Del via

Personvern og beskyttelse for data – beskytt og styr data

  • Artikkel

Velkommen til trinn 2 for administrasjon av datavern og databeskyttelse med Microsoft Priva og Microsoft Purview: Beskytt og styr dataene dine.

Trinnene for å administrere datavern og databeskyttelse med Microsoft Priva og Microsoft Purview

Når du vet hvilke personopplysninger du har, hvor de er og forskriftsmessige krav, er det på tide å sette ting på plass for å beskytte disse dataene. Microsoft tilbyr omfattende, robuste funksjoner som hjelper deg med å beskytte personopplysninger på to måter:

  1. Funksjoner som IT-administratorer konfigurerer til å kategorisere sensitive elementer og utføre beskyttende handlinger, og
  2. Funksjoner som gjør det mulig for de ansatte å oppdage og løse datapersonvernproblemer raskt og få opplæring i god praksis for databehandling.

Handlinger som skal utføres

Handling Beskrivelse Få detaljer
Identifiser sensitive informasjonstyper slik at du vet hva som må beskyttes. Identifisering og kategorisering av sensitive elementer som administreres av organisasjonen, er det første trinnet i Information Protection disiplin.

Microsoft Purview tilbyr tre måter å identifisere elementer på, slik at de kan kategoriseres a) manuelt av brukere, b) automatisert mønstergjenkjenning, for eksempel sensitive informasjonstyper og c) maskinlæring.

Sensitive informasjonstyper (SIT) er mønsterbaserte klassifierere. De oppdager sensitiv informasjon som personnummer, kredittkort eller bankkontonumre for å identifisere sensitive elementer.

 Mer informasjon om sensitive informasjonstyper

Vis den fullstendige listen over sensitive informasjonstyper
Kategoriser og merk innholdet slik at du kan bruke funksjoner for å beskytte det. Kategorisering og merking av innhold slik at det kan beskyttes og håndteres riktig, er startstedet for disiplinen for informasjonsbeskyttelse. Microsoft 365 har tre måter å klassifisere innhold på. Mer informasjon om kalibrerbare klassifierere
Bruk følsomhetsetiketter for å beskytte data, selv om de beveger seg rundt. Når du har identifisert sensitive data, bør du beskytte dem. Det er ofte utfordrende når folk samarbeider med andre både i og utenfor organisasjonen. Disse dataene kan bevege seg overalt, på tvers av enheter, apper og tjenester. Og når den beveger seg rundt, vil du at den skal gjøre det på en sikker og beskyttet måte som oppfyller organisasjonens forretnings- og samsvarspolicyer.

Følsomhetsetiketter fra Microsoft Purview informasjonsbeskyttelse lar deg klassifisere og beskytte organisasjonens data, samtidig som du sørger for at brukerproduktiviteten og deres evne til å samarbeide ikke hindres.

 Mer informasjon om følsomhetsetiketter
Bruk policyer for hindring av datatap for å forhindre deling av personopplysninger. Organisasjoner har sensitiv informasjon under sin kontroll, for eksempel økonomiske data, proprietære data, kredittkortnumre, helsejournaler eller personnummer. For å bidra til å beskytte sensitiv informasjon og redusere risikoen, trenger de en måte å hindre at brukerne deler den på en upassende måte med personer som ikke skal ha den. Denne praksisen kalles hindring av tap av data (DLP).

Ved hjelp av Microsoft Purview hindring av datatap implementerer du hindring av datatap ved å definere og bruke DLP-policyer til å identifisere, overvåke og automatisk beskytte sensitive elementer på tvers av Microsoft 365-tjenester som Teams, Exchange, SharePoint og OneDrive. Office-programmer som Word, Excel og PowerPoint; Windows 10, Windows 11 og macOS (gjeldende versjon og de to foregående versjonene av macOS) endepunkter, ikke-Microsoft-skyapper og lokale fildelinger og lokale SharePoint.

Denne DLP-løsningen oppdager sensitive elementer ved hjelp av dyp innholdsanalyse, ikke bare ved en enkel tekstskanning. Innhold analyseres for primære datasamsvar til nøkkelord, ved evaluering av vanlige uttrykk, etter intern funksjonsvalidering og etter sekundære datasamsvar som er i nærheten av det primære datasamsvaret. Utover dette bruker DLP også maskinlæringsalgoritmer og andre metoder for å oppdage innhold som samsvarer med DLP-policyene dine.

 Mer informasjon om hindring av tap av data
Styre Microsoft 365-dataene for samsvar eller forskriftsmessige krav Kontroller for informasjonsstyring kan brukes i miljøet ditt for å hjelpe til med å håndtere samsvarsbehov for personvern, inkludert et tall som er spesifikt for Personvernforordning (GDPR), HIPAA-HITECH (USA health care privacy act), California Consumer Protection Act (CCPA) og Brazil Data Protection Act (LGPD). Microsoft Purview-administrasjon av livssyklus for data og Microsoft Purview postbehandling gir disse kontrollene i form av oppbevaringspolicyer, oppbevaringsetiketter og funksjoner for postbehandling. Finn ut hvordan du distribuerer en løsning for datastyring med Microsoft Purview
Konfigurer sikker lagring av personopplysninger i Microsoft Teams. Hvis du planlegger å lagre svært sensitive personlige data i Teams, kan du konfigurere et privat team og bruke en følsomhetsetikett som er spesielt konfigurert for å sikre tilgang til teamet og filene i det. Mer informasjon om hvordan du konfigurerer et team med isolering av sikkerhet
Gi brukerne mulighet til å oppdage potensielle risikoer og løse problemer. Opprett policyer for databehandling i Priva risikostyring for personvern slik at brukerne umiddelbart kan identifisere risikoer i dataene de oppretter og administrerer.

Varsler e-postmeldinger varsler brukere når de overfører elementer med personlige data i vår utenfor organisasjonen, gjør innholdet for bredt tilgjengelig eller holder på personlige data for lenge. Varslene ber brukerne om å utføre umiddelbare utbedringstrinn for å sikre personopplysninger og inneholde koblinger til organisasjonens foretrukne opplæring for personvern.

 Mer informasjon om administrasjon av personvernrisiko

Opprett en policy for å forhindre dataoverføringer, overeksponering eller hamstre

Konfigurere varsler for brukere for å løse problemer med innhold de håndterer
Bruk postbehandling for elementer med høy verdi som må administreres for forretningsmessige, juridiske eller forskriftsmessige krav til journalføring. Et postbehandlingssystem er en løsning for organisasjoner for å administrere forskriftsmessige, juridiske og forretningskritiske poster.

Microsoft Purview postbehandling hjelper en organisasjon med å administrere sine juridiske forpliktelser, gir muligheten til å demonstrere overholdelse av forskrifter, og øker effektiviteten med regelmessig fjerning av elementer som ikke lenger kreves for å beholdes, ikke lenger av verdi eller ikke lenger kreves for forretningsformål.

 Mer informasjon om postbehandling

Konfigurere strategien for suksess

Identifisering av sensitive informasjonstyper (SITer), kategorisering og merking av innholdet og distribusjon av policyer for hindring av datatap (DLP) er viktige trinn i en strategi for informasjonsbeskyttelse. Koblingene i tabellen ovenfor tar deg til detaljert veiledning for å utføre disse viktige oppgavene.

Beskyttelse av data er også ansvaret til alle brukere i organisasjonen som viser, oppretter og håndterer personopplysninger i løpet av jobboppgavene. Hver bruker må kjenne til og overholde organisasjonens interne og regulatoriske ansvar for å beskytte personopplysninger uansett hvor de finnes i organisasjonen. For dette formål hjelper Priva deg med å gi brukerne mulighet til å kjenne sitt ansvar, bli informert når de håndterer data på risikable måter, og iverksette umiddelbare tiltak for å minimere personvernrisikoen for organisasjonen.

De tre policyene for databehandling som er tilgjengelige i Priva risikostyring for personvern hjelpe brukerne med å spille en proaktiv rolle i organisasjonens strategi for databeskyttelse. E-postvarsler med innebygde utbedringshandlinger ber brukerne om å ta i bruk de nødvendige beskyttelsene og ta en opplæring for personvern som er angitt av organisasjonen. Denne bevisstheten og evnen til å handle kan bidra til å dyrke bedre vaner for å forebygge fremtidige personvernproblemer.

Anbefalinger for din første policy for behandling av Priva-data

Vi anbefaler at du distribuerer policyer i en faset tilnærming, slik at du kan få vite hvordan de oppfører seg og optimalisere dem etter dine behov. I den første fasen anbefaler vi at du oppretter én egendefinert policy som grunnlag for forståelse. La oss bruke eksemplet på å opprette en dataovereksponeringspolicy, som identifiserer innholdselementer som inneholder personopplysninger som kan være for bredt tilgjengelig for andre personer. Her finner du detaljerte instruksjoner for oppretting av policyer.

  • Når du kommer til velg data for å overvåke trinnet i veiviseren for oppretting av policy, anbefaler vi at du velger alternativet Individuelle sensitive informasjonstyper og velger SITene som er mest relevante for organisasjonen. Hvis du for eksempel er et finansielt tjenesteselskap med kunder i Europa, vil du sannsynligvis inkludere EUs debetkortnummer som én av DINE SITer. Finn listen over SIT-definisjoner her.

  • På trinnet Velg brukere og grupper som dekkes av dette policytrinnet , anbefaler vi at du velger bestemte brukere eller grupper og velger en liten indre sirkel av brukere i omfanget for denne policyen.

  • Vi anbefaler at du velger bare eksternebetingelser for policytrinnet, slik at du sporer data som du kan vurdere som mer utsatt, samtidig som du beholder den totale mengden data du må overvåke på mer håndterbare nivåer.

  • I trinnet Angi varsler og terskler anbefaler vi at du slår varsler og velger frekvensalternativetvarsel når en av betingelsene nedenfor er oppfylt. Hvis du slår på varsler, kan administratorer måle hvorvidt alvorsgraden og hyppigheten av varsler oppfyller behovene deres. Vær oppmerksom på at policyer ikke fungerer i ettertid, så hvis du bestemmer deg for å holde varsler av først og senere aktivere dem, vil du ikke se noen varsler for treff som oppstod før du slo på varsler.

  • Vi anbefaler at du holder policyen i testmodus og overvåker ytelsen i minst fem dager. Dette gjør at du kan se hva slags samsvar med policybetingelsene som er i bruk, hvordan varslene utløses.

Konfigurere flere policyer og finjustere ytelsen gradvis

Når du har konfigurert og kjørt den første policyen, kan du gjøre det samme med de to andre policytypene. Dette kan være den andre fasen, der du gradvis fortsetter å bruke funksjoner mens du går og optimaliserer innstillingene. Du kan for eksempel velge å ikke sende e-postvarsler til brukerne først mens du ser hvor mange som samsvarer med policyen. Deretter kan du etter hvert bestemme deg for å slå på e-postvarsler mens policyene fortsatt er i testmodus (på definer utfallsfasen av policyinnstillingene). Hvis brukerne får for mange e-postmeldinger, kan du gå tilbake til policyens innstillinger for resultater for å justere frekvensen på varslene. All denne finjusteringen kan hjelpe deg med å måle ønsket innvirkning på brukerne før du distribuerer policyen bredere i hele organisasjonen.

Anbefalte innstillinger for de to andre policytypene

Nedenfor finner du spesifikke anbefalinger for nøkkelinnstillinger når du oppretter de første policyene for dataoverføring og dataovereksponering .

Dataoverføring:

  • Velg bestemte SITer for data som skal overvåkes.
  • For Velg brukere og grupper som dekkes av denne policyen, velger du en indre ring av brukere.
  • Velg betingelsen som er viktigst for Velg betingelser for policyen.
  • Aktiver e-postvarsler for Definer resultater når det oppdages et policysvarsling.
  • Aktiver varsler for å angi varsler og terskler for hver gang en aktivitet inntreffer.
  • Aktiver policymodusen for Bestem policymodus (som deaktiverer testmodus).

Dataminimering:

  • Velg bestemte SIT-er eller klassifiseringsgrupper for data som skal overvåkes.
  • For Velg brukere og grupper som dekkes av denne policyen, velger du en indre ring av brukere.
  • Velg 30, 60, 90 eller 120 dager for Velg betingelser for policyen.
  • Behold policyen i testmodus for Bestem policymodus.

Maksimere policyytelsen for å minimere personvernrisiko

Tillat at policyene kjører i minst to til fire uker. I løpet av denne tiden bør du se gjennom og dokumentere følgende resultater:

  • Treff generert av hver policytype og forekomster av falske positiver og falske negativer
  • Virkningen og tilbakemeldingen fra sluttbrukere og administratorer

Basert på resultatene dine kan du nå justere policyytelsen ved å gjøre følgende:

  • Inkludere eller ekskludere forhåndsdefinerte og egendefinerte SITer eller klassifiseringsgrupper
  • Opprette versjoner av policyene med betingelser og brukergrupper for å gjøre målrettingen mer effektiv
  • Justere tersklene for policyen, inkludert hyppigheten av e-post til brukere, antall dager å overvåke, etc.

Tenk på dette som din tredje fase. Du kan opprette flere versjoner av hver policytype og distribuere dem til hele organisasjonen i to runder: en første runde som dekker 50 % av brukerne, og en andre runde som dekker 100 % av brukerne.

Dette er også fasen der du akkumulerer læring basert på brukeratferd som nevnt i Priva, og oppretter spesifikk opplæring for personvern for brukerne, som du kan inkludere i policyenes e-postvarsler for brukere.

Neste trinn:

til trinn 3. Hold deg oppdatert med personvernforskrifter.