Microsoft 365 GDPR 行動計畫 — 前 30 天、90 天及過後的首要工作
本文包含可遵循的優先行動計畫,以符合一般資料保護規定 (GDPR) 的需求。 此行動計畫是與 Protiviti 合作開發的,Protiviti 是專門處理法規合規性的 Microsoft 合作夥伴。
GDPR 針對為歐盟 (歐盟) 中的人員供應商品和服務,或收集和分析歐盟居民資料的公司、政府機構、非營利組織和其他組織引進了新規則。 不論您或您的企業位於何處,都會套用 GDPR。
行動計畫結果
這些建議橫跨有邏輯順序的三個階段,具有下列結果:
| 階段 | 結果 |
|---|---|
| 30 天 | 了解您的 GDPR 需求,並且考慮與 Microsoft GDPR 諮詢合作夥伴配合。 * 評定您的整備,並且取得後續步驟的建議。 * 與 Microsoft GDPR 諮詢合作夥伴合作,以建立回應資料主體要求 (DSR) 的內部指導方針,針對貴組織執行 GDPR 合規性差距分析,並且建立合規性的藍圖。 開始探索您儲存的個人資料類型及其所在位置,以符合 DSR。 * 使用安全性與合規性中心的內容搜尋和 eDiscovery,探索整個組織的個人資料。 * 使用大量內容時,請使用Microsoft Purview 電子檔探索 (機器學習技術所提供的進階) ,以執行更有效率且更精確的內容搜尋。 |
| 90 天 | 開始使用 Microsoft 365 資料控管和合規性功能,實作合規性需求。 * 使用 Microsoft Purview 合規性管理員來評估和管理您的合規性風險。 * 協助使用者識別及分類個人資料,如同 GDPR 所定義。 使用 Microsoft 365 的安全性功能來防止資料外洩,並為個人資料實作保護。 * 保護系統管理員和使用者帳戶。 * 防範惡意程式碼,並實作資料外洩防護及回應。 * 使用稽核記錄以監視潛在的惡意活動,並啟用資料外洩的鑑識調查分析。 * 使用資料外泄防護 (DLP) 原則來識別及保護敏感性資料。 * 防範最常見的攻擊,包括網路釣魚電子郵件和包含惡意連結和附件的 Office 文件。 |
| 超過 90 天 | 使用 Microsoft 365 進階資料控管工具和資訊保護,以實作個人資料的持續控管方案。 * 自動識別文件和電子郵件中的個人資訊。 * 保護整個組織儲存在裝置上的個人資料,並且確保使用符合公司規範的裝置來存取敏感性資料。 * 確保根據公司原則來儲存及存取機密個人資訊。 * 實作資料保留原則,以協助確保您只在必要時保留個人資料。 在 Microsoft 365 及其他 Cloud 應用程式之間監視持續合規性。 請考慮解決歐盟個人資料的資料落地需求。 * 監視貴組織的雲端應用程式使用方式,並且實作進階警示原則。 * 以單一全域組織形式解決資料落地需求。 |
30 天 — 強大的快速獲勝
這些工作既快速且功能強大,並且對使用者的影響很低。
| 適用範圍 | 工作 |
|---|---|
| 了解您的 GDPR 需求,並且考慮與 Microsoft GDPR 諮詢合作夥伴配合。 | * 在Microsoft Purview 合規性入口網站中使用Microsoft Purview 合規性管理員來評估和管理您的合規性風險,以進行組織的 GDPR 評估。 * 與您的 Microsoft GDPR 諮詢合作夥伴合作,以建立回應資料主體要求 (DSR) 及從 DSR 排除的內部指導方針。 * 與您的 Microsoft GDPR 諮詢合作夥伴合作,為貴組織執行 GDPR 合規性的差距分析,並且發展規劃您的 GDPR 合規性旅程的藍圖。 * 瞭解如何在Microsoft Purview 合規性入口網站中使用GDPR 儀表板和資料主體要求功能。 |
| 開始探索您儲存的個人資料類型及其所在位置,以符合 DSR。 | * 使用內容搜尋和電子檔探索 (標準) 案例,輕鬆搜尋信箱、公用資料夾、Microsoft 365 群組、Microsoft Teams、SharePoint Online 網站、商務用 One Drive 網站和商務用 Skype交談。 了解如何使用敏感性資訊類型來尋找歐盟居民的個人資料 * 使用大量內容時,請識別與特定主旨相關的檔 (例如,合規性調查) 快速且精確度高於使用機器學習技術所提供技術支援的Microsoft Purview 電子檔探索 (Premium) 的傳統關鍵字搜尋。 * 使用安全性與合規性中心,預覽搜尋結果、取得一或多個搜尋的關鍵字統計資料、大量編輯內容搜尋並從安全性&合規性中心匯出結果。 |
90 天 — 增強的合規性
這些工作需要多一點時間來規劃及實作,但可提升整體 GDPR 合規性成果。
| 適用範圍 | 工作 |
|---|---|
| 開始使用 Microsoft 365 資料控管和合規性功能,實作合規性需求。 | * 在Microsoft Purview 合規性入口網站內使用Microsoft Purview Compliance Manager管理 GDPR 合規性。 * 協助使用者識別及分類個人資料,如同 GDPR 所定義,方法是對 Exchange 電子郵件、SharePoint 網站、商務用 OneDrive 網站及 Microsoft 365 群組使用分類結構描述以及相關聯的 Office 365 標籤。 請參閱 使用 Microsoft 365 部署資料隱私權法規的資訊保護。 |
| 使用 Microsoft 365 的安全性功能來防止資料外洩,並為個人資料實作保護。 | * 藉由針對所有使用者帳戶啟用多重要素驗證,以及針對所有應用程式啟用新式驗證,在 Microsoft Cloud 中改善系統管理員和使用者的驗證。 如需建議的原則組態,請參閱身分識別與裝置存取設定。 * 將 Microsoft Defender 進階威脅防護部署至所有桌上型電腦以防範惡意程式碼、資料外洩防護和回應。 * 針對所有 Exchange 信箱啟用稽核記錄 (部分機器翻譯) 和信箱稽核 (部分機器翻譯),以監視潛在的惡意活動,並啟用資料外洩的鑑識調查分析。 * 設定、測試及部署資料外洩防護 (DLP) 原則 (部分機器翻譯),以在文件和電子郵件內識別、監視及自動保護 超過 80 個常見的敏感性資料類型,包括財務、醫療及個人識別資訊。 * 實作Office 365 安全性解決方案,協助防範最常見的攻擊,包括網路釣魚電子郵件和包含惡意連結和附件的 Office 文件。 |
超過 90 天 — 持續隱私權、資料控管和報告
這些是以上述工作為基礎建置的隱私權措施。
| 適用範圍 | 工作 |
|---|---|
| 使用 Microsoft 365 進階資料控管工具和資訊保護,以實作個人資料的持續控管方案。 | * 使用敏感度標籤來識別文件和電子郵件中的個人資訊。 * 藉由部署 Microsoft Intune,保護儲存在整個組織裝置上的個人資料。 * 實作 AAD 條件式存取與 Microsoft Intune,以確保根據公司原則儲存及存取敏感性個人資訊。 如需建議的原則組態,請參閱身分識別與裝置存取設定。 * 實作具有敏感度標籤、Microsoft Purview 資料生命週期管理和保留原則的資料保留原則,以在您的管轄區中視需要保留個人資料。 |
| 在 Microsoft 365 及其他 Cloud 應用程式之間監視持續合規性。 請考慮解決歐盟個人資料的資料落地需求。 |