資料隱私權與保護 – 保護及控管資料
歡迎使用 Microsoft Priva 和 Microsoft Purview 管理資料隱私權和資料保護的步驟 2:保護及控管您的資料。
當您知道您擁有哪些個人資料、其所在位置和法規需求時,就可以準備就地保護該資料。 Microsoft 提供全面且健全的功能,可協助您以兩種方式保護個人資料:
- IT 系統管理員設定為分類敏感性專案並採取保護動作的功能,以及
- 可讓您的員工快速找出並修正資料隱私權問題的功能,並針對健全的資料處理做法進行訓練。
要採取的動作
動作 | 描述 | 取得詳細資料 |
---|---|---|
識別敏感性資訊類型,讓您知道哪些專案需要保護。 | 識別及分類貴組織所管理的敏感性專案,是資訊保護專業領域的第一個步驟。 Microsoft Purview 提供三種識別專案的方式,讓使用者可以手動分類) :b) 自動化模式辨識,例如敏感性資訊類型,以及 c) 機器學習。 SIT) (敏感性資訊類型是模式型分類器。 他們會偵測社會安全、信用卡或銀行帳戶號碼等敏感性資訊,以識別敏感性專案。 |
深入瞭解敏感性資訊類型 檢視敏感性資訊類型的完整清單 |
分類和標記您的內容,讓您可以套用功能來保護內容。 | 分類和標記內容,使其可以受到保護並正確處理,是資訊保護專業領域的開始位置。 Microsoft 365 有三種方式可分類內容。 | 深入瞭解可訓練分類器 |
套用敏感度標籤來保護資料,即使資料漫遊也一樣。 | 當您識別出敏感性資料時,您會想要保護它。 當人員與組織內外的其他人共同作業時,這通常是一項挑戰。 該資料可以在裝置、應用程式和服務的任何地方漫遊。 而當漫遊時,您想要它以符合貴組織商務與合規性原則的安全、受保護方式來執行此動作。 Microsoft Purview 資訊保護的敏感度標籤可讓您分類並保護貴組織的資料,同時確保使用者生產力和進行共同作業的能力不受影響。 |
深入瞭解敏感度標籤 |
使用資料外泄防護原則來防止共用個人資料。 | 組織在其控制下具有敏感性資訊,例如財務資料、專屬資料、信用卡號碼、健康記錄或社會安全號碼。 為了協助保護敏感性資訊並降低風險,他們需要一種方式來防止其使用者不適當地與不應該擁有該資訊的人員共用。 此做法稱為資料外洩防護 (DLP)。 使用 Microsoft Purview 資料外洩防護,您可以定義並套用 DLP 原則來識別、監視及自動保護 Microsoft 365 服務的敏感性專案,例如 Teams、Exchange、SharePoint 和 OneDrive,以實作資料外泄防護;Office 應用程式,例如 Word、Excel 和 PowerPoint;Windows 10、Windows 11 和 macOS (目前版本和前兩個版本的 macOS) 端點;非 Microsoft 雲端應用程式;以及內部部署檔案共用和內部部署 SharePoint。 此 DLP 解決方案會使用深度內容分析來偵測敏感性專案,而不只是簡單的文字掃描。 內容會透過正則運算式的評估、內部函式驗證,以及接近主要資料比對的次要資料比對,分析主要資料與關鍵字的相符專案。 除此之外,DLP 也會使用機器學習演算法和其他方法來偵測符合 DLP 原則的內容。 |
深入瞭解資料外泄防護 |
針對合規性或法規需求管理您的 Microsoft 365 資料 | 您可以在環境中運用資訊控管控制項來協助解決資料隱私權合規性需求,包括一般資料保護法規 (GDPR) 、HIPAA-HITECH (美國醫療保健隱私權法案) 、加州消費者保護法 (CCPA) ,以及巴西資料保護法 (LGPD) 。 Microsoft Purview 資料生命週期管理和Microsoft Purview 記錄管理以保留原則、保留標籤和記錄管理功能的形式提供這些控制項。 | 瞭解如何使用 Microsoft Purview 部署資料控管解決方案 |
在 Microsoft Teams 中設定個人資料的安全儲存。 | 如果您打算將高度敏感的個人資料儲存在 Teams 中,您可以設定私人小組,並使用特別設定的敏感度標籤來保護小組及其內檔案的存取。 | 深入瞭解如何設定具有安全性隔離的小組 |
讓使用者能夠找出潛在風險並修正問題。 | 在Priva 隱私權風險管理中建立資料處理原則,讓您的使用者可以立即識別他們建立和管理的資料中的風險。 通知電子郵件會在使用者傳輸組織外部個人資料的專案、讓內容過於廣泛地存取,或保存個人資料太久時發出警示。 通知會提示使用者立即採取補救步驟來保護個人資料,並包含貴組織慣用隱私權訓練的連結。 |
深入瞭解隱私權風險管理 建立原則以防止資料傳輸、過度使用或捨棄 為使用者設定通知,以修正他們處理的內容問題 |
針對必須針對商務、法律或法規記錄保留需求管理的高價值專案,使用記錄管理。 | 記錄管理系統是組織管理法規、法律和業務關鍵記錄的解決方案。 Microsoft Purview 記錄管理可協助組織管理其法律義務、提供示範法規合規性的能力,並透過定期處置不再需要保留、不再具有價值或不再需要用於商務用途的專案來提高效率。 |
深入瞭解記錄管理 |
設定成功的策略
識別敏感性資訊類型 (SIT) 、分類和標記您的內容,以及部署資料外泄防護 (DLP) 原則是 資訊保護原則中的重要步驟。 上表中的連結會帶您前往執行這些基本工作的詳細指引。
保護資料也是貴組織中檢視、建立及處理工作職責中個人資料之每位使用者的責任。 每個使用者都必須知道並遵守貴組織的內部和法規責任,以保護個人資料,無論個人資料存在於貴組織中。 為此,Priva 可協助您讓使用者瞭解其責任、在以具風險的方式處理資料時收到通知,並立即採取行動,將組織的隱私權風險降至最低。
Priva 隱私權風險管理中提供的三個資料處理原則可協助您的使用者在組織的資料保護策略中扮演主動角色。 Email內建補救動作的通知會提示使用者套用必要的保護,並接受貴組織所指定的隱私權訓練。 這種認知和行動能力有助於培養更好的習慣,以防止未來的隱私權問題。
第一個 Priva 資料處理原則的建議
建議您以階段式方法部署原則,讓您可以瞭解原則的行為,並將其優化以符合您的需求。 針對第一個階段,建議您建立一個自訂原則,作為瞭解的基礎。 讓我們使用建立 資料過度表達原則的範例,此原則會識別包含個人資料的內容專案,這些個人資料可能太廣泛地可供其他人存取。 您可以從這裡開始找到 詳細的原則建立指示。
當您前往原則建立精靈的 [ 選擇資料以監視 ] 步驟時,建議您選取 [個別敏感性資訊類型 ] 選項,並選擇與組織最相關的 SIT。 例如,如果您是一家在歐洲有客戶的金融服務公司,您可能會想要將歐盟轉帳卡號碼包含為其中一個 SIT。 在這裡尋找 SIT 定義的清單。
在 [選擇此原則涵蓋的使用者和群組 ] 步驟中,建議您選取 [特定使用者或群組 ],然後選擇此原則範圍內的小型使用者內部圓圈。
在 原則步驟的 [選擇條件 ] 中,建議您只選取 [外部 ],讓您在追蹤資料時可能會考慮更多風險,同時將您必須監視的資料總量保留在更容易管理的層級。
在 [指定警示和閾值] 步驟中,建議您開啟警示,並選取符合下列其中一個條件時的 [警示]頻率選項。 開啟警示可協助系統管理員量測警示的嚴重性和頻率是否符合其需求。 請注意,原則無法回溯運作,因此,如果您決定一開始和之後將警示保持關閉,則在開啟警示之前,不會看到任何相符專案的警示。
在 決定原則模式 狀態時,建議 您將原則保持在測試模式中 ,並監視其效能至少五天。 這可讓您查看正在挑選哪些類型的符合原則條件、警示的引發方式。
逐漸設定更多原則和微調效能
設定並執行您的第一個原則之後,您可能想要使用其他兩種原則類型執行相同的動作。 這可以是您的第二個階段,您會逐漸開始使用功能,並將其設定優化。 例如,當您看到原則偵測到多少符合專案時,您可能會選擇一開始不傳送 使用者電子郵件通知 。 最後,您可能會決定在原則設定) 的 [ 定義結果 ] 階段,開啟原則仍處於測試模式 (時開啟電子郵件通知。 如果使用者收到太多電子郵件,請回到原則的 [ 結果 ] 設定,以調整通知的頻率。 所有這些微調都可協助您在組織中更廣泛地部署原則之前,先測量對使用者的預期影響。
其他兩種原則類型的建議設定
以下是建立第一個 資料傳輸 和 資料過度表達 原則時,金鑰設定的特定建議。
資料傳輸:
- 針對 要監視的資料,選取特定的 SIT。
- 針對 [選擇此原則涵蓋的使用者和群組],選取使用者的內部通道。
- 針對 [選擇原則的條件],選擇最重要的條件。
- 針對 [在偵測到原則相符時定義結果],開啟電子郵件通知。
- 針對 [指定警示和閾值],在每次活動發生時開啟警示。
- 針對 [決定原則模式],將原則模式開啟 (關閉測試模式) 。
資料最小化:
- 針對 要監視的資料,選擇特定的 SIT 或分類群組。
- 針對 [選擇此原則涵蓋的使用者和群組],選取使用者的內部通道。
- 針對 [選擇原則的條件],選擇 [30、60、90 或 120 天]。
- 針對 [決定原則模式],將原則保持在測試模式中。
將原則效能最大化以將隱私權風險降至最低
允許您的原則執行至少兩到四周。 在這段期間,您應該檢閱並記錄下列結果:
- 每個原則類型所產生的相符專案,以及誤判和誤判的實例
- 終端使用者和系統管理員的影響和意見反應
根據您的發現,您現在可以執行下列動作來調整原則效能:
- 包含或排除現成和自訂 SIT 或分類群組
- 建立具有條件和使用者群組的原則版本,讓目標目標更有效率
- 調整原則的閾值,包括傳送給使用者的電子郵件頻率、要監視的天數等。
請將此視為您的第三個階段。 您可以建立更多版本的每個原則類型,並以兩個回合的方式部署到整個組織:第一輪涵蓋 50% 的使用者,第二輪涵蓋 100% 的使用者。
這也是您根據 Priva 中所述的使用者行為累積學習,並為使用者建立特定隱私權訓練的階段,您可以在原則的使用者電子郵件通知中包含這些訓練。
下一步
請造訪 步驟 3。隨時掌握隱私權法規。