隐私风险管理中的数据最小化策略
数据最小化策略侧重于内容的时间以及自上次修改以来的时长。 监视仍保留在较旧且未使用的内容中的个人数据有助于更好地管理存储的数据并降低风险。
Microsoft Priva 隐私风险管理允许创建策略来监视在选择的时间范围内未修改的数据。 检测到策略匹配项后,可以使用修正选项向用户发送电子邮件通知,以删除或保留内容项, (在策略创建过程) 的步骤 10 中查看详细信息。
我们的策略设置过程可以轻松设置策略条件。 你可以完全控制提醒时间和电子邮件的频率,这些电子邮件可让用户注意安全数据处理做法。
有两种方法可以创建策略:从 模板创建策略,即使用默认设置的快速“现成”选项;或 自定义 选项,这是设置条件、警报和通知的引导式过程。
快速设置:使用具有默认设置的模板
默认数据最小化策略检测包含至少 30 天前创建或修改的个人数据的内容。
按照以下步骤创建默认数据传输策略:
使用 Microsoft 365 组织中的管理员帐户的凭据登录到以下门户之一:
- 新 Priva 门户 (预览版) 。 若要了解详细信息,请访问了解新的 Microsoft Priva 门户 (预览) 。
- 经典Microsoft Purview 合规门户。 若要了解详细信息,请访问 Microsoft Purview 合规门户。
转到隐私风险管理解决方案,然后选择“ 策略” 页。
选择“ 创建策略”。
在 “数据最小化 ”框中,选择“ 创建”。
浮出控件窗格包含策略详细信息。 选择“ 查看设置” 将显示默认设置。 可以从此处编辑设置,这会引导你进入下面概述的引导过程。 若要继续使用默认设置创建策略,请输入描述性名称,然后选择“ 创建策略”。
策略已创建并列在 策略 页面上。 它以 测试模式 开始,因此你可以在将其打开之前监视其执行方式。
默认数据最小化策略设置
从模板创建的数据最小化策略会检测:
- 包含至少在过去 30 天内未修改的个人数据的内容项。
- 存储在组织内以下任意位置的数据:Exchange、OneDrive、SharePoint、Teams。
- 基于以下 分类组的数据类型:
- 欧盟一般数据保护条例 (GDPR)
- 美国个人身份信息
- 美国爱国者法案
- 美国州违反通知法
- 美国格拉姆-利奇-布莱利法案 (GLBA)
- 美国健康保险可移植性和责任法案 (HIPAA)
- 澳大利亚健康记录法 (HRIP)
- 澳大利亚隐私法
- 日本个人身份信息
- 日本个人信息保护
自定义设置:引导式策略创建过程
自定义策略选项是一个引导式过程,通过设置条件、指定警报严重性和频率以及打开用户电子邮件通知来创建新策略。
完成以下步骤以创建新的数据传输策略:
使用 Microsoft 365 组织中的管理员帐户的凭据登录到以下门户之一:
- ) (预览版的新 Priva 门户 。 若要了解详细信息,请参阅 了解新 Priva 门户 (预览版) 。
- Microsoft Purview 合规门户。 若要了解有关此门户的详细信息,请参阅 Microsoft Purview 合规门户。
转到隐私风险管理解决方案,然后选择“ 策略” 页。
选择“ 创建策略”。
在 “自定义 ”框中,选择“ 创建”。
在 “名称和类型 ”页上,选择“ 数据最小化 ”策略模板。 在“策略”页上输入有助于轻松识别其列表中的 策略 名称,并输入可选说明,然后选择“ 下一步”。
在 “数据源 ”页上,选择Microsoft 365 中希望策略涵盖的所有数据源。 从 Exchange 电子邮件帐户、OneDrive 帐户、Teams 聊天和频道消息以及 SharePoint 网站中进行选择。
在 SharePoint 中,可以指定所有网站或特定网站。 如果选择“ 特定 SharePoint 网站”,则可以在“URL”字段中输入网站 URL。 还可以选择“+ 选择网站”,然后在浮出控件窗格中,检查要选择的网站名称左侧的框。
详细了解 如何选择数据源。 完成后,选择“ 下一步”。
在 “要监视的数据 ”页上,选择策略要监视的个人数据的类型。 有两个选项:
- 分类组:用于检测与个人数据或特定法规相关的内容的敏感信息类型的分组。 如果选择此选项,则需要选择“ +添加分类组 ”,从提供的列表中选择一个或多个组。
- 单个敏感信息类型:选择此选项可从单个 敏感信息类型的列表中选择。
详细了解如何 选择要监视的数据。 选择要监视的数据后,选择“ 下一步”。
在 “用户和组 ”页上,选择要应用策略的组织中的哪些用户。 可以选择所有单个用户和所有Office 365通讯组,也可以选择特定的用户和组。 详细了解 如何选择用户和组。 完成后,选择“ 下一步”。
在“ 条件 ”页上,使用下拉菜单选择自上次修改某个项以来策略将检测到的天数:
- 30 天
- 60 天
- 90 天
- 120 天
例如,如果选择 “30 天”,策略将检测自上次修改内容项以来 30 天的时间。 最初创建项的日期不考虑策略条件:仅上次修改日期。 如果选择 30 天条件,除非内容在策略处于活动状态时达到 30 天,否则策略不会检测到匹配项。
完成后,选择“ 下一步”。
如果要在满足策略条件时通知用户,请在“ 结果 ”页上选中“ 发生策略匹配时向用户发送通知电子邮件 ”复选框。 选中该框后,可以预览和编辑电子邮件,然后设置频率并提供隐私培训的链接。 电子邮件中的修正选项为 “回收站” 或 “保留 项目”。 详细了解 如何设置和编辑用户通知。 定义完结果后,选择“ 下一步”。
在“警报”页上,使用切换开关打开管理员将在隐私风险管理的“策略”部分的“警报”页上看到的警报。 可以指定生成警报的频率、生成警报之前的匹配阈值以及警报严重性。 详细了解 如何为策略匹配设置警报。 完成后,选择“ 下一步”。
在“ 模式 ”页上,选择要将策略置于哪个模式: 先测试策略 或 立即将其打开。 在测试模式下,不会发送警报或通知。 详细了解建议以及 测试策略时要分析的内容。 完成后,选择“ 下一步”。
在 “完成” 页上,查看你的选择。 选择任意部分下方的 “编辑 ”以调整设置。 如果对策略的设置感到满意,请选择“ 提交 ”以创建策略。
几秒钟后,你将看到已创建策略的确认信息。 在确认页上选择“ 完成 ”,这会将你带到 “策略 ”页,你可以在其中看到表顶部的新策略。
后续步骤
有关如何编辑和管理策略的详细信息,请访问 隐私风险管理策略 。