Ochrana osobních údajů a ochrana dat – Ochrana a řízení dat
Vítá vás krok 2 správy ochrany osobních údajů a ochrany dat pomocí Microsoft Priva a Microsoft Purview: Ochrana a řízení dat.
Když víte, jaké osobní údaje máte, kde jsou a jaké máte zákonné požadavky, je čas zavést opatření k ochraně dat. Microsoft poskytuje komplexní a robustní funkce, které vám pomůžou chránit osobní údaje dvěma způsoby:
- Funkce, které správci IT nastavili pro kategorizaci citlivých položek a provádění ochranných akcí, a
- Funkce, které umožňují vašim zaměstnancům rychle odhalit a opravit problémy s ochranou osobních údajů a natrénovat na osvědčené postupy zpracování dat.
Akce, které se mají provést
Akce | Popis | Získání podrobností |
---|---|---|
Identifikujte typy citlivých informací, abyste věděli, co je potřeba ochranit. | Identifikace a kategorizace citlivých položek spravovaných vaší organizací je prvním krokem v disciplíně Information Protection. Microsoft Purview nabízí tři způsoby identifikace položek tak, aby je uživatelé mohli kategorizovat a) ručně, b) automatizované rozpoznávání vzorů, jako jsou typy citlivých informací, a c) strojové učení. Typy citlivých informací (SIT) jsou klasifikátory založené na vzorech. Za účelem identifikace citlivých položek detekují citlivé informace, jako jsou sociální pojištění, čísla platebních karet nebo bankovních účtů. |
Další informace o typech citlivých informací Zobrazení úplného seznamu typů citlivých informací |
Obsah můžete zařadit do kategorií a označit ho popiskem, abyste ho mohli chránit pomocí funkcí. | Kategorizace a označování obsahu tak, aby se mohl správně chránit a zpracovávat, je výchozím místem pro disciplínu ochrany informací. Microsoft 365 nabízí tři způsoby klasifikace obsahu. | Další informace o vytrénovatelných klasifikátorech |
Použijte popisky citlivosti k ochraně dat, i když se data posoují. | Jakmile identifikujete svá citlivá data, budete je chtít chránit. To je často náročné, když lidé spolupracují s ostatními v organizaci i mimo ni. Tato data se můžou přemístit všude, mezi zařízeními, aplikacemi a službami. A při roamingu chcete, aby to dělal zabezpečeným a chráněným způsobem, který splňuje firemní zásady a zásady dodržování předpisů vaší organizace. Popisky citlivosti z Microsoft Purview Information Protection umožňují klasifikovat a chránit data vaší organizace a zároveň zajistit, aby nebyla omezena produktivita uživatelů a jejich schopnost spolupracovat. |
Další informace o popiscích citlivosti |
Používejte zásady ochrany před únikem informací, abyste zabránili sdílení osobních údajů. | Organizace mají pod kontrolou citlivé informace, jako jsou finanční údaje, údaje o vlastnictví, čísla platebních karet, zdravotní záznamy nebo čísla sociálního pojištění. V zájmu ochrany citlivých informací a snížení rizika potřebují uživatelé způsob, jak zabránit jejich nevhodnému sdílení s lidmi, kteří by je neměli mít. Tento postup se nazývá ochrana před únikem informací (DLP). Pomocí Ochrana před únikem informací Microsoft Purview implementujete ochranu před únikem informací definováním a použitím zásad ochrany před únikem informací k identifikaci, monitorování a automatické ochraně citlivých položek ve službách Microsoftu 365, jako jsou Teams, Exchange, SharePoint a OneDrive. Aplikace Office, jako jsou Word, Excel a PowerPoint; koncové body Windows 10, Windows 11 a macOS (aktuální verze a předchozí dvě verze macOS), cloudové aplikace od jiných společností než Microsoft, místní sdílené složky a místní SharePoint. Toto řešení ochrany před únikem informací detekuje citlivé položky pomocí hloubkové analýzy obsahu, nikoli pouhým prohledáváním textu. Obsah se analyzuje z hlediska shody primárních dat s klíčovými slovy, vyhodnocením regulárních výrazů, interním ověřením funkce a shodami sekundárních dat, které jsou v blízkosti shody primárních dat. Kromě toho používá ochrana před únikem informací také algoritmy strojového učení a další metody k detekci obsahu, který odpovídá vašim zásadám ochrany před únikem informací. |
Další informace o ochraně před únikem informací |
Řízení dodržování předpisů nebo zákonných požadavků na data Microsoftu 365 | Kontrolní mechanismy zásad správného řízení informací můžete ve vašem prostředí použít k řešení požadavků na dodržování předpisů v oblasti ochrany osobních údajů v datech, včetně čísel specifických pro obecné nařízení o ochraně osobních údajů (GDPR), HIPAA-HITECH (USA zákon o ochraně osobních údajů ve zdravotnictví), zákon CCPA (California Consumer Protection Act) a brazilský zákon o ochraně osobních údajů (LGPD). Správa životního cyklu dat Microsoft Purview a Správa záznamů Microsoft Purview poskytují tyto ovládací prvky ve formě zásad uchovávání informací, popisků uchovávání informací a možností správy záznamů. | Informace o nasazení řešení zásad správného řízení dat pomocí Microsoft Purview |
Nastavte zabezpečené ukládání osobních údajů v Microsoft Teams. | Pokud máte v úmyslu ukládat vysoce citlivá osobní data v Teams, můžete nakonfigurovat soukromý tým a použít popisek citlivosti, který je speciálně nakonfigurovaný pro zabezpečení přístupu k týmu a souborům v něm. | Další informace o konfiguraci týmu s bezpečnostní izolací |
Umožněte uživatelům odhalit potenciální rizika a opravit problémy. | Vytvořte zásady zpracování dat v Priva Správa rizik zneužití osobních údajů, aby uživatelé mohli okamžitě identifikovat rizika v datech, která vytvářejí a spravují. E-maily s oznámením upozorňují uživatele, když přenesou položky s osobními údaji v rámci naší organizace, zpřístupňují obsah příliš široce nebo uchovávají osobní údaje příliš dlouho. Tato oznámení vyzve uživatele, aby okamžitě podnikli nápravné kroky k zabezpečení osobních údajů, a obsahují odkazy na preferované školení vaší organizace o ochraně osobních údajů. |
Další informace o správě rizik ochrany osobních údajů Vytvořte zásadu, která zabrání přenosům dat, nadměrnému ohrožení nebo hromadění dat. Nastavení oznámení pro uživatele za účelem řešení problémů s obsahem, který zpracovávají |
Správu záznamů použijte pro položky s vysokou hodnotou, které je potřeba spravovat kvůli obchodním, právním nebo zákonným požadavkům na uchovávání záznamů. | Systém správy záznamů je řešení, které organizacím umožňuje spravovat zákonné, právní a důležité obchodní záznamy. Správa záznamů Microsoft Purview pomáhá organizaci spravovat její právní povinnosti, poskytuje možnost prokazovat dodržování předpisů a zvyšuje efektivitu s pravidelným uspořádáním položek, které již nejsou nutné uchovávat, již nemají hodnotu nebo již nejsou potřeba pro obchodní účely. |
Další informace o správě záznamů |
Nastavení strategie pro úspěch
Identifikace typů citlivých informací (SIT), kategorizace a označování obsahu a nasazení zásad ochrany před únikem informací jsou klíčovými kroky strategie ochrany informací. Odkazy ve výše uvedené tabulce vás převezmou na podrobné pokyny k provádění těchto základních úkolů.
Ochrana dat je také zodpovědností každého uživatele ve vaší organizaci, který při plnění pracovních povinností vidí, vytváří a zpracovává osobní údaje. Každý uživatel musí znát a dodržovat interní a regulační povinnosti vaší organizace za účelem ochrany osobních údajů bez ohledu na to, kde ve vaší organizaci existují. Za tímto účelem vám Priva umožňuje uživatelům znát jejich povinnosti, být informováni o tom, kdy nakládají s daty rizikovým způsobem, a podniknout okamžitá opatření s cílem minimalizovat rizika týkající se ochrany osobních údajů pro organizaci.
Tři zásady zpracování dat dostupné v Priva Správa rizik zneužití osobních údajů pomáhají uživatelům hrát proaktivní roli ve strategii ochrany dat vaší organizace. Email oznámení s integrovanými nápravnými akcemi vyzve uživatele, aby použili potřebnou ochranu a absolvovali školení o ochraně osobních údajů určené vaší organizací. Toto povědomí a schopnost jednat mohou pomoci rozvíjet lepší návyky pro prevenci budoucích problémů s ochranou osobních údajů.
Doporučení pro první zásady zpracování dat Priva
Doporučujeme nasazovat zásady postupně, abyste se dozvěděli, jak se chovají, a optimalizovali je tak, aby vyhovovaly vašim potřebám. V první fázi doporučujeme vytvořit jednu vlastní zásadu, která bude sloužit jako základ pro pochopení. Pojďme použít příklad vytvoření zásady přeexponování dat, která identifikuje položky obsahu obsahující osobní údaje, které můžou být příliš široce přístupné jiným uživatelům. Podrobné pokyny k vytvoření zásad najdete tady.
Když se v průvodci vytvořením zásad dostanete k kroku Zvolit data k monitorování , doporučujeme vybrat možnost Jednotlivé typy citlivých informací a zvolit sity, které jsou pro vaši organizaci nejrelevantnější. Pokud jste například společností, která se zabývá finančními službami se zákazníky v Evropě, budete pravděpodobně chtít jako jednu ze svých sitů zahrnout číslo debetní karty EU. Seznam definic SIT najdete tady.
V kroku Zvolit uživatele a skupiny, na které se vztahuje tato zásada , doporučujeme vybrat konkrétní uživatele nebo skupiny a zvolit malý vnitřní okruh uživatelů v rozsahu této zásady.
V kroku Zvolit podmínky pro zásadu doporučujeme vybrat pouze externí , abyste mohli sledovat data, která byste mohli považovat za ohrožená, a zároveň zachovat celkový objem dat, která budete muset monitorovat, na zvládnutelných úrovních.
V kroku Zadat výstrahy a prahové hodnoty doporučujeme zapnout upozornění a vybrat možnost četnostiupozornění, pokud je splněna jedna z níže uvedených podmínek. Zapnutí upozornění pomůže správcům určit, jestli závažnost a frekvence upozornění vyhovují jejich potřebám. Mějte na paměti, že zásady nefungují zpětně, takže pokud se rozhodnete upozornění nejprve vypnout a později je zapnout, neuvidíte žádná upozornění na shody, ke kterým došlo před zapnutím upozornění.
Ve stavu Rozhodnout režim zásad doporučujeme ponechat zásadu v testovacím režimu a monitorovat její výkon po dobu nejméně pěti dnů. To vám umožní zjistit, jaký druh odpovídá podmínkám zásad, které se nabíraly, a jak se upozornění aktivují.
Postupné nastavování dalších zásad a vyladění výkonu
Po nastavení a spuštění první zásady můžete chtít provést totéž s dalšími dvěma typy zásad. To může být vaše druhá fáze, ve které postupně postupně využíváte funkce a optimalizujete jejich nastavení. Můžete se například rozhodnout, že e-mailová oznámení uživatelům nejdřív neodešlete, když uvidíte, kolik shod vaše zásady zjistí. Nakonec se můžete rozhodnout zapnout e-mailová oznámení, dokud jsou zásady stále v testovacím režimu (ve fázi Definování výsledků nastavení zásad). Pokud uživatelé dostanou příliš mnoho e-mailů, vraťte se do nastavení Výsledků zásad a upravte frekvenci oznámení. Toto doladění vám může pomoct odhadnout požadovaný dopad na uživatele ještě předtím, než zásady nasadíte v celé organizaci.
Doporučená nastavení pro další dva typy zásad
Níže jsou uvedena konkrétní doporučení pro klíčová nastavení při vytváření zásad prvního přenosu dat a přeexponování dat .
Přenos dat:
- V části Data k monitorování vyberte konkrétní SIT.
- V části Zvolit uživatele a skupiny, na které se tato zásada vztahuje, vyberte vnitřní okruh uživatelů.
- V části Zvolit podmínky pro zásadu zvolte podmínku, která je nejdůležitější.
- V části Definovat výsledky při zjištění shody zásad zapněte e-mailová oznámení.
- V části Zadat výstrahy a prahové hodnoty zapněte upozornění pro každou aktivitu.
- V části Rozhodněte se o režimu zásad zapněte režim zásad (tím se vypne testovací režim).
Minimalizace dat:
- V části Data k monitorování zvolte konkrétní SIT nebo klasifikační skupiny.
- V části Zvolit uživatele a skupiny, na které se tato zásada vztahuje, vyberte vnitřní okruh uživatelů.
- V části Zvolit podmínky pro zásadu zvolte 30, 60, 90 nebo 120 dnů.
- V části Rozhodněte se o režimu zásad ponechte zásady v testovacím režimu.
Maximalizace výkonu zásad za účelem minimalizace rizik ochrany osobních údajů
Umožněte, aby vaše zásady běžely alespoň dva až čtyři týdny. Během této doby byste měli zkontrolovat a zdokumentovat následující výsledky:
- Shody generované jednotlivými typy zásad a instancemi falešně pozitivních a falešně negativních výsledků
- Dopad a zpětná vazba od koncových uživatelů a správců
Na základě svých zjištění teď můžete výkon zásad vyladit následujícím způsobem:
- Zahrnutí nebo vyloučení předefinovaných a vlastních SIT nebo klasifikačních skupin
- Vytváření verzí zásad s podmínkami a skupinami uživatelů, které zefektivní cílení
- Úprava prahových hodnot zásad, včetně četnosti e-mailů uživatelům, počtu dnů ke sledování atd.
Představte si to jako svou třetí fázi. Můžete vytvořit více verzí jednotlivých typů zásad a nasadit je do celé organizace ve dvou kolech: první kolo, které pokrývá 50 % uživatelů, a druhé kolo, které pokrývá 100 % uživatelů.
To je také fáze, ve které shromažďujete poznatky založené na chování uživatelů, jak je uvedeno v privě, a vytváříte specifické školení o ochraně osobních údajů pro uživatele, které můžete zahrnout do e-mailových oznámení vašich zásad pro uživatele.
Další krok
Přejděte na krok 3. Zůstaňte v souladu s předpisy o ochraně osobních údajů.