Microsoft 365 GDPR 行動計畫 — 前 30 天、90 天及過後的首要工作

本文包含可遵循的優先行動計畫,以符合一般資料保護規定 (GDPR) 的需求。 此行動計畫是與 Protiviti 合作開發的,Protiviti 是專門處理法規合規性的 Microsoft 合作夥伴。

GDPR 針對為歐盟 (歐盟) 中的人員供應商品和服務,或收集和分析歐盟居民資料的公司、政府機構、非營利組織和其他組織引進了新規則。 不論您或您的企業位於何處,都會套用 GDPR。

行動計畫結果

這些建議橫跨有邏輯順序的三個階段,具有下列結果:

階段 結果
30 天 了解您的 GDPR 需求,並且考慮與 Microsoft GDPR 諮詢合作夥伴配合。
* 評定您的整備,並且取得後續步驟的建議。
* 與 Microsoft GDPR 諮詢合作夥伴合作,以建立回應資料主體要求 (DSR) 的內部指導方針,針對貴組織執行 GDPR 合規性差距分析,並且建立合規性的藍圖。

開始探索您儲存的個人資料類型及其所在位置,以符合 DSR。
* 使用安全性與合規性中心的內容搜尋和 eDiscovery,探索整個組織的個人資料。
* 使用大量內容時,請使用Microsoft Purview 電子檔探索 (機器學習技術所提供的進階) ,以執行更有效率且更精確的內容搜尋。
90 天 開始使用 Microsoft 365 資料控管和合規性功能,實作合規性需求。
* 使用 Microsoft Purview 合規性管理員來評估和管理您的合規性風險。
* 協助使用者識別及分類個人資料,如同 GDPR 所定義。

使用 Microsoft 365 的安全性功能來防止資料外洩,並為個人資料實作保護。
* 保護系統管理員和使用者帳戶。
* 防範惡意程式碼,並實作資料外洩防護及回應。
* 使用稽核記錄以監視潛在的惡意活動,並啟用資料外洩的鑑識調查分析。
* 使用資料外泄防護 (DLP) 原則來識別及保護敏感性資料。
* 防範最常見的攻擊,包括網路釣魚電子郵件和包含惡意連結和附件的 Office 文件。
超過 90 天 使用 Microsoft 365 進階資料控管工具和資訊保護,以實作個人資料的持續控管方案。
* 自動識別文件和電子郵件中的個人資訊。
* 保護整個組織儲存在裝置上的個人資料,並且確保使用符合公司規範的裝置來存取敏感性資料。
* 確保根據公司原則來儲存及存取機密個人資訊。
* 實作資料保留原則,以協助確保您只在必要時保留個人資料。

在 Microsoft 365 及其他 Cloud 應用程式之間監視持續合規性。 請考慮解決歐盟個人資料的資料落地需求。
* 監視貴組織的雲端應用程式使用方式,並且實作進階警示原則。
* 以單一全域組織形式解決資料落地需求。

30 天 — 強大的快速獲勝

這些工作既快速且功能強大,並且對使用者的影響很低。

適用範圍 工作
了解您的 GDPR 需求,並且考慮與 Microsoft GDPR 諮詢合作夥伴配合。 * 在Microsoft Purview 合規性入口網站中使用Microsoft Purview 合規性管理員來評估和管理您的合規性風險,以進行組織的 GDPR 評估。
* 與您的 Microsoft GDPR 諮詢合作夥伴合作,以建立回應資料主體要求 (DSR) 及從 DSR 排除的內部指導方針。
* 與您的 Microsoft GDPR 諮詢合作夥伴合作,為貴組織執行 GDPR 合規性的差距分析,並且發展規劃您的 GDPR 合規性旅程的藍圖。
* 瞭解如何在Microsoft Purview 合規性入口網站中使用GDPR 儀表板和資料主體要求功能
開始探索您儲存的個人資料類型及其所在位置,以符合 DSR。 * 使用內容搜尋電子檔探索 (標準) 案例,輕鬆搜尋信箱、公用資料夾、Microsoft 365 群組、Microsoft Teams、SharePoint Online 網站、商務用 One Drive 網站和商務用 Skype交談。 了解如何使用敏感性資訊類型來尋找歐盟居民的個人資料
* 使用大量內容時,請識別與特定主旨相關的檔 (例如,合規性調查) 快速且精確度高於使用機器學習技術所提供技術支援的Microsoft Purview 電子檔探索 (Premium) 的傳統關鍵字搜尋。
* 使用安全性與合規性中心,預覽搜尋結果、取得一或多個搜尋的關鍵字統計資料、大量編輯內容搜尋並從安全性&合規性中心匯出結果

90 天 — 增強的合規性

這些工作需要多一點時間來規劃及實作,但可提升整體 GDPR 合規性成果。

適用範圍 工作
開始使用 Microsoft 365 資料控管和合規性功能,實作合規性需求。 * 在Microsoft Purview 合規性入口網站內使用Microsoft Purview Compliance Manager管理 GDPR 合規性。
* 協助使用者識別及分類個人資料,如同 GDPR 所定義,方法是對 Exchange 電子郵件、SharePoint 網站、商務用 OneDrive 網站及 Microsoft 365 群組使用分類結構描述以及相關聯的 Office 365 標籤。 請參閱 使用 Microsoft 365 部署資料隱私權法規的資訊保護
使用 Microsoft 365 的安全性功能來防止資料外洩,並為個人資料實作保護。 * 藉由針對所有使用者帳戶啟用多重要素驗證,以及針對所有應用程式啟用新式驗證,在 Microsoft Cloud 中改善系統管理員和使用者的驗證。 如需建議的原則組態,請參閱身分識別與裝置存取設定
* 將 Microsoft Defender 進階威脅防護部署至所有桌上型電腦以防範惡意程式碼、資料外洩防護和回應。
* 針對所有 Exchange 信箱啟用稽核記錄 (部分機器翻譯) 和信箱稽核 (部分機器翻譯),以監視潛在的惡意活動,並啟用資料外洩的鑑識調查分析。
* 設定、測試及部署資料外洩防護 (DLP) 原則 (部分機器翻譯),以在文件和電子郵件內識別、監視及自動保護 超過 80 個常見的敏感性資料類型,包括財務、醫療及個人識別資訊。
* 實作Office 365 安全性解決方案,協助防範最常見的攻擊,包括網路釣魚電子郵件和包含惡意連結和附件的 Office 文件。

超過 90 天 — 持續隱私權、資料控管和報告

這些是以上述工作為基礎建置的隱私權措施。

適用範圍 工作
使用 Microsoft 365 進階資料控管工具和資訊保護,以實作個人資料的持續控管方案。 * 使用敏感度標籤來識別文件和電子郵件中的個人資訊。
* 藉由部署 Microsoft Intune,保護儲存在整個組織裝置上的個人資料。
* 實作 AAD 條件式存取與 Microsoft Intune,以確保根據公司原則儲存及存取敏感性個人資訊。 如需建議的原則組態,請參閱身分識別與裝置存取設定
* 實作具有敏感度標籤、Microsoft Purview 資料生命週期管理和保留原則的資料保留原則,以在您的管轄區中視需要保留個人資料。
在 Microsoft 365 及其他 Cloud 應用程式之間監視持續合規性。 請考慮解決歐盟個人資料的資料落地需求。
  • 使用資料外泄防護報告Microsoft Defender for Cloud Apps來監視雲端應用程式的使用方式,並根據啟發學習法和使用者活動實作進階警示原則。
  • 解決組織、區域和本機資料落地需求,同時使用 Microsoft 針對Exchange Online信箱、商務用 OneDrive網站和 SharePoint Online 網站的多地理位置功能,設定為一個通用群組織。
  • 深入了解