Microsoft 365 GDPR 行动计划 - 前 30 天、前 90 天以及之后的首要行动
本文包括一个优先的行动计划,你可以在努力满足 GDPR) 的一般数据保护条例 (要求时遵循。 此行动计划是与 Protiviti 合作制定的,Protiviti 是一家专门从事合规性Microsoft合作伙伴。
GDPR 为向欧盟 (欧盟) 人员提供商品和服务或收集和分析欧盟居民数据的公司、政府机构、非营利组织和其他组织引入了新规则。 无论你或企业位于何处,GDPR 都适用。
行动计划结果
这些建议按逻辑顺序分三个阶段提供,具体结果如下:
| 阶段 | 结果 |
|---|---|
| 30 天 |
了解 GDPR 要求,并考虑与 Microsoft GDPR 咨询合作伙伴合作。 * 衡量准备情况基准,并获取后续步骤的相关建议。 * 与 Microsoft GDPR 咨询合作伙伴合作,以共同制定数据主体请求 (DSR) 响应内部指南,对组织执行 GDPR 合规性差距分析,并绘制合规性路线图。 为了符合 DSR 要求,开始发现要存储的个人数据的类型及其驻留位置。 * 使用安全与合规中心内的内容搜索和电子数据展示来发现整个组织中的个人数据。 * 处理大量内容时,请使用由机器学习技术提供支持的 Microsoft Purview 电子数据展示 (Premium) 来执行更高效、更准确的内容搜索。 |
| 90 天 |
使用 Microsoft 365 数据管理和合规性功能开始推行合规性要求。 * 使用 Microsoft Purview 合规性管理器评估和管理合规性风险。 * 帮助用户根据 GDPR 规定来标识和分类个人数据。 使用 Microsoft 365 安全功能来防范数据泄露并保护个人数据。 * 保护管理员和最终用户帐户。 * 防范恶意代码,并实施数据泄露防护和响应措施。 * 使用审核日志来监视潜在恶意活动,并启用数据泄露取证分析。 * 使用数据丢失防护 (DLP) 策略来识别和保护敏感数据。 * 防范最常见的攻击途径,包括钓鱼电子邮件和包含恶意链接和附件的 Office 文档。 |
| 90 天后 |
使用 Microsoft 365 高级数据管理工具和信息保护来实现个人数据持续管理计划。 * 自动标识文档和电子邮件中的个人信息。 * 保护整个组织中设备上存储的个人数据,并确保使用合规的公司设备访问敏感数据。 * 确保敏感个人信息的存储和访问符合公司策略。 * 实施数据保留策略,以帮助确保仅在必要时保留个人数据。 监视 Microsoft 365 和其他云应用程序的持续合规性。 考虑解决欧盟个人数据的数据驻留要求。 * 监视组织的云应用程序使用情况,并实现高级警报策略。 * 作为一个全局组织满足数据驻留要求。 |
30 天 - 强大的快速获胜
这些任务快速且强大,对用户的影响很小。
| 区域 | Tasks |
|---|---|
| 了解 GDPR 要求,并考虑与 Microsoft GDPR 咨询合作伙伴合作。 | * 使用 Microsoft Purview 合规门户 中的 Microsoft Purview 合规性管理器对组织进行 GDPR 评估,从而评估和管理合规性风险。 * 与 Microsoft GDPR 咨询合作伙伴合作,以共同制定数据主体请求 (DSR) 响应内部指南和 DSR 排除项。 * 与 Microsoft GDPR 咨询合作伙伴合作,共同对组织执行 GDPR 合规性差距分析,并绘制 GDPR 合规性路线图。 * 了解如何在Microsoft Purview 合规门户中使用 GDPR 仪表板和数据主体请求功能。 |
| 为了符合 DSR 要求,开始发现要存储的个人数据的类型及其驻留位置。 | * 使用内容搜索和电子数据展示 (Standard) 案例轻松搜索邮箱、公用文件夹、Microsoft 365 组、Microsoft Teams、SharePoint 网站、One Drive for Business 网站和Skype for Business对话。 了解如何使用敏感信息类型查找欧盟公民的个人数据 * 处理大量内容时,识别与特定主题相关的文档 (例如,与由机器学习技术提供支持的 Microsoft Purview 电子数据展示 (Premium ) 进行的传统关键字 (keyword) 搜索相比,合规性调查) 快速且精度更高。 * 预览搜索结果,获取一个或多个搜索的关键字 (keyword) 统计信息,批量编辑内容搜索,并使用安全 & 合规中心导出结果。 |
90 天 — 增强合规性
虽然这些任务需要更多时间来计划和实现,但却能促进你的整体 GDPR 合规性工作。
| 区域 | Tasks |
|---|---|
| 使用 Microsoft 365 数据管理和合规性功能开始推行合规性要求。 | * 在Microsoft Purview 合规门户中使用 Microsoft Purview 合规性管理器管理 GDPR 合规性。 * 通过分类架构和关联的 Office 365 Exchange 电子邮件、SharePoint 网站、适用于工作和学校网站的 OneDrive 标签以及Microsoft 365 组,帮助用户识别和分类 GDPR 定义的个人数据。 请参阅 使用 Microsoft 365 部署数据隐私法规的信息保护。 |
| 使用 Microsoft 365 安全功能来防范数据泄露并保护个人数据。 | * 通过为所有用户帐户启用多重身份验证,以及为所有应用启用新式验证,改进 Microsoft 云中管理员和最终用户的身份验证。 有关建议的策略配置,请参阅标识和设备访问配置。 * 在所有台式机上部署 Microsoft Defender for Endpoint,以防范恶意代码、防止数据泄露并作出响应。 * 为所有 Exchange 邮箱启用审核日志和邮箱审核,以监视潜在恶意活动,并启用数据泄露取证分析。 • 配置、测试和部署数据丢失防护 (DLP) 策略,以标识、监视和自动保护文档和电子邮件中的超过 80 种常见敏感数据类型,包括财务、医疗和个人身份信息。 * 实施 Office 365 案例解决方案,以帮助防范最常见的攻击媒介,包括钓鱼电子邮件和含有恶意链接和附件的 Office 文档。 |
90 天后 — 持续隐私、数据管理和报告
这些是建立在之前工作基础上的重要隐私措施。
| 区域 | Tasks |
|---|---|
| 使用 Microsoft 365 高级数据管理工具和信息保护来实现个人数据持续管理计划。 | * 使用敏感度标签,标识文档和电子邮件中的个人信息。 * 通过部署 Microsoft Intune,保护整个组织中设备上存储的个人数据。 * 通过 Microsoft Intune 实现 AAD 条件访问策略,以确保敏感个人信息的存储和访问符合公司策略。 有关建议的策略配置,请参阅标识和设备访问配置。 * 实施具有敏感度标签、Microsoft Purview 数据生命周期管理和保留策略的数据保留策略,以便在司法管辖区内保留个人数据的时间。 |
| 监视 Microsoft 365 和其他云应用程序的持续合规性。 考虑解决欧盟个人数据的数据驻留要求。 |