privacyhandleiding voor Microsoft Purview Intern risicobeheer en communicatienaleving

Microsoft Purview-oplossingen voor interne risico's bieden organisaties de mogelijkheid om potentiële risico's en beleidsschendingen te detecteren en te beperken. De insider-risicooplossingen van Microsoft Purview zijn onder andere:

• Microsoft Purview Intern risicobeheer correleert verschillende signalen om mogelijke schadelijke of onbedoelde interne risico's te identificeren, zoals IP-diefstal, gegevenslekken en beveiligingsschendingen. Met intern risicobeheer kunnen klanten beleidsregels maken voor het beheren van beveiliging en naleving.
• Microsoft Purview Communicatiecompliance biedt hulpprogramma's waarmee organisaties mogelijke naleving van regelgeving (bijvoorbeeld SEC of FINRA) en schendingen van bedrijven kunnen detecteren, zoals gevoelige of vertrouwelijke informatie, lastigvallen of bedreigende taal en het delen van inhoud voor volwassenen.

Intern risicobeheer en communicatienaleving zijn ontworpen met privacy en balanceer de privacy van gebruikers met hulpprogramma's die helpen bij het detecteren en beperken van organisatorische risico's. We doen er alles aan om het vertrouwen van gebruikers te beschermen en privacy op gebruikersniveau te handhaven via onze belangrijkste privacyprincipes:

• Pseudonimisering
• Op rollen gebaseerde toegangsbeheer
• Beheer expliciete opt-in
• Auditlogboeken

Pseudonimisering

Pseudonimisering helpt de privacy van eindgebruikers te beschermen door identificeerbare gebruikersgegevens, zoals gebruikersnaam of e-mailadres, te verwijderen. Pseudonimisering helpt ook mogelijke vooroordelen en belangenconflicten te voorkomen door identificeerbare gebruikersgegevens (naam, e-mailadres) en persoonlijke gegevens (titel, afdeling of locatie) die in de oplossing worden weergegeven, te verwijderen. Een werknemer met de naam John Smith zou bijvoorbeeld worden gepseudonimiseerd in een niet-persoonlijke id, zoals ANON2340. Pseudonimen zijn standaard ingeschakeld voor specifieke rollen, zoals Insider Risk Management Analysts en Insider Risk Management Investigators (respectievelijk waarschuwingen beoordelen en actie ondernemen) en Communication Compliance Analysts (beleidswaarschuwingen controleren).

Op rollen gebaseerde toegangsbeheer

We implementeren ook strikte op rollen gebaseerde toegangsbeheer, zodat alleen geautoriseerde rollen voor intern risicobeheer en communicatienaleving waarschuwingen en inzichten in mogelijke beleidsschendingen kunnen gebruiken en openen. Globale beheerders hebben standaard geen toegang tot functies voor intern risicobeheer en communicatienaleving. Dit zorgt ervoor dat alleen de juiste belanghebbenden toegang hebben tot de oplossing en details die specifiek zijn voor hun rolmachtigingen. Organisaties hebben de mogelijkheid om gebruikers toe te wijzen aan specifieke rolgroepen om verschillende sets functies te beheren op basis van hun verantwoordelijkheden. Beheerders van interne risicobeheer- en communicatienaleving kunnen bijvoorbeeld beleidsregels maken, configureren en verwijderen, maar hebben geen toegang tot of onderzoek naar waarschuwingen of gevallen. Aan de andere kant kunnen onderzoekers van intern risicobeheer en communicatienaleving waarschuwingen en cases openen en onderzoeken, maar kunnen ze geen beleid configureren.

Of uw organisatie nu één rollengroep of meerdere rollengroepen kiest om te voldoen aan de nalevings- en privacyvereisten van uw organisatie, zowel intern risicobeheer als communicatienaleving bieden beheerders de mogelijkheid om te kiezen uit vooraf gedefinieerde opties voor rollengroepen binnen elke oplossing.

Meer informatie over opties voor rolgroepen voor elke oplossing:

• Aan de slag met insider-risicobeheer
• Aan de slag met communicatiecompliance

Beheer expliciete opt-in

Intern risicobeheer- en communicatienalevingsbeleid wordt ingesteld om riskante activiteiten/communicatie en mogelijke beleidsschendingen te detecteren die kunnen leiden tot een beveiligingsincident. Werknemers kunnen alleen expliciet worden opgenomen in een beleid door een beheerder met de juiste machtigingen.

Daarnaast worden indicatoren voor intern risicobeheer en communicatienaleving die helpen bij het detecteren van riskante activiteiten en communicatie die kunnen leiden tot potentiële gegevensbeveiligingsincidenten standaard uitgeschakeld. Indicatoren zoals 'inhoud downloaden van OneDrive', 'SharePoint-bestanden delen met personen buiten de organisatie' of 'gevoelige informatie verzenden of intimideren van berichten' zijn standaard uitgeschakeld. Intern risicobeheer en communicatienaleving detecteren deze activiteiten niet zonder expliciete aanmelding van de beheerder. Beheerders met de juiste machtigingen moeten expliciet een of meer indicatoren selecteren en aanmelden in instellingen voordat een beleid deze activiteiten kan detecteren.

Beheer expliciete besturingselementen voor opt-in helpen de privacy van eindgebruikers te beschermen door ervoor te zorgen dat de oplossingen alleen waarschuwingen en beleidsschendingen markeren voor gebruikers en indicatoren die zijn opgegeven in het beleid.

Auditlogboeken

Alle acties van de beheerder worden vastgelegd in de auditlogboeken van Microsoft Purview-oplossingen voor interne risico's, zodat organisaties op de hoogte kunnen blijven van alle acties die zijn uitgevoerd binnen microsoft Purview-oplossingen voor intern risico, inclusief wanneer een beleid is gemaakt en bewerkt, een gebruiker is toegevoegd, een beheerder inzichten in gebruikersactiviteit heeft bekeken, indicatoren zijn toegevoegd, enzovoort.

Auditlogboeken zijn standaard ingeschakeld voor alle Microsoft 365-organisaties om ervoor te zorgen dat organisaties de acties van bevoegde beheerders kunnen controleren en voldoen aan nalevings- en privacyvereisten.

Meer informatie over de mogelijkheden van auditlogboeken voor elke oplossing:

• Activiteiten controleren met het auditlogboek voor intern risicobeheer
• Communicatienalevingsrapporten en -controles gebruiken

Gebruikersvertrouwen beschermen en een holistisch intern risicoprogramma bouwen

We zijn ervan overtuigd dat privacy en vertrouwen van gebruikers essentieel zijn voor organisaties om een holistisch intern risicoprogramma op te zetten. De juiste set hulpprogramma's kan u helpen risico's aan te pakken op een manier die voldoet aan de beveiligingsbehoeften. Meer informatie over het bouwen van een holistisch programma voor intern risicobeheer met vijf elementen die bedrijven helpen een betere gegevensbescherming te bieden en tegelijkertijd het vertrouwen van gebruikers te waarborgen.