Microsoft 365 GDPR 行动计划 - 前 30 天、前 90 天以及之后的首要行动

本文包括一个优先级的行动计划,可在满足一般数据保护条例 (GDPR) 的要求时遵循。 此行动计划是与专业遵守法规的 Microsoft 合作伙伴 Protiviti 合作制定的。

GDPR 为向欧盟 (欧盟) 人员提供商品和服务的公司、政府机构、非营利组织和其他组织引入了新规则,或者为欧盟居民收集和分析数据。 无论你或你的企业位于何处,GDPR 都适用。

行动计划结果

这些建议按逻辑顺序分三个阶段提供,具体结果如下:

阶段 结果
30 天 了解 GDPR 要求,并考虑与 Microsoft GDPR 咨询合作伙伴合作。
* 衡量准备情况基准,并获取后续步骤的相关建议。
* 与 Microsoft GDPR 咨询合作伙伴合作,以共同制定数据主体请求 (DSR) 响应内部指南,对组织执行 GDPR 合规性差距分析,并绘制合规性路线图。

为了符合 DSR 要求,开始发现要存储的个人数据的类型及其驻留位置。
* 使用安全与合规中心内的内容搜索和电子数据展示来发现整个组织中的个人数据。
* 使用大量内容时,请使用由机器学习技术支持的Microsoft Purview 电子数据展示 (高级) 执行更高效、更准确的内容搜索。
90 天 使用 Microsoft 365 数据管理和合规性功能开始推行合规性要求。
* 使用 Microsoft Purview 合规性管理器评估和管理合规性风险。
* 帮助用户根据 GDPR 规定来标识和分类个人数据。

使用 Microsoft 365 安全功能来防范数据泄露并保护个人数据。
* 保护管理员和最终用户帐户。
* 防范恶意代码,并实施数据泄露防护和响应措施。
* 使用审核日志来监视潜在恶意活动,并启用数据泄露取证分析。
* 使用数据丢失防护 (DLP) 策略来识别和保护敏感数据。
* 防范最常见的攻击途径,包括钓鱼电子邮件和包含恶意链接和附件的 Office 文档。
90 天后 使用 Microsoft 365 高级数据管理工具和信息保护来实现个人数据持续管理计划。
* 自动标识文档和电子邮件中的个人信息。
* 保护整个组织中设备上存储的个人数据,并确保使用合规的公司设备访问敏感数据。
* 确保敏感个人信息的存储和访问符合公司策略。
* 实现数据保留策略,以帮助确保仅在必要时保留个人数据。

监视 Microsoft 365 和其他云应用程序的持续合规性。 考虑解决欧盟个人数据的数据驻留要求。
* 监视组织的云应用程序使用情况,并实现高级警报策略。
* 作为一个全局组织满足数据驻留要求。

30 天 — 强大的快速胜利

这些任务快速且强大,对用户的影响很小。

区域 Tasks
了解 GDPR 要求,并考虑与 Microsoft GDPR 咨询合作伙伴合作。 * 在Microsoft Purview 合规门户中使用 Microsoft Purview 合规性管理器对组织进行 GDPR 评估,从而评估和管理合规性风险。
* 与 Microsoft GDPR 咨询合作伙伴合作,以共同制定数据主体请求 (DSR) 响应内部指南和 DSR 排除项。
* 与 Microsoft GDPR 咨询合作伙伴合作,共同对组织执行 GDPR 合规性差距分析,并绘制 GDPR 合规性路线图。
* 了解如何在Microsoft Purview 合规门户中使用 GDPR 仪表板和数据主体请求功能
为了符合 DSR 要求,开始发现要存储的个人数据的类型及其驻留位置。 * 使用内容搜索电子数据展示 (标准) 案例轻松搜索邮箱、公用文件夹、Microsoft 365 组、Microsoft Teams、SharePoint Online 网站、One Drive for Business 网站和Skype for Business对话。 了解如何使用敏感信息类型查找欧盟公民的个人数据
* 使用大量内容时,请识别与特定主题相关的文档 (例如,符合性调查) 快速且比使用机器学习技术提供支持的Microsoft Purview 电子数据展示 (高级) 的传统关键字搜索更精确。
* 使用安全&与合规中心来预览搜索结果、获取一个或多个搜索的关键字统计信息、批量编辑内容搜索和导出结果

90 天 — 增强合规性

虽然这些任务需要更多时间来计划和实现,但却能促进你的整体 GDPR 合规性工作。

区域 Tasks
使用 Microsoft 365 数据管理和合规性功能开始推行合规性要求。 * 在Microsoft Purview 合规门户中管理 Microsoft Purview 合规性管理器的 GDPR 符合性。
* 通过适用于 Exchange 电子邮件、SharePoint 网站、OneDrive for Business 网站和 Microsoft 365 组的分类架构和相关 Office 365 标签,帮助用户根据 GDPR 规定来标识和分类个人数据。 请参阅 Microsoft 365 为数据隐私法规部署信息保护
使用 Microsoft 365 安全功能来防范数据泄露并保护个人数据。 * 通过为所有用户帐户启用多重身份验证,以及为所有应用启用新式验证,改进 Microsoft 云中管理员和最终用户的身份验证。 有关建议的策略配置,请参阅标识和设备访问配置
* 在所有台式机上部署 Microsoft Defender for Endpoint,以防范恶意代码、防止数据泄露并作出响应。
* 为所有 Exchange 邮箱启用审核日志邮箱审核,以监视潜在恶意活动,并启用数据泄露取证分析。
• 配置、测试和部署数据丢失防护 (DLP) 策略,以标识、监视和自动保护文档和电子邮件中的超过 80 种常见敏感数据类型,包括财务、医疗和个人身份信息。
* 实施 Office 365 案例解决方案,以帮助防范最常见的攻击媒介,包括钓鱼电子邮件和含有恶意链接和附件的 Office 文档。

90 天后 — 持续隐私、数据管理和报告

这些是建立在之前工作基础上的重要隐私措施。

区域 Tasks
使用 Microsoft 365 高级数据管理工具和信息保护来实现个人数据持续管理计划。 * 使用敏感度标签,标识文档和电子邮件中的个人信息。
* 通过部署 Microsoft Intune,保护整个组织中设备上存储的个人数据。
* 通过 Microsoft Intune 实现 AAD 条件访问策略,以确保敏感个人信息的存储和访问符合公司策略。 有关建议的策略配置,请参阅标识和设备访问配置
* 实施具有敏感度标签、Microsoft Purview 数据生命周期管理保留策略的数据保留策略,以便在司法管辖区中根据需要保留个人数据。
监视 Microsoft 365 和其他云应用程序的持续合规性。 考虑解决欧盟个人数据的数据驻留要求。
  • 使用数据丢失防护报告Microsoft Defender for Cloud Apps监视云应用程序的使用情况,并根据启发式和用户活动实施高级警报策略。
  • 使用 Microsoft 的多地理位置功能为Exchange Online邮箱、OneDrive for Business网站和 SharePoint Online 网站配置为一个全局组织时,满足组织、区域和本地数据驻留要求。
  • 了解详细信息