Поделиться через


План обеспечения соответствия GDPR для Microsoft 365: основные приоритеты на первые 30, 90 и больше дней

В этой статье содержится план приоритетных действий, который можно следовать при выполнении требований Общего регламента по защите данных (GDPR). Этот план действий был разработан в сотрудничестве с Protiviti, партнером Майкрософт, специализирующимся на соблюдении нормативных требований.

GDPR ввел новые правила для компаний, государственных учреждений, некоммерческих организаций и других организаций, которые предлагают товары и услуги людям в Европейском союзе (ЕС) или которые собирают и анализируют данные для жителей ЕС. GDPR применяется независимо от того, где находятся вы или ваше предприятие.

Результаты выполнения плана действий

Эти рекомендации разделены в соответствии с тремя этапами в логической последовательности, результаты выполнения каждого из них указаны ниже.

Этап Результаты
30 дней Ознакомьтесь с требованиями GDPR и рассмотрите возможность обращения к партнеру Майкрософт по консультациям касательно GDPR.
* Оцените свою готовность и получите рекомендации по дальнейшим действиям.
* В сотрудничестве с партнером Майкрософт по консультациям касательно GDPR установите внутренние правила реагирования на запросы субъектов данных (DSR), проанализируйте недочеты в соответствии вашей организации требованиям GDPR и определите план обеспечения соответствия.

Начните определять типы хранящихся у вас персональных данных и их расположение, чтобы выполнять запросы субъектов данных.
* Используйте средство "Поиск контента" и обнаружение электронных данных в центрах безопасности и соответствия требованиям, чтобы находить в организации персональные данные.
* При работе с большим количеством содержимого используйте Microsoft Purview eDiscovery (Премиум) на основе технологий машинного обучения, чтобы выполнять более эффективный и точный поиск контента.
90 дней Начните внедрять нормативные требования с помощью включенных в Microsoft 365 возможностей управления данными и обеспечения соответствия.
* Оценка рисков соответствия требованиям и управление ими с помощью Диспетчера соответствия требованиям Microsoft Purview.
* Помогите пользователям выявлять и классифицировать персональные данные, соответствующие определениям из GDPR.

Используйте возможности защиты в Microsoft 365, чтобы предотвратить нарушения безопасности и реализовать защиту персональных данных.
* Защитите учетные записи администраторов и пользователей.
* Защититесь от вредоносного кода, предотвращайте нарушения безопасности данных и реализуйте средства защиты от них.
* Ведите журнал аудита, чтобы выявлять потенциально опасные действия и проводить экспертный анализ нарушений безопасности данных.
* Используйте политики защиты от потери данных (DLP) для идентификации и защиты конфиденциальных данных.
* Защититесь от наиболее распространенных видов атак, в том числе фишинговых писем и документов Office, содержащих вредоносные ссылки и вложения.
Более 90 дней Используйте расширенные средства управления данными и их защиты в Microsoft 365, чтобы реализовать программы непрерывного управления персональными данными.
* Автоматически выявляйте персональные данные в документах и электронных письмах.
* Защитите персональные данные на всех устройствах в организации и обеспечьте использование соответствующих корпоративных устройств для доступа к конфиденциальным данным.
* Обеспечьте хранение и использование конфиденциальных персональных данных в соответствии с корпоративными политиками.
* Реализуйте политики хранения данных, чтобы гарантировать, что персональные данные хранятся только до тех пор, пока это необходимо.

Постоянно контролируйте соответствие требованиям в Microsoft 365 и других облачных приложениях. Рассмотрите возможность удовлетворения требований к размещению данных для персональных данных ЕС.
* Отслеживайте использование облачных приложений и реализуйте расширенные политики оповещения в своей организации.
* Учитывайте требования к месту расположения данных для единой международной организации.

30 дней — мощные быстрые победы

Это быстрые и эффективные задачи, которые почти не влияют на пользователей.

Область Tasks
Ознакомьтесь с требованиями GDPR и рассмотрите возможность обращения к партнеру Майкрософт по консультациям касательно GDPR. * Оценка рисков соответствия требованиям и управление ими с помощью Microsoft Purview Compliance Manager в Портал соответствия требованиям Microsoft Purview для проведения оценки GDPR вашей организации.
* В сотрудничестве с вашим партнером Майкрософт по консультациям касательно GDPR установите внутренние правила реагирования на запросы субъектов данных (DSR) и исключения из DSR.
* В сотрудничестве с вашим партнером Майкрософт по консультациям касательно GDPR проанализируйте недочеты соответствия требованиям GDPR в вашей организации и составьте план обеспечения полного соблюдения GDPR.
* Узнайте, как использовать панель мониторинга GDPR и возможность запроса субъекта данных в Портал соответствия требованиям Microsoft Purview.
Начните определять типы хранящихся у вас персональных данных и их расположение, чтобы выполнять запросы субъектов данных. * Используйте варианты Поиск содержимого и обнаружения электронных данных (стандартный), чтобы легко выполнять поиск по почтовым ящикам, общедоступным папкам, Группы Microsoft 365, Microsoft Teams, сайтам SharePoint, сайтам One Drive for Business и Skype для бизнеса беседам. Узнайте, как использовать типы конфиденциальной информации для поиска персональных данных граждан ЕС.
* При работе с большим количеством содержимого быстро и с большей точностью выявляйте документы, относящиеся к определенной теме (например, исследование соответствия требованиям), чем традиционные ключевое слово выполняет поиск с помощью Microsoft Purview eDiscovery (Премиум) на основе технологий машинного обучения.
* Предварительный просмотр результатов поиска, получение ключевое слово статистики для одного или нескольких поисковых запросов, массовое изменение контента и экспорт результатов с помощью Центра соответствия требованиям безопасности &.

90 дней — расширенное соответствие требованиям

Планирование и реализация этих задач занимают немного больше времени, но могут повысит общую эффективность ваших усилий по соответствию требованиям GDPR.

Область Tasks
Начните внедрять нормативные требования с помощью включенных в Microsoft 365 возможностей управления данными и обеспечения соответствия. * Управление соответствием GDPR с помощью Диспетчера соответствия требованиям Microsoft Purview в Портал соответствия требованиям Microsoft Purview.
* Помогите пользователям идентифицировать и классифицировать персональные данные, как определено в GDPR, с помощью схемы классификации и связанных Office 365 меток для электронной почты Exchange, сайтов SharePoint, OneDrive для рабочих и учебных сайтов и Группы Microsoft 365. См . статью Развертывание защиты информации для правил конфиденциальности данных с помощью Microsoft 365.
Используйте возможности защиты в Microsoft 365, чтобы предотвратить нарушения безопасности и реализовать защиту персональных данных. * Усовершенствуйте проверку подлинности администраторов и пользователей в Microsoft Cloud, включив многофакторную проверку подлинности для всех учетных записей пользователей и современную проверку подлинности для всех приложений. Рекомендуемая конфигурация политик представлена в статье Конфигурации доступа для удостоверений и устройств.
* Разверните Microsoft Defender для конечной точки на всех настольных компьютерах, чтобы обеспечить защиту от вредоносного кода, предотвращать нарушения безопасности данных и реагировать на них.
* Включите ведение журнала аудита и аудит почтовых ящиков для всех почтовых ящиков Exchange, чтобы выявлять потенциально опасную деятельность и проводить экспертный анализ нарушений безопасности данных.
* Настройте, протестируйте и разверните политики защиты от потери данных (DLP), чтобы выявлять, отслеживать и автоматически защищать конфиденциальные данные более чем 80 распространенных типов в документах и электронных письмах, в том числе финансовые, медицинские и личные сведения.
* Внедрите решения Безопасности Office 365, чтобы защититься от наиболее распространенных векторов атаки, в том числе фишинговых писем и документов Office, содержащих вредоносные ссылки и вложения.

Более 90 дней — непрерывная конфиденциальность, управление данными и создание отчетов

Это важные меры обеспечения конфиденциальности, основанные на предыдущих наработках.

Область Tasks
Используйте расширенные средства управления данными и их защиты в Microsoft 365, чтобы реализовать программы непрерывного управления персональными данными. * Используйте метки конфиденциальности, чтобы выявлять персональные данные в документах и электронных письмах.
* Защитите персональные данные на всех устройствах в организации, развернув Microsoft Intune.
* Реализуйте политики условного доступа AAD с Microsoft Intune, чтобы обеспечить хранение конфиденциальных персональных данных и доступ к ним в соответствии с корпоративными политиками. Рекомендуемая конфигурация политик представлена в статье Конфигурации доступа для удостоверений и устройств.
* Реализуйте политики хранения данных с метками конфиденциальности, Управление жизненным циклом данных Microsoft Purview и политиками хранения, чтобы хранить персональные данные до тех пор, пока это необходимо в вашей юрисдикции.
Постоянно контролируйте соответствие требованиям в Microsoft 365 и других облачных приложениях. Рассмотрите возможность удовлетворения требований к размещению данных для персональных данных ЕС.
  • Используйте отчеты о защите от потери данных и Microsoft Defender for Cloud Apps для мониторинга использования облачных приложений и реализации расширенных политик оповещений на основе эвристики и активности пользователей.
  • Решение организационных, региональных и локальных требований к размещению данных при настройке в качестве одной глобальной организации с помощью возможностей Корпорации Майкрософт с несколькими регионами для Exchange Online почтовых ящиков, OneDrive для рабочих и учебных сайтов и сайтов SharePoint.
  • Подробнее