세스 제어
• 명시적 옵트인 관리
• 감사 로그

가명화

가명화는 사용자 이름 또는 이메일 주소와 같은 식별 가능한 사용자 세부 정보를 제거하여 최종 사용자 개인 정보를 보호하는 데 도움이 됩니다. 가명화는 또한 솔루션에 노출되는 식별 가능한 사용자 세부 정보(이름, 이메일) 및 개인 데이터(제목, 부서 또는 위치)를 제거하여 잠재적 편견과 이해 상충을 방지하는 데 도움이 됩니다. 예를 들어 John Smith라는 직원은 ANON2340 같은 비-개인 식별자로 가명을 지정합니다. 가명 은 기본적으로 참가자 위험 관리 분석가 및 내부자 위험 관리조사 자(경고를 검토하고 각각 조치를 취)와 통신 규정 준수 분석가 (정책 경고 검토)와 같은 특정 역할에 대해 설정됩니다.

역할 기반 액세스 제어

또한 엄격한 역할 기반 액세스 제어를 구현하므로 권한 있는 내부자 위험 관리 및 통신 규정 준수 역할만 잠재적인 정책 위반에 대한 경고 및 인사이트를 사용하고 액세스할 수 있습니다. 기본적으로 전역 관리자는 내부 위험 관리 및 통신 규정 준수 기능에 액세스할 수 없습니다. 이렇게 하면 적절한 이해 관계자만 해당 역할 권한과 관련된 솔루션 및 세부 정보에 액세스할 수 있습니다. 조직은 특정 역할 그룹에 사용자를 할당하여 책임에 따라 다양한 기능 집합을 관리할 수 있습니다. 예를 들어 내부 위험 관리 및 커뮤니케이션 규정 준수 관리자는 정책을 생성, 구성 및 삭제할 수 있지만 경고 또는 사례에 액세스하거나 조사할 수는 없습니다. 반면, 내부 위험 관리 및 커뮤니케이션 규정 준수 조사관은 경고 및 사례에 액세스하고 조사할 수 있지만 정책을 구성할 수는 없습니다.

참고

내부 위험 관리 관리자는 인 라인 경고 사용자 지정 설정을 사용하여 조사자와 분석가가 정책 지표 및 임계값을 편집할 수 있도록 허용할 수 있습니다.

organization organization 규정 준수 및 개인 정보 보호 요구 사항에 맞게 단일 역할 그룹 또는 여러 역할 그룹을 선택하든 관계없이 내부 위험 관리 및 커뮤니케이션 규정 준수를 통해 관리자는 각 솔루션 내에서 미리 정의된 역할 그룹 옵션 중에서 선택할 수 있습니다.

각 솔루션에 대한 역할 그룹 옵션에 대해 자세히 알아봅니다.

• 내부자 위험 관리 시작
• 커뮤니케이션 규정 준수 시작

명시적 옵트인 관리

내부 위험 관리 및 통신 규정 준수 정책은 보안 인시던트가 발생할 수 있는 위험한 활동/통신 및 잠재적 정책 위반을 감지하도록 설정됩니다. 직원은 올바른 권한이 있는 관리자만 명시적으로 정책으로 범위를 지정할 수 있습니다.

또한 잠재적인 데이터 보안 인시던트로 이어질 수 있는 위험한 활동 및 통신을 감지하는 데 도움이 되는 내부자 위험 관리 및 통신 규정 준수 지표는 기본적으로 사용하지 않도록 설정됩니다. 예를 들어 "OneDrive에서 콘텐츠 다운로드", "organization 외부 사용자와 SharePoint 파일 공유" 또는 "중요한 정보 보내기 또는 메시지 괴롭히기"와 같은 지표는 기본적으로 꺼져 있습니다. 내부자 위험 관리 및 커뮤니케이션 규정 준수는 관리자의 명시적 옵트인 없이 이러한 활동을 검색하지 않습니다. 올바른 권한이 있는 관리자는 정책에서 해당 활동을 검색하기 전에 설정에서 하나 이상의 지표를 명시적으로 선택하고 선택해야 합니다.

명시적 옵트인 컨트롤을 관리 솔루션이 정책에 지정된 사용자 및 지표에 대한 경고 및 정책 위반에만 플래그를 지정하도록 하여 최종 사용자 개인 정보를 보호하는 데 도움이 됩니다.

감사 로그

모든 관리자 작업은 Microsoft Purview 내부 위험 솔루션 감사 로그에 기록되어 조직이 정책을 만들고 편집할 때, 사용자가 추가되고, 관리자가 본 사용자 활동 인사이트, 지표가 추가되는 등 Microsoft Purview 내부 위험 솔루션 내에서 수행된 모든 작업에 대한 정보를 유지할 수 있습니다.

감사 로그는 기본적으로 모든 Microsoft 365 조직에 대해 사용하도록 설정되어 조직에서 권한 있는 관리자의 작업을 감사하고 규정 준수 및 개인 정보 요구 사항을 준수할 수 있도록 합니다.

각 솔루션에 대한 감사 로그 기능에 대해 자세히 알아봅니다.

• 내부 위험 관리 감사 로그를 사용하여 활동 검토
• 통신 규정 준수 보고서 및 감사 사용

사용자 신뢰 보호 및 전체론적 내부자 위험 프로그램 빌드

조직에서 전체적인 내부자 위험 프로그램을 설정하려면 사용자 개인 정보 보호 및 신뢰가 필수적이라고 강력히 믿습니다. 올바른 도구 집합은 보안 요구 사항을 충족하는 방식으로 위험을 해결하는 데 도움이 될 수 있습니다. 기업이 더 강력한 데이터 보호를 유지하면서 사용자 신뢰를 보장하는 데 도움이 되는 5가지 요소를 사용하여 전체적인 내부자 위험 관리 프로그램을 빌드 하는 방법을 알아봅니다.