Condividi tramite


Piano d'azione GDPR di Microsoft 365: massime priorità per i primi 30 giorni, 90 giorni e oltre

Questo articolo include un piano d'azione con priorità che è possibile seguire mentre si lavora per soddisfare i requisiti del Regolamento generale sulla protezione dei dati (GDPR). Questo piano d'azione è stato sviluppato in collaborazione con Protiviti, un partner Microsoft specializzato in conformità alle normative.

Il GDPR ha introdotto nuove regole per aziende, agenzie governative, organizzazioni non profit e altre organizzazioni che offrono beni e servizi alle persone nell'Unione Europea (UE) o che raccolgono e analizzano i dati per i residenti dell'UE. Il GDPR si applica indipendentemente dalla posizione in cui si trova l'utente o l'azienda.

Obiettivi del piano di azione

Queste raccomandazioni si articolano in tre fasi in ordine logico con gli obiettivi seguenti:

Fase Obiettivi
30 giorni Comprendere i requisiti del GDPR e considerare di impegnarsi con un partner di consulenza del GDPR di Microsoft.
* Valutare la propria idoneità e ottenere consigli per i passaggi successivi.
* Collaborare con un partner Microsoft esperto in GDPR per definire le linee guida interne per rispondere alle richieste del soggetto interessato (DSR), eseguire un'analisi degli aspetti non conformi al GDPR nella propria organizzazione e stabilire una roadmap da seguire per l'adeguamento.

Iniziare a individuare i tipi di dati personali in archiviazione e dove si trovano per rispettare le richieste del soggetto interessato.
* Usare Ricerca contenuto ed eDiscovery nel centro sicurezza e conformità per individuare i dati personali in tutta l'organizzazione.
* Quando si lavora con grandi quantità di contenuto, usare Microsoft Purview eDiscovery (Premium), basato su tecnologie di Machine Learning, per eseguire ricerche di contenuto più efficienti e accurate.
90 giorni Iniziare a implementare i requisiti di conformità usando le funzionalità di governance e conformità dei dati di Microsoft 365.
* Valutare e gestire i rischi di conformità usando Microsoft Purview Compliance Manager.
* Aiutare gli utenti a identificare e classificare i dati personali, come definito dal GDPR.

Utilizzare le funzionalità di sicurezza di Microsoft 365 per prevenire violazioni dei dati e implementare misure di protezione per i dati personali.
* Proteggere gli account dell'amministratore e dell'utente finale.
* Proteggere da un codice dannoso e implementare la prevenzione e la risposta alla violazione dei dati.
* Usare la registrazione di controllo per attività potenzialmente dannose e abilitare l'analisi forense delle violazioni di dati.
* Usare i criteri di prevenzione della perdita dei dati (DLP) per identificare e proteggere i dati sensibili.
* Impedire i più comuni vettori di attacco, tra cui i messaggi di phishing e i documenti di Office contenenti allegati e collegamenti dannosi.
Oltre 90 giorni Usare strumenti avanzati di governance dei dati di Microsoft 365 e protezione delle informazioni per implementare programmi di governance continui per i dati personali.
* Identificare automaticamente le informazioni personali nei documenti e messaggi di posta elettronica.
* Proteggere i dati personali archiviati su dispositivi all'interno dell'organizzazione e assicurarsi che i dispositivi aziendali conformi siano usati per accedere ai dati sensibili.
* Garantire che le informazioni personali sensibili siano archiviate e accessibili secondo i criteri aziendali.
* Implementare criteri di conservazione dei dati per garantire che i dati personali vengano conservati solo per tutto il tempo necessario.

Monitorare la conformità in Microsoft 365 e nelle altre applicazioni cloud. Valutare la possibilità di soddisfare i requisiti di residenza dei dati per i dati personali dell'UE.
* Monitorare l'uso di applicazioni cloud e implementare criteri di avviso avanzati per l'organizzazione.
* Gestire i requisiti di residenza dei dati come un'unica organizzazione globale.

30 giorni: potenti vittorie rapide

Queste attività sono veloci e potenti, con basso impatto sugli utenti.

Area Attività
Comprendere i requisiti del GDPR e considerare di impegnarsi con un partner di consulenza del GDPR di Microsoft. * Valutare e gestire i rischi di conformità usando Microsoft Purview Compliance Manager nel Portale di conformità di Microsoft Purview per condurre una valutazione GDPR dell'organizzazione.
* Collaborare con il partner di consulenza del GDPR di Microsoft per stabilire le linee guida interne per rispondere alle richieste del soggetto interessato (DSR) e le esclusioni dalle DSR.
* Collaborare con il partner Microsoft esperto in GDPR per eseguire un'analisi degli aspetti non conformi al GDPR nella propria organizzazione e sviluppare una roadmap da seguire per l'adeguamento.
* Informazioni su come usare la funzionalità Dashboard GDPR e Richiesta dell'interessato nel Portale di conformità di Microsoft Purview.
Iniziare a individuare i tipi di dati personali in archiviazione e dove si trovano per rispettare le richieste del soggetto interessato. * Usare i casi ricerca contenuto ed eDiscovery (Standard) per eseguire facilmente ricerche tra cassette postali, cartelle pubbliche, Gruppi di Microsoft 365, Microsoft Teams, siti di SharePoint, siti One Drive for Business e conversazioni Skype for Business. Scoprire come usare i tipi di informazioni sensibili per trovare dati personali dei cittadini dell'Unione Europea.
* Quando si lavora con grandi quantità di contenuto, identificare i documenti rilevanti per un particolare argomento (ad esempio, un'indagine di conformità) in modo rapido e con maggiore precisione rispetto alle tradizionali ricerche con parole chiave con Microsoft Purview eDiscovery (Premium), basate su tecnologie di Machine Learning.
* Visualizzare in anteprima i risultati della ricerca, ottenere statistiche sulle parole chiave per una o più ricerche, modificare in blocco le ricerche di contenuto ed esportare i risultati usando il Centro conformità & sicurezza.

90 giorni - Conformità avanzata

Queste attività richiedono una quantità di tempo leggermente superiore per la pianificazione e l'implementazione, ma possono aumentare gli sforzi complessivi per la conformità al GDPR.

Area Attività
Iniziare a implementare i requisiti di conformità usando le funzionalità di governance e conformità dei dati di Microsoft 365. * Gestire la conformità gdpr con Microsoft Purview Compliance Manager all'interno del Portale di conformità di Microsoft Purview.
* Aiutare gli utenti a identificare e classificare i dati personali, come definito dal GDPR, con uno schema di classificazione e le etichette di Office 365 associate per la posta elettronica di Exchange, i siti di SharePoint, i siti di OneDrive per il lavoro e l'istituto di istruzione e Gruppi di Microsoft 365. Vedere Distribuire la protezione delle informazioni per le normative sulla privacy dei dati con Microsoft 365.
Utilizzare le funzionalità di sicurezza di Microsoft 365 per prevenire violazioni dei dati e implementare misure di protezione per i dati personali. * Migliorare l'autenticazione per amministratori e utenti finali in Microsoft Cloud abilitando l'autenticazione a più fattori per tutti gli account utente e l'autenticazione moderna per tutte le app. Per la configurazione dei criteri consigliata, vedere Configurazioni di identità e accesso dei dispositivi.
* Distribuire Microsoft Defender per endpoint in tutti i desktop per proteggerli dal malware, prevenire le violazioni dei dati e intervenire in caso di incidenti.
* Abilitare la registrazione di controllo e il controllo delle cassette postali per tutte le cassette postali Exchange per monitorare e individuare eventuali attività potenzialmente dannose e abilitare l'analisi forense delle violazioni di dati.
* Configurare, testare e distribuire i criteri di prevenzione della perdita dei dati (DLP) per identificare, monitorare e proteggere automaticamente oltre 80 tipi di dati sensibili comuni all'interno di documenti e messaggi di posta elettronica, incluse le informazioni personali, mediche e finanziarie.
* Implementare soluzioni per la sicurezza Office 365 per impedire i vettori di attacco più comuni, tra cui i messaggi di posta elettronica di phishing e i documenti di Office contenenti allegati e collegamenti dannosi.

Dopo 90 giorni - privacy continua, governance dei dati e creazione di report

Queste configurazioni sono importanti misure di privacy basate su operazioni precedenti.

Area Attività
Usare strumenti avanzati di governance dei dati di Microsoft 365 e protezione delle informazioni per implementare programmi di governance continui per i dati personali. * Usare le etichette di riservatezza per identificare le informazioni personali in documenti e messaggi di posta elettronica.
* Distribuire Microsoft Intune per proteggere i dati personali archiviati nei dispositivi in tutta l'organizzazione.
* Implementare i criteri di accesso condizionale di AAD con Microsoft Intune per garantire che le informazioni personali riservate siano archiviate e accessibili in base ai criteri aziendali. Per la configurazione dei criteri consigliata, vedere Configurazioni di identità e accesso dei dispositivi.
* Implementare criteri di conservazione dei dati con etichette di riservatezza, Gestione del ciclo di vita dei dati di Microsoft Purview e criteri di conservazione per conservare i dati personali per tutto il tempo necessario nella giurisdizione.
Monitorare la conformità in Microsoft 365 e nelle altre applicazioni cloud. Valutare la possibilità di soddisfare i requisiti di residenza dei dati per i dati personali dell'UE.
  • Usare report di prevenzione della perdita dei dati e Microsoft Defender for Cloud Apps per monitorare l'utilizzo delle applicazioni cloud e implementare criteri di avviso avanzati in base all'euristica e all'attività degli utenti.
  • Soddisfare i requisiti di residenza dei dati aziendali, regionali e locali, configurati come un'unica organizzazione globale usando le funzionalità multi-geo di Microsoft per le cassette postali di Exchange Online, i siti di OneDrive per il lavoro e l'istituto di istruzione e i siti di SharePoint.
  • Ulteriori informazioni