Microsoft 365 GDPR 行動計畫 — 前 30 天、90 天及過後的首要工作
本文包含可遵循的優先行動計劃,以符合一般數據保護規定 (GDPR) 的需求。 此行動計劃是與 Protiviti 合作開發的,Protiviti 是專門處理法規合規性的 Microsoft 合作夥伴。
GDPR 針對為歐盟 (歐盟) 中的人員提供商品和服務,或收集和分析歐盟居民數據的公司、政府機構、非營利組織及其他組織引進了新的規則。 不論您或您的企業位於何處,都會套用GDPR。
行動計畫結果
這些建議橫跨有邏輯順序的三個階段,具有下列結果:
| 階段 | 結果 |
|---|---|
| 30 天 |
了解您的 GDPR 需求,並且考慮與 Microsoft GDPR 諮詢合作夥伴配合。 * 評定您的整備,並且取得後續步驟的建議。 * 與 Microsoft GDPR 諮詢合作夥伴合作,以建立回應資料主體要求 (DSR) 的內部指導方針,針對貴組織執行 GDPR 合規性差距分析,並且建立合規性的藍圖。 開始探索您儲存的個人資料類型及其所在位置,以符合 DSR。 * 使用安全性與合規性中心的內容搜尋和 eDiscovery,探索整個組織的個人資料。 * 使用大量內容時,請使用 Microsoft Purview 電子文件探索 (機器學習技術所提供的進階) ,以執行更有效率且更精確的內容搜尋。 |
| 90 天 |
開始使用 Microsoft 365 資料控管和合規性功能,實作合規性需求。 * 使用 Microsoft Purview 合規性管理員來評估和管理您的合規性風險。 * 協助使用者識別及分類個人資料,如同 GDPR 所定義。 使用 Microsoft 365 的安全性功能來防止資料外洩,並為個人資料實作保護。 * 保護系統管理員和使用者帳戶。 * 防範惡意程式碼,並實作資料外洩防護及回應。 * 使用稽核記錄以監視潛在的惡意活動,並啟用資料外洩的鑑識調查分析。 * 使用數據外洩防護 (DLP) 原則來識別及保護敏感數據。 * 防範最常見的攻擊,包括網路釣魚電子郵件和包含惡意連結和附件的 Office 文件。 |
| 超過 90 天 |
使用 Microsoft 365 進階資料控管工具和資訊保護,以實作個人資料的持續控管方案。 * 自動識別文件和電子郵件中的個人資訊。 * 保護整個組織儲存在裝置上的個人資料,並且確保使用符合公司規範的裝置來存取敏感性資料。 * 確保根據公司原則來儲存及存取機密個人資訊。 * 實作數據保留原則,以協助確保您只在必要時保留個人資料。 在 Microsoft 365 及其他 Cloud 應用程式之間監視持續合規性。 請考慮解決歐盟個人資料的數據落地需求。 * 監視貴組織的雲端應用程式使用方式,並且實作進階警示原則。 * 以單一全域組織形式解決資料落地需求。 |
30 天 — 強大的快速獲勝
這些工作既快速且功能強大,並且對使用者的影響很低。
| 適用範圍 | 工作 |
|---|---|
| 了解您的 GDPR 需求,並且考慮與 Microsoft GDPR 諮詢合作夥伴配合。 | * 在 Microsoft Purview 合規性入口網站 中使用 Microsoft Purview 合規性管理員來評估和管理您的合規性風險,以進行組織的 GDPR 評估。 * 與您的 Microsoft GDPR 諮詢合作夥伴合作,以建立回應資料主體要求 (DSR) 及從 DSR 排除的內部指導方針。 * 與您的 Microsoft GDPR 諮詢合作夥伴合作,為貴組織執行 GDPR 合規性的差距分析,並且發展規劃您的 GDPR 合規性旅程的藍圖。 * 瞭解如何在 Microsoft Purview 合規性入口網站 中使用 GDPR 儀錶板和數據主體要求功能。 |
| 開始探索您儲存的個人資料類型及其所在位置,以符合 DSR。 | * 使用內容 搜尋 和電子檔探索 (標準) 案例,輕鬆搜尋信箱、公用資料夾、Microsoft 365 群組、Microsoft Teams、SharePoint 網站、商務用 One Drive 網站和 商務用 Skype 交談。 了解如何使用敏感性資訊類型來尋找歐盟居民的個人資料 * 使用大量內容時,請識別與特定主旨相關的檔 (例如,合規性調查) 快速且精確度高於使用機器學習技術提供技術支援之 Microsoft Purview 電子文件探索 (Premium) 的傳統關鍵詞搜尋。 * 預覽搜尋結果、取得一或多個搜尋的關鍵詞統計數據、大量編輯內容搜尋,以及使用安全性 & 合規性中心匯出 結果 。 |
90 天 — 增強的合規性
這些工作需要多一點時間來規劃及實作,但可提升整體 GDPR 合規性成果。
| 適用範圍 | 工作 |
|---|---|
| 開始使用 Microsoft 365 資料控管和合規性功能,實作合規性需求。 | * 在 Microsoft Purview 合規性入口網站 內使用 Microsoft Purview Compliance Manager 管理 GDPR 合規性。 * 協助使用者識別及分類個人資料,如 GDPR 所定義,具有分類架構和相關聯的 Office 365 Exchange 電子郵件標籤、SharePoint 網站、適用於工作和學校網站的 OneDrive,以及 Microsoft 365 群組。 請參閱 使用 Microsoft 365 部署數據隱私權法規的信息保護。 |
| 使用 Microsoft 365 的安全性功能來防止資料外洩,並為個人資料實作保護。 | * 藉由針對所有使用者帳戶啟用多重要素驗證,以及針對所有應用程式啟用新式驗證,在 Microsoft Cloud 中改善系統管理員和使用者的驗證。 如需建議的原則組態,請參閱身分識別與裝置存取設定。 * 將 Microsoft Defender 進階威脅防護部署至所有桌上型電腦以防範惡意程式碼、資料外洩防護和回應。 * 針對所有 Exchange 信箱啟用稽核記錄 (部分機器翻譯) 和信箱稽核 (部分機器翻譯),以監視潛在的惡意活動,並啟用資料外洩的鑑識調查分析。 * 設定、測試及部署資料外洩防護 (DLP) 原則 (部分機器翻譯),以在文件和電子郵件內識別、監視及自動保護 超過 80 個常見的敏感性資料類型,包括財務、醫療及個人識別資訊。 * 實作Office 365 安全性解決方案,協助防範最常見的攻擊,包括網路釣魚電子郵件和包含惡意連結和附件的 Office 文件。 |
超過 90 天 — 持續隱私權、資料控管和報告
這些是以上述工作為基礎建置的隱私權措施。
| 適用範圍 | 工作 |
|---|---|
| 使用 Microsoft 365 進階資料控管工具和資訊保護,以實作個人資料的持續控管方案。 | * 使用敏感度標籤來識別文件和電子郵件中的個人資訊。 * 藉由部署 Microsoft Intune,保護儲存在整個組織裝置上的個人資料。 * 實作 AAD 條件式存取與 Microsoft Intune,以確保根據公司原則儲存及存取敏感性個人資訊。 如需建議的原則組態,請參閱身分識別與裝置存取設定。 * 實作具有敏感度標籤、Microsoft Purview 資料生命週期管理 和保留原則的數據保留原則,以在您的管轄區中視需要保留個人資料。 |
| 在 Microsoft 365 及其他 Cloud 應用程式之間監視持續合規性。 請考慮解決歐盟個人資料的數據落地需求。 |