Создание оценок конфиденциальности и управление ими (предварительная версия)
Microsoft Priva Privacy Assessments (предварительная версия) позволяет вашей организации обнаруживать и документировать экземпляры использования персональных данных для сбора как типа используемых данных, так и критически важных сведений о характере их использования.
Чтобы создать оценку конфиденциальности, необходимо выполнить процесс создания настраиваемой анкеты. Для начала можно использовать шаблон с предопределенными вопросами, который можно изменить. Или вы можете начать с пустой оценки, чтобы создать настраиваемую оценку, которая соответствует вашим потребностям. Ваша организация может поддерживать и использовать несколько оценок, которые могут иметь разные варианты использования или приложения. Оценка может быть назначена неограниченному количеству проектов или других бизнес-ресурсов.
Примечание.
Пользователям требуется роль куратора конфиденциальности для создания, публикации оценок и управления ими, как описано в этой статье. Дополнительные сведения о ролях для работы с оценками конфиденциальности (предварительная версия).
Страница управления оценкой
На странице Управление оценкойможно создавать оценки, просматривать состояние оценок организации и управлять ответами и ресурсами.
Вкладка "Ресурсы"
На вкладке Активы перечислены сведения обо всех ресурсах, зарегистрированных вашей организацией при настройке метамодели для использования оценок конфиденциальности. Здесь вы можете взаимодействовать с оценками в контексте ресурса.
Выберите имя ресурса, чтобы просмотреть и изменить его свойства, определенные при регистрации ресурса.
Выберите Конфиденциальность в области навигации слева в ресурсе, чтобы просмотреть все оценки конфиденциальности, связанные с этим ресурсом.
Назначение ресурса оценке
- На странице Конфиденциальность ресурса выберите команду Назначить (значок буфера обмена).
- Откроется панель со списком всех активных оценок. Установите флажок рядом с оценками, которые нужно назначить ресурсу.
Вкладка "Оценки"
На вкладке Оценки перечислены все оценки и основные сведения о состоянии, в том числе:
Состояние: черновик, еще недоступен для назначения; или Опубликовано, можно назначить и отреагировать.
Примечание.
Оценка может быть указана в таблице несколько раз во вложенном списке. Например, у вас может быть опубликованная версия оценки, доступная для ответов, и в то же время вы также можете работать над изменениями в этой оценке. В этом случае оценка отображается в таблице со стрелкой для развертывания списка. При развертывании в строке отображается оценка с состоянием Опубликовано , а в другой строке — новая версия оценки с состоянием Черновика .
Версия. При изменении существующей оценки создается новая версия, которая нумеруется последовательно. Это позволяет отслеживать, на какую версию оценки был получен ответ.
Создано: пользователь, создавший оценку.
Последнее обновление: дата и время последнего изменения оценки.
Вкладка "Ответы на оценку"
На вкладке Ответы оценки перечислены отправленные оценки сведения об ответах, включая пользователя, отправившего их, проекта или другого ресурса, которому назначен ответ, а также дату и время последнего взаимодействия с отправкой. Это представление позволяет группе конфиденциальности или пользователям с ролью куратора конфиденциальности просматривать ответы на оценку.
Выберите имя оценки, чтобы просмотреть ответы на вопросы. Вы также увидите оценку риска на основе предоставленных ответов. Узнайте больше о оценке риска.
Создание оценок
При создании оценки вы создаете анкету, на которую респонденты будут отвечать и отправлять на проверку и утверждение. Вы можете выбрать, следует ли начинать с нуля с пустой оценки или с шаблона с предварительно настроенными вопросами, которые можно изменить. В любой ситуации вы всегда можете настроить вопросы и их организацию в соответствии с вашими потребностями.
Что следует учитывать, прежде чем приступить к созданию оценки:
- Как его назвать.
- Кто в вашей организации должен проверять ответы и выступать в качестве утверждающих.
- Задайте параметры риска в регистре рисков , чтобы можно было назначить вопросу фактор риска, а ответы — конкретные уровни риска.
Основные действия:
Создайте оценку.
Создайте анкету и сохраните ее.
Опубликуйте оценку.
Назначьте ресурсы и задайте назначенных рецензентов по мере необходимости.
Назначенные рецензенты просматривают и могут утвердить или отклонить ответ. В случае отклонения респондент может исправить любые проблемы и отправить их еще раз, пока он не будет утвержден.
Создание оценки
В разделе Оценки конфиденциальности перейдите на страницу Управление оценкой .
На вкладке Оценки выберите Новая оценка. В раскрывающемся меню выберите следующие параметры:
Из шаблона. Выберите один из шаблонов оценки влияния на конфиденциальность или базовый шаблон оценки использования данных инвентаризации, который содержит предлагаемые вопросы, которые можно настроить. Перед выбором можно просмотреть каждый шаблон. Шаблоны предоставляются только в информационных целях и не должны рассматриваться как юридическая консультация.
Пользовательский. Вы создаете набор вопросов.
Введите имя и описание для оценки, а затем нажмите кнопку Далее.
В разделе Назначение рецензентов отобразится список пользователей с ролью куратора конфиденциальности. Установите флажок рядом с пользователем или пользователями, которых вы хотите назначить проверяющим и утверждающим отправленных оценок. При выборе нескольких пользователей любой пользователь имеет право проверять и утверждать оценку, отправленную на проверку. Только назначенные рецензенты могут утверждать или отклонять ответ на оценку. Если рецензенты не выбраны, любой пользователь с ролью куратора конфиденциальности может утвердить или отклонить ответы, относящиеся к этой оценке.
Нажмите Создать.
Построитель оценки закрывается, и вы попадаете на страницу Изменение оценки . На этой странице вы создаете или настраиваете вопросы для оценки.
Изменение анкеты для оценки
При создании анкеты можно выбрать типы вопросов, упорядочить вопросы по разделам и добавить логику в вопрос. Можно также указать фактор риска, который может определить вопрос, и уровень риска, связанный с каждым вариантом ответа. См . раздел Настройка риска.
Добавление и настройка вопросов
Каждый вопрос группируется по заголовкам разделов. Разделы позволяют группировать вопросы по разделам и присвоить каждому разделу имя. Пустая анкета автоматически заполняется блоком Раздела 1. Добавьте имя и описание раздела.
На верхней панели команд на странице Изменение оценки выберите раскрывающееся меню Вопрос , а затем выберите тип вопроса, который нужно вставить. Варианты вопросов описаны ниже.
Текст: позволяет респонденту ввести ответ в свободном текстовом поле.
Выбор. Вы создаете параметры ответов, которые респондент выбирает с помощью переключателя. Это один вариант выбора. Если вы измените вопрос, чтобы он стал несколькими, формат изменится на флажок.
Флажок. Вы создаете параметры ответов, которые респондент выбирает по флажку. Флажки — это параметры нескольких выборов. Если вы измените вопрос, чтобы он стал единственным выбором, формат изменится на выбор.
Дата. Респондент может выбрать дату из календаря.
Информационный. Этот блок не требует ответа; Это свободное текстовое поле, в котором вы можете предоставить инструкции, ссылки или любую другую информацию на определенном этапе в анкете. Эта информация отображается респонденту и становится частью записи для отправленного ответа.
Флажки вопросов автоматически заполняется как Multi select. Вы можете отключить переключатель с несколькими выборами в блоке вопросов, который изменяет его на один вопрос типа выбора . Аналогичным образом вопросы о выборе автоматически заполняют как один выбор; Если вы включите переключатель Multi select ,формат изменится на флажок.
Поля для каждого вопроса
Короткий заголовок и вопрос. Введите краткое название и текст вопроса. Для вопросов о выборе или флажке заполните параметры ответов, добавив их столько, сколько нужно. Заголовки разделов и короткие заголовки отображаются в левой части экрана при их добавлении.
Требовать ответ. Вы можете сделать вопрос обязательным для респондентов, включив переключатель Требовать ответ (область переключателя заполняется синим цветом).
Разрешить вложения. Вы можете разрешить отправку вложений, включив переключатель Разрешить вложения . При включении переключателя область Вложений отображается в нижней части блока вопросов. Выберите Требовать вложение , если требуется вложение. В текстовом поле объясните тип информации, которая лучше всего будет предоставлять доказательства или отвечать на вопрос.
Оценка может содержать до шести вложенных файлов. Размер файла составляет 5 МБ. Поддерживаемые типы файлов:
- csv
- doc/docx
- gif
- jpeg/jpg
- ppt/pptx
- txt
- xls/xlsx
Настройка риска. Включите переключатель Настроить риск , чтобы назначить вопросу фактор риска. Узнайте, как настроить риск.
Предварительный просмотр анкеты
В любой момент во время создания или редактирования оценки можно просмотреть, как оценка будет отображаться респонденту, выбрав Предварительный просмотр в правом верхнем углу экрана. В предварительной версии можно протестировать функциональность ответов и убедиться, что любая логика, примененная к вопросам, работает должным образом. Чтобы выйти из режима предварительного просмотра и вернуться в редактор оценки, выберите Закрыть предварительный просмотр.
Применение логики для скрытия или отображения вопроса
Вы можете применить логику для отображения или скрытия вопроса респонденту на основе ответа на предыдущий вопрос. Начиная с вопроса, который нужно скрыть или отобразить, выберите команду Добавить логику , значок которой похож на L, в верхней части блока вопросов. Под вопросом появится раздел Условия .
Выберите условия, в которых этот вопрос должен отображаться или скрываться. Вы можете выбрать любой, то есть любое из условий должно быть выполнено, или Все, что означает, что все условия должны быть выполнены. При выполнении условий в параметрах Действие можно выбрать Скрыть или Показать вопрос. Вы можете проверить, как работает логика, выбрав Предварительный просмотр и ответив на предыдущий вопрос.
Логические условия определяются на основе ответов на предыдущие типы вопросов или флажков. Чтобы создать условие, выберите короткое поле заголовка предыдущего вопроса, ответ на который определяет, скрыт ли этот вопрос или отображается. Завершите логическое условие, указав, какие ответы или сочетания ответов сделают условие истинным. Затем определите, должно ли истинное условие скрывать или отображать вопрос.
Логика может применяться только к отдельным вопросам, но не к разделам.
Настройка риска
Вы можете назначить вопросу фактор риска, который позволяет указать тип риска, выявленного ответом, и уровень риска, показанный в ответе.
Чтобы задать параметры риска для вопроса, переместите переключатель Настроить риск вправо, которое находится в положении on. Под переключателем появится поле Тип риска . Параметры в раскрывающемся меню Тип риска соответствуют категориям рисков, настроенным в параметрах риска.
Если выбрать тип риска для вопросов о выборе и флажках , рядом с каждым вариантом ответа появится раскрывающееся меню. Для каждого ответа выберите уровень риска:
- Нет риска
- Низкий риск
- Средний риск
- Высокий риск
Определения уровня риска определяются вашей организацией. Дополнительные сведения об определении платформы рисков для организации см. в разделе Настройка параметров риска.
Примечание.
Если для вопроса настроен риск, то при заполнении оценки респондент не видит эти сведения о риске. Сведения о рисках можно просмотреть только создателю и рецензентам оценки.
Сохранение анкеты
Оценка будет автоматически хвасохраняться по мере того, как вы идете. Завершив добавление вопросов, рекомендуется выбрать Сохранить в правом верхнем углу экрана. Оценка находится в состоянии черновика , то есть она еще не опубликована. Вы можете продолжить изменение оценки, выбрав ее в строке на вкладке Оценки на странице Управление оценкой . Затем на странице сведений об оценке выберите Изменить.
Оценка должна быть опубликована , чтобы переместить ее из состояния проекта и сделать ее назначаемой.
Настройка параметров риска в регистре рисков
На странице Реестр рисков можно определить факторы, которые, по вашему мнению, влияют на риск конфиденциальности в вашей организации в зависимости от того, как используются персональные данные. Регистр рисков позволяет создать платформу для оценки общего уровня риска оцениваемого актива.
В регистре рисков вы создаете и определяете факторы риска на основе того, что имеет смысл для вашей организации. Например, у вас может быть категория, которая ссылается на определенный тип данных, например Личные данные о работоспособности, или категорию, которая ссылается на использование данных с высоким риском, например Назначение. Классификация, определение и маркировка категорий рисков определяется вашей организацией.
Для каждого фактора риска назначается уровень риска для этой категории: Низкий, Средний или Высокий. Определение низких, средних и высоких уровней, а также уровня, выбранного для категории, определяется вашей организацией.
Узнайте , как настроить категории рисков.
Общие сведения о вычислении оценки риска
Факторы риска назначаются на уровне вопроса, где вы назначаете тип риска конкретному вопросу. Для отдельных и многоэлементных вопросов можно также указать определенный уровень риска, равный низкому, среднему или высокому, для каждого значения ответа.
Когда респонденты отвечают на вопрос в ответе на оценку, уровень риска автоматически определяется для нескольких или одного выбранного вопроса. Для текстовых ответов, где назначается фактор риска, рецензент имеет возможность определить уровень риска низкий, средний или высокий во время проверки и на основе содержимого ответа (узнайте, как).
Вопросы в ответе будут помечены типом риска, назначенным им, а также самым высоким уровнем риска. Например, если в вопросе с несколькими выборами выбраны ответы, которые обозначены как средний и высокий риск, этот вопросу назначается высокий уровень риска.
Оценка риска также вычисляется для оценки риска в полном объеме.
Каждая оценка, в которую вы создаете и добавляете значения риска, считается стандартизированной шкалой, по которой можно измерять каждый ответ. Каждому вопросу в оценке с идентифицируемым риском присваивается значение, основанное на самом высоком возможном риске, который может быть выбран в ответе.
Для вопроса с несколькими выборами могут быть назначены значения низкого, среднего и высокого параметров ответа. Этому вопросу будет присвоена высокая оценка риска, представляющая самый высокий риск, который можно зарегистрировать в ответе на этот вопрос.
Текстовым вопросам присваивается значение риска по умолчанию, заданное в параметрах риска при создании фактора риска.
Значение риска для всех вопросов оценки суммируется для каждой оценки.
Для каждого ответа на оценку значения риска, основанные на фактических ответах, суммируются и сравниваются с расчетом максимального риска для этой оценки.
Фактический риск реагирования, разделенный на максимальный потенциальный риск, дает оценку риска в процентах. Здесь показан риск, выявленный в фактическом ответе, относительно потенциального общего риска, который мог быть определен в результате этой оценки.
Затем оценка преобразуется из процента в целое число. Например, если ответ на оценку равен 65–74 % от максимального потенциального риска ответа, он получает оценку 7.
Оценки представляют:
- 1 - 3 низкий риск
- 4 - 7 средний риск
- 8 - 10 высокий риск
Все проекты или использование данных, оцениваемых по общей оценке, оцениваются по одной и той же рубрике. Оценки указывают относительный уровень риска каждого из них.
Настройка категорий рисков в параметрах риска
При создании оценки можно настроить риск для вопроса, а затем назначить ему фактор риска из списка факторов риска, созданных вашей организацией. Если вы настраиваете риск для вопросов выбора и флажков , для каждого варианта ответа задается уровень риска Низкий, Средний или Высокий . Уровни риска регистрируются автоматически, когда респондент отвечает на вопрос и отправляет ответ.
Для текстового вопроса можно назначить фактор риска, но уровень риска должен быть определен во время оценки на основе содержания ответа на этот вопрос.
Вот пример того, почему может потребоваться назначить открытый риск для текстового вопроса. Вы можете задать вопрос о том, намерен ли респондент использовать биометрические данные. Двоичный код "да" или "нет" может не выявить полную степень риска. Применив логику, вы можете задать дополнительный текстовый вопрос с просьбой объяснить вариант использования и любые защитные меры. Этот вопрос можно обозначить как "риск биометрических данных" или "риск конфиденциальных данных". Рецензент с полным контекстом ответа может определить, отражает ли этот вопрос низкий, средний или высокий риск.
Респонденты не могут видеть параметры риска для вопросов при заполнении оценки. Сведения о рисках можно просмотреть только создателю и рецензентам оценки.
Чтобы настроить категорию риска, выполните приведенные далее действия.
Перейдите на страницу Регистрация рисков и выберите Параметры риска в правом верхнем углу. Откроется окно Параметры риска .
Выберите Добавить фактор риска.
Добавьте имя категории, описание и задайте для параметра Оценка риска низкий, средний или высокий.
Нажмите Добавить.
Добавленная категория теперь отображается в окне Параметры риска . Соответствующий уровень риска, выбранный для этого фактора, затеняется серым цветом.
Чтобы изменить свойства или уровень риска категории, щелкните значок карандаша справа от нее. Вы можете архивировать категорию, щелкнув значок корзины справа от нее. Когда вы архивируете категорию, она остается в системе для поддержки устаревших оценок с этими обозначениями риска, но не может быть включена в новую оценку.
Когда респондент отправляет оценку, оценка риска предоставляется на основе ответов в соответствии с параметрами риска. Чтобы увидеть оценку риска, перейдите на вкладку Ответы оценки на странице Управление оценкой и выберите оценку.
Просмотр рисков конфиденциальности организации
Просмотр рисков конфиденциальности в реестре рисков
Если вы хотите просмотреть риски в проектах и других ресурсах, это можно сделать на странице Реестр рисков . В реестре рисков представлены два представления риска в организации.
Вкладка Просмотр ответа по оценке . В этом представлении отображается риск для каждого ответа на оценку, при этом каждый ответ сгруппирован по проекту или ресурсу, к которому он относится. Оценка рисков оценки — это совокупная оценка риска, рассчитанная для ответа на оценку, отражающая общий риск конфиденциальности из ответа.
Вкладка Просмотр по фактору риска . Это представление риска также сгруппировано по проекту или ресурсу, к которому относится риск. Но вместо отражения совокупного риска для ответа на риск на вкладке показаны все факторы риска, которые присутствовали в любом из ответов на риск для этого актива, количество раз, когда был выявлен фактор риска, и уровень риска каждого из них.
Просмотр рисков конфиденциальности на вкладке "Ответ на риски"
Если вы хотите просмотреть все вопросы из всех ответов на оценку, которые относятся только к конкретному ресурсу, можно перейти на страницу сведений о соответствующем ресурсе. Найдите ресурс, перейдя на страницу Управление оценкой и выбрав вкладку Активы . Вы также можете найти ресурс в каталоге данных.
На странице сведений об активе выберите вкладку Ответы на риски в области навигации слева. Здесь вы увидите учетную запись каждой оценки, выполненной для ресурса, и вопросы в каждой оценке, которые несут выявленный риск конфиденциальности. Вы можете просмотреть вопрос и ответ, тип риска и уровень риска. Вы также можете управлять рисками из этого расположения или изменять их.
Сохранение в виде черновика и публикация оценки
При сохранении работы над оценкой она отображается на вкладке Оценки на странице Управление оценкой с состоянием Черновика. Оценку можно изменить, но она пока недоступна для отправки респондентам для завершения.
Когда вы будете готовы сделать оценку доступной для завершения пользователями, сначала необходимо опубликовать ее. Выберите черновик оценки из списка на вкладке Оценки , а затем выберите Опубликовать в правом верхнем углу страницы. Теперь оценка доступна для назначения пользователю в вашей организации.
Назначение оценки ресурсу
На вкладке Оценки на странице Управление оценкой выберите оценку, чтобы открыть страницу сведений о ней. На этой странице содержатся сведения об оценке, в том числе количество отправлено для завершения, сколько выполняется и сколько было отправлено.
Выберите Назначить в верхней части страницы. В окне Назначение оценки можно выбрать два варианта:
- Ресурсы. Выберите один или несколько ресурсов для назначения оценке, а затем нажмите кнопку Далее.
- Рецензенты. Выберите одного или нескольких пользователей в качестве рецензентов, которые будут утверждать или отклонять отправленную оценку. Выберите Назначить.
Ответ на запрос и отправка оценки
Когда оценка назначается ресурсу, владелец получает сообщение электронной почты о том, что оценка была назначена. Сообщение электронной почты ссылается на ресурс в каталоге данных. На странице Конфиденциальность ресурса перечислены все назначенные ему оценки, а также сведения о том, когда была назначена оценка, состояние ее завершения и дата завершения.
Выберите имя оценки, которую вы хотите принять, чтобы открыть анкету оценки. Вы можете сохранить ход выполнения и вернуться к завершению, нажав кнопку Сохранить в правом верхнем углу экрана.
Когда вы будете готовы отправить завершенную оценку, выберите параметр Отправить в раскрывающемся списке рядом с кнопкой Сохранить .
Оценка теперь имеет состояние Отправлено на странице Конфиденциальность ресурса. Рецензенты оценки теперь могут просмотреть ответ оценки, чтобы утвердить или отклонить его.
Проверка и утверждение ответа на оценку
Рецензент для оценки получает электронное письмо при отправке ответа на оценку. Рецензент может щелкнуть ссылку в сообщении электронной почты, чтобы перейти к оценке или получить доступ к отправке, найдя ее в списке на вкладке Ответы на оценку на странице Управление оценкой .
Найдите ответ, указанный в столбце Имя оценки , с состоянием Отправлено . Выберите имя оценки, чтобы открыть ответ и просмотреть ответы на вопросы. На панели оценки риска справа отображается оценка риска на основе предоставленных ответов. Каждый вопрос указывает уровень риска, если он был обнаружен, а панель справа отображает общий риск для ответа на оценку. Вы можете закрыть панель, нажав кнопку X, а затем снова отобразить панель, нажав кнопку Оценка риска .
Чтобы утвердить ответ на оценку, выберите Утвердить в правом верхнем углу экрана.
Если для ответа обнаружен риск и вы решили отклонить его, выберите Отклонить. Респондент получает уведомление о том, что оценка была отклонена.
Реагирование на отклоненную оценку
Владелец проекта видит оценку, указанную на вкладке Конфиденциальность страницы сведений о проекте с состоянием Отклонено. Владелец проекта может выбрать оценку, просмотреть предыдущие ответы и изменить ответы. Выберите Сохранить, если вам нужно сохранить ход выполнения и продолжить работу над ответами позже. Когда все будет готово повторно отправить рецензенту, нажмите кнопку Отправить.
Изменение риска для вопроса при проверке ответа
Вы можете изменить указанный уровень риска для вопроса во время проверки или даже после утверждения ответа. Например, если вы получили дополнительные сведения или контекст с момента создания анкеты, вы можете решить, что исходный уровень риска был неправильным и что необходимо перекалибровать уровень риска.
Чтобы изменить уровень риска, щелкните значок карандаша рядом с уровнем риска для вопроса. Откроется всплывающее окно Изменение риска . Вы можете изменить уровень риска и тип риска в раскрывающихся меню и добавить описание изменений , объясняющее корректировки. Присвойте ему значениеАктивно , если он по-прежнему актуален, или Неактивно , если риск больше не имеет значения. Все изменения фиксируются в разделе Журнал рисков на панели.
Нажмите кнопку Сохранить , чтобы сохранить изменения. Обратите внимание на изменения в оценке оценки на странице ответа на оценку.
Экспорт ответа на оценку
Вы можете экспортировать ответ на оценку, скачав его в формате Microsoft Word или PDF-файла. Это позволяет легко передавать результаты оценки конфиденциальности сотрудникам организации или за ее пределами, например аудиторам или регуляторам. Следуйте приведенным ниже инструкциям для экспорта ответа на оценку.
- Перейдите на страницу Управление оценкой и выберите Ответы оценки.
- Выберите имя ответа, который требуется экспортировать.
- На странице сведений об ответе на оценку выберите Экспорт ответа, который отображается под именем ответа.
- В раскрывающемся меню Экспорт ответа выберите предпочтительный тип файла для скачаемого файла: документ Word или PDF.
Файл сразу же скачивается, и вы можете получить к нему доступ из папки downloads на компьютере.
Юридическое заявление об отказе от ответственности
Отказ от ответственности по юридическим вопросам Microsoft Priva