Prywatność i ochrona danych — ochrona danych i zarządzanie nimi
Witamy w kroku 2 dotyczącym zarządzania prywatnością danych i ochroną danych za pomocą Microsoft Priva i usługi Microsoft Purview: Ochrona danych i zarządzanie nimi.
Gdy wiesz, jakie masz dane osobowe, gdzie są i jakie są twoje wymagania prawne, nadszedł czas, aby wprowadzić elementy w celu ochrony tych danych. Firma Microsoft oferuje kompleksowe i niezawodne funkcje, które ułatwiają ochronę danych osobowych na dwa sposoby:
- Funkcje skonfigurowane przez administratorów IT w celu kategoryzowania poufnych elementów i podejmowania działań ochronnych oraz
- Funkcje, które umożliwiają pracownikom szybkie wykrywanie i rozwiązywanie problemów z prywatnością danych oraz uczenie się w zakresie dobrych praktyk obsługi danych.
Akcje do wykonania
| Akcja | Opis | Uzyskiwanie szczegółów |
|---|---|---|
| Zidentyfikuj typy informacji poufnych, aby wiedzieć, co wymaga ochrony. | Identyfikowanie i kategoryzowanie poufnych elementów zarządzanych przez organizację jest pierwszym krokiem w dziedzinie Information Protection. Usługa Microsoft Purview oferuje trzy sposoby identyfikowania elementów, dzięki czemu mogą być kategoryzowane a) ręcznie przez użytkowników, b) automatyczne rozpoznawanie wzorców, takie jak typy informacji poufnych i c) uczenie maszynowe. Typy informacji poufnych (SIT) to klasyfikatory oparte na wzorcach. Wykrywają poufne informacje, takie jak numer ubezpieczenia społecznego, karty kredytowej lub konta bankowego, aby zidentyfikować poufne elementy. |
Dowiedz się więcej o typach informacji poufnych Wyświetlanie pełnej listy typów informacji poufnych |
| Kategoryzuj i oznacz zawartość etykietami, aby można było stosować funkcje w celu jej ochrony. | Kategoryzowanie i etykietowanie zawartości, aby można było ją odpowiednio chronić i obsługiwać, jest miejscem początkowym dla dziedziny ochrony informacji. Platforma Microsoft 365 ma trzy sposoby klasyfikowania zawartości. | Dowiedz się więcej o klasyfikatorach z możliwością trenowania |
| Zastosuj etykiety poufności, aby chronić dane, nawet jeśli są one przenoszone. | Po zidentyfikowaniu poufnych danych należy je chronić. Często jest to trudne, gdy ludzie współpracują z innymi osobami zarówno w organizacji, jak i poza nią. Te dane mogą poruszać się wszędzie, między urządzeniami, aplikacjami i usługami. A gdy będzie się poruszać, chcesz, aby odbywało się to w bezpieczny, chroniony sposób, który spełnia zasady biznesowe i zgodności organizacji. Etykiety poufności z Microsoft Purview Information Protection umożliwiają klasyfikowanie i ochronę danych organizacji, jednocześnie upewniając się, że produktywność użytkowników i możliwość współpracy nie są utrudnione. |
Dowiedz się więcej o etykietach poufności |
| Użyj zasad ochrony przed utratą danych, aby zapobiec udostępnianiu danych osobowych. | Organizacje mają pod kontrolą poufne informacje, takie jak dane finansowe, dane zastrzeżone, numery kart kredytowych, dokumentacja kondycji lub numery ubezpieczenia społecznego. Aby chronić poufne informacje i zmniejszyć ryzyko, potrzebują sposobu, aby uniemożliwić swoim użytkownikom niewłaściwe udostępnianie ich osobom, które nie powinny ich mieć. Ta praktyka jest nazywana zapobieganiem utracie danych (DLP). Korzystając z Ochrona przed utratą danych w Microsoft Purview, implementujesz zapobieganie utracie danych, definiując i stosując zasady DLP w celu identyfikowania, monitorowania i automatycznego ochrony poufnych elementów w usługach Platformy Microsoft 365, takich jak Teams, Exchange, SharePoint i OneDrive; Aplikacje pakietu Office, takie jak Word, Excel i PowerPoint; punkty końcowe Windows 10, Windows 11 i macOS (bieżąca wersja i dwie poprzednie wersje systemu macOS), aplikacje w chmurze inne niż microsoft oraz lokalne udziały plików i lokalny program SharePoint. To rozwiązanie DLP wykrywa poufne elementy przy użyciu głębokiej analizy zawartości, a nie tylko przez proste skanowanie tekstu. Zawartość jest analizowana pod kątem podstawowych dopasowań danych do słów kluczowych, oceny wyrażeń regularnych, wewnętrznej weryfikacji funkcji i pomocniczych dopasowań danych znajdujących się w pobliżu podstawowego dopasowania danych. Poza tym DLP używa również algorytmów uczenia maszynowego i innych metod do wykrywania zawartości zgodnej z zasadami DLP. |
Dowiedz się więcej o zapobieganiu utracie danych |
| Zarządzanie danymi platformy Microsoft 365 pod kątem zgodności lub wymagań regulacyjnych | Mechanizmy kontroli ładu informacji mogą być stosowane w twoim środowisku w celu zaspokojenia potrzeb w zakresie zgodności z prywatnością danych, w tym liczby specyficznej dla ogólnych przepisów o ochronie danych (RODO), HIPAA-HITECH (ustawa o ochronie prywatności Stany Zjednoczone służbie zdrowia), California Consumer Protection Act (CCPA) i Brazil Data Protection Act (LGPD). zarządzanie cyklem życia danych Microsoft Purview i Zarządzanie rekordami w Microsoft Purview udostępniają te mechanizmy kontroli w postaci zasad przechowywania, etykiet przechowywania i możliwości zarządzania rekordami. | Dowiedz się, jak wdrożyć rozwiązanie do zarządzania danymi za pomocą usługi Microsoft Purview |
| Konfigurowanie bezpiecznego przechowywania danych osobowych w usłudze Microsoft Teams. | Jeśli planujesz przechowywanie wysoce poufnych danych osobowych w usłudze Teams, możesz skonfigurować prywatny zespół i użyć etykiety poufności, która jest specjalnie skonfigurowana w celu zabezpieczenia dostępu do zespołu i plików w nim zawartych. | Dowiedz się więcej o konfigurowaniu zespołu z izolacją zabezpieczeń |
| Umożliwianie użytkownikom wykrywania potencjalnych zagrożeń i rozwiązywania problemów. | Utwórz zasady obsługi danych w zarządzanie ryzykiem prywatności Priva, aby użytkownicy mogli natychmiast identyfikować zagrożenia w twoich danych i zarządzać nimi. Wiadomości e-mail z powiadomieniami powiadamiają użytkowników o przesyłaniu elementów z danymi osobowymi poza organizacją, zbyt szerokim dostępie do zawartości lub zbyt długim przechowywaniu danych osobowych. Powiadomienia monitują użytkowników o podjęcie natychmiastowych kroków korygowania w celu zabezpieczenia danych osobowych i zawierają linki do preferowanego szkolenia organizacji w zakresie prywatności. |
Dowiedz się więcej o zarządzaniu ryzykiem związanym z prywatnością Tworzenie zasad w celu zapobiegania transferowi danych, nadmiernej eksponowaniu lub gromadzeniu Konfigurowanie powiadomień dla użytkowników w celu rozwiązywania problemów z zawartością, która obsługuje |
| Użyj zarządzania rekordami dla elementów o wysokiej wartości, które muszą być zarządzane dla wymagań dotyczących prowadzenia dokumentacji biznesowej, prawnej lub regulacyjnej. | System zarządzania rekordami to rozwiązanie dla organizacji do zarządzania rekordami regulacyjnymi, prawnymi i biznesowymi. Zarządzanie rekordami w Microsoft Purview pomaga organizacji zarządzać swoimi zobowiązaniami prawnymi, umożliwia demonstrowanie zgodności z przepisami i zwiększa wydajność przy regularnym rozporządzaniu elementami, które nie są już wymagane do przechowywania, nie mają już wartości lub nie są już wymagane do celów biznesowych. |
Dowiedz się więcej o zarządzaniu rekordami |
Konfigurowanie strategii na potrzeby powodzenia
Identyfikowanie poufnych typów informacji (SIC), kategoryzowanie i etykietowanie zawartości oraz wdrażanie zasad ochrony przed utratą danych (DLP) to kluczowe kroki strategii ochrony informacji. Linki w powyższej tabeli zawierają szczegółowe wskazówki dotyczące wykonywania tych podstawowych zadań.
Ochrona danych jest również odpowiedzialna za każdego użytkownika w organizacji, który wyświetla, tworzy i obsługuje dane osobowe w trakcie wykonywania zadań. Każdy użytkownik musi znać i przestrzegać wewnętrznych i regulacyjnych obowiązków organizacji, aby chronić dane osobowe wszędzie tam, gdzie istnieją w organizacji. W tym celu priva pomaga umożliwić użytkownikom poznanie ich obowiązków, informowanie o obsłudze danych w ryzykowny sposób i podjęcie natychmiastowych działań w celu zminimalizowania ryzyka związanego z prywatnością w organizacji.
Trzy zasady obsługi danych dostępne w zarządzanie ryzykiem prywatności Priva pomagają użytkownikom odgrywać aktywną rolę w strategii ochrony danych organizacji. Email powiadomienia z wbudowanymi akcjami korygowania monitują użytkowników o zastosowanie niezbędnych zabezpieczeń i skorzystanie z szkolenia dotyczącego prywatności wyznaczonego przez organizację. Ta świadomość i zdolność do działania może przyczynić się do kultywowania lepszych nawyków w celu zapobiegania przyszłym problemom z prywatnością.
Zalecenia dotyczące pierwszych zasad obsługi danych priva
Zalecamy wdrożenie zasad w ramach podejścia etapowego, aby można było poznać ich zachowanie i zoptymalizować je zgodnie z twoimi potrzebami. W pierwszej fazie zalecamy utworzenie jednej zasady niestandardowej, która będzie służyć jako podstawa zrozumienia. Użyjmy przykładu tworzenia zasad nadmiernej eksponowania danych, które identyfikują elementy zawartości zawierające dane osobowe, które mogą być zbyt szeroko dostępne dla innych osób. Szczegółowe instrukcje tworzenia zasad można znaleźć tutaj.
Po przejściu do kroku Wybieranie danych do monitorowania kreatora tworzenia zasad zalecamy wybranie opcji Indywidualne typy informacji poufnych i wybranie najbardziej odpowiednich dla Organizacji interfejsów API. Jeśli na przykład jesteś firmą zajmującą się usługami finansowymi z klientami w Europie, prawdopodobnie chcesz uwzględnić numer karty debetowej UE jako jeden z twoich SIC. Listę definicji SIT można znaleźć tutaj.
W kroku Wybieranie użytkowników i grup objętych tym krokiem zasad zalecamy wybranie pozycji Określoni użytkownicy lub grupy i wybranie małego wewnętrznego kręgu użytkowników w zakresie dla tych zasad.
W kroku Wybieranie warunków dla zasad zalecamy wybranie opcji Tylko zewnętrzne, aby śledzić dane, które można uznać za bardziej zagrożone, przy jednoczesnym zachowaniu całkowitej ilości danych, które będą potrzebne do monitorowania na bardziej możliwych do zarządzania poziomach.
W kroku Określanie alertów i progów zalecamy włączenie alertów i wybranie opcji częstotliwośćalertu po spełnieniu jednego z poniższych warunków. Włączenie alertów pomoże administratorom ocenić, czy ważność i częstotliwość alertów spełniają ich potrzeby. Pamiętaj, że zasady nie działają wstecz, więc jeśli zdecydujesz się na wyłączenie alertów na początku i później, nie zobaczysz żadnych alertów dotyczących dopasowań, które wystąpiły przed włączeniem alertów.
W stanie Zdecyduj tryb zasad zalecamy zachowanie zasad w trybie testowym i monitorowanie jej wydajności przez co najmniej pięć dni. Dzięki temu można sprawdzić, jakiego rodzaju elementy są zgodne z warunkami zasad, w jaki sposób alerty zostaną wyzwolone.
Stopniowe konfigurowanie większej liczby zasad i dostrajanie wydajności
Po skonfigurowaniu i uruchomieniu pierwszych zasad możesz zrobić to samo z dwoma pozostałymi typami zasad. Może to być druga faza, w której stopniowo zwiększasz możliwości korzystania z funkcji podczas pracy i optymalizujesz ich ustawienia. Na przykład możesz na początku nie wysyłać powiadomień e-mail użytkowników , gdy zobaczysz, ile elementów jest zgodnych z wykrytymi zasadami. Następnie ostatecznie możesz zdecydować o włączeniu powiadomień e-mail, gdy zasady są nadal w trybie testowym (na etapie Definiowanie wyników ustawień zasad). Jeśli użytkownicy otrzymają zbyt wiele wiadomości e-mail, wróć do ustawień Wyników zasad, aby dostosować częstotliwość powiadomień. Wszystkie te dostrajanie może pomóc ocenić żądany wpływ na użytkowników przed wdrożeniem zasad w szerszym zakresie w całej organizacji.
Zalecane ustawienia dla dwóch pozostałych typów zasad
Poniżej przedstawiono konkretne zalecenia dotyczące kluczowych ustawień podczas tworzenia pierwszych zasad transferu danych i nadmiernej eksponowania danych .
Transfer danych:
- W obszarze Dane do monitorowania wybierz określone SIC.
- W obszarze Wybierz użytkowników i grupy objęte tymi zasadami wybierz wewnętrzny pierścień użytkowników.
- W obszarze Wybierz warunki dla zasad wybierz warunek, który ma największe znaczenie.
- W obszarze Definiowanie wyników po wykryciu dopasowania zasad włącz powiadomienia e-mail.
- W obszarze Określ alerty i progi włącz alerty dla każdego wystąpienia działania.
- W obszarze Zdecyduj tryb zasad włącz tryb zasad (co powoduje wyłączenie trybu testowego).
Minimalizacja danych:
- W obszarze Dane do monitorowania wybierz określone SIC lub grupy klasyfikacji.
- W obszarze Wybierz użytkowników i grupy objęte tymi zasadami wybierz wewnętrzny pierścień użytkowników.
- W obszarze Wybierz warunki dla zasad wybierz opcję 30, 60, 90 lub 120 dni.
- W obszarze Zdecyduj tryb zasad zachowaj zasady w trybie testowym.
Maksymalizacja wydajności zasad w celu zminimalizowania ryzyka związanego z prywatnością
Zezwalaj na uruchamianie zasad przez co najmniej dwa do czterech tygodni. W tym czasie należy przejrzeć i udokumentować następujące wyniki:
- Dopasowania generowane przez każdy typ zasad oraz wystąpienia wyników fałszywie dodatnich i fałszywie ujemnych
- Wpływ i opinie użytkowników końcowych i administratorów
Na podstawie wyników możesz teraz dostroić wydajność zasad, wykonując następujące czynności:
- Dołączanie lub wykluczanie wbudowanych i niestandardowych interfejsów SIC lub grup klasyfikacji
- Tworzenie wersji zasad z warunkami i grupami użytkowników w celu zwiększenia wydajności określania wartości docelowej
- Dostosowywanie progów zasad, w tym częstotliwość wiadomości e-mail dla użytkowników, liczba dni do monitorowania itp.
Pomyśl o tym jako o trzeciej fazie. Możesz utworzyć więcej wersji każdego typu zasad i wdrożyć je w całej organizacji w dwóch rundach: pierwszej rundzie obejmującej 50% użytkowników i drugiej rundzie obejmującej 100% użytkowników.
Jest to również etap, w którym gromadzisz informacje oparte na zachowaniu użytkowników, jak wspomniano w artykule Priva, i tworzysz dla użytkowników konkretne szkolenia dotyczące prywatności, które można uwzględnić w powiadomieniach e-mail użytkowników zasad.
Następny krok
Odwiedź stronę Krok 3. Bądź na bieżąco z przepisami dotyczącymi prywatności.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla