Beskyttelse af personlige oplysninger – Beskyt og styr data
Velkommen til trin 2 om administration af beskyttelse af personlige oplysninger og databeskyttelse med Microsoft Priva og Microsoft Purview: Beskyt og styr dine data.
Når du ved, hvilke personlige data du har, hvor de er, og dine lovmæssige krav, er det tid til at sætte tingene på plads for at beskytte disse data. Microsoft leverer omfattende, robuste funktioner, der kan hjælpe dig med at beskytte personlige data på to måder:
- Funktioner, som it-administratorer har konfigureret til at kategorisere følsomme elementer og udføre beskyttende handlinger, og
- Funktioner, der gør det muligt for dine medarbejdere hurtigt at spotte og løse problemer med beskyttelse af personlige oplysninger og blive oplært i god praksis for datahåndtering.
Handlinger, der skal udføres
| Handling | Beskrivelse | Hent oplysninger |
|---|---|---|
| Identificer typer af følsomme oplysninger, så du ved, hvad der skal beskyttes. | Identificering og kategorisering af følsomme elementer, der administreres af din organisation, er det første skridt i Information Protection disciplin. Microsoft Purview indeholder tre måder at identificere elementer på, så de kan kategoriseres som a) manuelt af brugere, b) automatiseret mønstergenkendelse, f.eks. typer af følsomme oplysninger og c) maskinel indlæring. FØLSOMME informationstyper (SIT) er mønsterbaserede klassificeringer. De registrerer følsomme oplysninger som f.eks. social sikring, kreditkort eller bankkontonumre for at identificere følsomme elementer. |
Få mere at vide om typer af følsomme oplysninger Få vist den komplette liste over typer af følsomme oplysninger |
| Kategoriser og mærk dit indhold, så du kan anvende funktioner til at beskytte det. | Kategorisering og mærkning af indhold, så det kan beskyttes og håndteres korrekt, er starttidspunktet for disciplinen information protection. Microsoft 365 har tre måder at klassificere indhold på. | Få mere at vide om klassificeringer, der kan oplæres |
| Anvend følsomhedsmærkater for at beskytte data, selvom de roamer. | Når du har identificeret dine følsomme data, skal du beskytte dem. Det er ofte udfordrende, når folk samarbejder med andre både i og uden for organisationen. Disse data kan roame overalt på tværs af enheder, apps og tjenester. Og når den roamer, vil du gerne have, at den gør det på en sikker og beskyttet måde, der opfylder organisationens politikker for virksomhed og overholdelse af angivne standarder. Følsomhedsmærkater fra Microsoft Purview Information Protection giver dig mulighed for at klassificere og beskytte din organisations data, samtidig med at du sikrer, at brugernes produktivitet og deres evne til at samarbejde ikke hindres. |
Få mere at vide om følsomhedsmærkater |
| Brug politikker til forebyggelse af datatab for at forhindre deling af personlige data. | Organisationer har følsomme oplysninger under deres kontrol, f.eks. økonomiske data, beskyttede data, kreditkortnumre, sundhedsjournaler eller cpr-numre. For at hjælpe med at beskytte følsomme oplysninger og reducere risikoen har de brug for en metode til at forhindre deres brugere i at dele dem upassende med personer, der ikke skulle have dem. Denne praksis kaldes forebyggelse af datatab (DLP). Ved hjælp af Microsoft Purview Forebyggelse af datatab implementerer du forebyggelse af datatab ved at definere og anvende DLP-politikker for at identificere, overvåge og automatisk beskytte følsomme elementer på tværs af Microsoft 365-tjenester, f.eks. Teams, Exchange, SharePoint og OneDrive. Office-programmer, f.eks. Word, Excel og PowerPoint; Windows 10, Windows 11 og macOS (den aktuelle version og de to tidligere versioner af macOS) slutpunkter; cloudapps, der ikke er Microsoft, og filshares i det lokale miljø og SharePoint i det lokale miljø. Denne DLP-løsning registrerer følsomme elementer ved hjælp af dyb indholdsanalyse og ikke kun ved en simpel tekstscanning. Indhold analyseres for primære data, der svarer til nøgleord, ved evaluering af regulære udtryk, ved intern funktionsvalidering og efter sekundære datamatch, der er i nærheden af det primære datamatch. Derudover bruger DLP også algoritmer til maskinel indlæring og andre metoder til at registrere indhold, der stemmer overens med dine DLP-politikker. |
Få mere at vide om forebyggelse af datatab |
| Styr dine Microsoft 365-data for overholdelse af angivne standarder eller lovmæssige krav | Der kan anvendes kontrolelementer til styring af oplysninger i dit miljø for at hjælpe med at håndtere overholdelse af angivne standarder for beskyttelse af personlige oplysninger, herunder et nummer, der er specifikt for den generelle forordning om databeskyttelse (GDPR), HIPAA-HITECH (loven om beskyttelse af personlige oplysninger for USA sundhedspleje), California Consumer Protection Act (CCPA) og LGPD (Brazil Data Protection Act). Administration af Microsoft Purview-datalivscyklus og Microsoft Purview-datastyring levere disse kontrolelementer i form af opbevaringspolitikker, opbevaringsmærkater og funktioner til datastyring. | Få mere at vide om, hvordan du installerer en løsning til datastyring med Microsoft Purview |
| Konfigurer sikker lagring af personlige data i Microsoft Teams. | Hvis du planlægger at gemme meget følsomme personlige data i Teams, kan du konfigurere et privat team og bruge en følsomhedsmærkat, der specifikt er konfigureret til at sikre adgang til teamet og filerne i det. | Få mere at vide om konfiguration af et team med sikkerhedsisolering |
| Gør det muligt for brugerne at spotte potentielle risici og løse problemer. | Opret politikker for datahåndtering i Priva håndtering af privatlivsrisici, så brugerne straks kan identificere risici i de data, de opretter og administrerer. Meddelelsesmails giver brugerne besked, når de overfører elementer med personlige data i vores uden for organisationen, gør indhold for bredt tilgængeligt eller holder fast i personlige data for længe. Meddelelserne beder brugerne om øjeblikkelig afhjælpning for at sikre personlige data og indeholder links til din organisations foretrukne uddannelse i beskyttelse af personlige oplysninger. |
Få mere at vide om styring af risiko for beskyttelse af personlige oplysninger Opret en politik for at forhindre dataoverførsler, overeksponering eller hamstring Konfigurer meddelelser til brugere for at løse problemer med indhold, de håndterer |
| Brug datastyring til elementer af høj værdi, der skal administreres i forbindelse med forretningsrelaterede, juridiske eller lovmæssige krav til registrering. | Et dataadministrationssystem er en løsning, som organisationer kan bruge til at administrere lovmæssige, juridiske og forretningskritiske poster. Microsoft Purview-datastyring hjælper en organisation med at administrere deres juridiske forpligtelser, giver mulighed for at demonstrere overholdelse af regler og øger effektiviteten med regelmæssig fordeling af elementer, der ikke længere skal bevares, ikke længere er af værdi eller ikke længere kræves til forretningsmæssige formål. |
Få mere at vide om datastyring |
Konfigurer din strategi for succes
Identificering af følsomme informationstyper (SITs), kategorisering og mærkning af dit indhold og installation af DLP-politikker (forebyggelse af datatab) er vigtige trin i en strategi til beskyttelse af oplysninger. Linkene i ovenstående tabel fører dig til en detaljeret vejledning i udførelsen af disse vigtige opgaver.
Beskyttelse af data er også ansvaret for alle brugere i din organisation, der får vist, opretter og håndterer personlige data i forbindelse med jobopgaverne. Hver bruger skal kende og overholde organisationens interne og lovmæssige ansvar for at beskytte personlige data, uanset hvor de findes i din organisation. Med henblik herpå hjælper Priva dig med at give dine brugere mulighed for at kende deres ansvar, til at blive informeret, når de håndterer data på risikable måder, og træffe øjeblikkelige foranstaltninger for at minimere risikoen for beskyttelse af personlige oplysninger for organisationen.
De tre datahåndteringspolitikker, der er tilgængelige i Priva håndtering af privatlivsrisici hjælpe dine brugere med at spille en proaktiv rolle i organisationens databeskyttelsesstrategi. Mailmeddelelser med indbyggede afhjælpningshandlinger beder brugerne om at anvende den nødvendige beskyttelse og tage en uddannelse i beskyttelse af personlige oplysninger, der er angivet af din organisation. Denne bevidsthed og evne til at handle kan bidrage til at udvikle bedre vaner for at forebygge fremtidige problemer med beskyttelse af personlige oplysninger.
Anbefalinger til din første Priva-datahåndteringspolitik
Vi anbefaler, at du udruller politikker i en faseinddelt tilgang, så du kan få mere at vide om, hvordan de fungerer, og optimere dem, så de passer til dine behov. I den første fase anbefaler vi, at du opretter én brugerdefineret politik, der fungerer som grundlag for forståelse. Lad os bruge eksemplet på oprettelse af en politik for overeksponering af data, der identificerer indholdselementer, der indeholder personlige data, som kan være for bredt tilgængelige for andre personer. Du kan finde detaljerede instruktioner til oprettelse af politikker her.
Når du kommer til trinnet Vælg data for at overvåge trinnet i guiden til oprettelse af politikker, anbefaler vi, at du vælger indstillingen Individuelle følsomme informationstyper og vælger de SIT'er, der er mest relevante for din organisation. Hvis du f.eks. er en virksomhed inden for finansielle tjenesteydelser med kunder i Europa, vil du sandsynligvis medtage EU-debetkortnummeret som en af dine SIT'er. Find listen over SIT-definitioner her.
På trinnet Vælg brugere og grupper, der er omfattet af denne politik anbefales det, at du vælger Bestemte brugere eller grupper og vælger en lille indercirkel af brugere, der er omfattet af denne politik.
På trinnet Vælg betingelser for politik anbefaler vi, at du kun vælger Ekstern , så du sporer data, som du kan overveje at være mere udsatte for, samtidig med at du bevarer den samlede mængde data, du skal overvåge på mere administrerbare niveauer.
På trinnet Angiv beskeder og tærskler anbefaler vi, at du aktiverer beskeder og vælger indstillingen Hyppighed for Besked, når en af nedenstående betingelser er opfyldt. Hvis du aktiverer beskeder, kan administratorer måle, om alvorsgraden og hyppigheden af beskeder opfylder deres behov. Bemærk, at politikker ikke fungerer med tilbagevirkende kraft, så hvis du beslutter at deaktivere beskeder først og senere slå dem til, kan du ikke se nogen beskeder for match, der er opstået før aktivering af beskeder.
I tilstanden Beslut politiktilstand anbefaler vi, at politikken bevares i testtilstand , og at dens ydeevne overvåges i mindst fem dage. Dette giver dig mulighed for at se, hvilken type match politikbetingelserne opfanger, hvordan beskederne udløses.
Gradvis konfiguration af flere politikker og finjustering af ydeevnen
Når du har konfigureret og kørt din første politik, kan det være en god idé at gøre det samme med de to andre politiktyper. Dette kan være din anden fase, hvor du gradvist rampe op på at bruge funktioner, mens du går og optimere deres indstillinger. Du kan f.eks. vælge ikke at sende meddelelser via brugermail i starten, mens du ser, hvor mange der stemmer overens med det, der registreres af din politik. Derefter kan du til sidst beslutte at slå mailmeddelelser til, mens politikkerne stadig er i testtilstand (i fasen Definer resultater i politikindstillingerne). Hvis brugerne får for mange mails, skal du gå tilbage til politikkens indstillinger for Resultater for at justere hyppigheden af meddelelserne. Al denne finjustering kan hjælpe dig med at måle den ønskede indvirkning på dine brugere, før du udruller politikken mere bredt i hele organisationen.
Anbefalede indstillinger for de to andre politiktyper
Nedenfor finder du specifikke anbefalinger til vigtige indstillinger, når du opretter din første dataoverførsel og politikker for overeksponering af data .
Dataoverførsel:
- Vælg bestemte SIT'er for data, der skal overvåges.
- For Vælg de brugere og grupper, der er omfattet af denne politik, skal du vælge en indre ring af brugere.
- Under Vælg betingelser for politikken skal du vælge den betingelse, der betyder mest.
- Slå mailmeddelelser til for Definer resultater, når der registreres et politikmatch.
- I Angiv beskeder og tærskler skal du aktivere beskeder for hver gang en aktivitet indtræffer.
- For Beslut politiktilstand skal du slå politiktilstanden til (som slår testtilstand fra).
Minimering af data:
- Vælg bestemte SIT'er eller klassificeringsgrupper for Data, der skal overvåges.
- For Vælg de brugere og grupper, der er omfattet af denne politik, skal du vælge en indre ring af brugere.
- For Vælg betingelser for politikken skal du vælge 30, 60, 90 eller 120 dage.
- I Beslut politiktilstand skal du holde politikken i testtilstand.
Maksimering af politikydeevnen for at minimere risici for beskyttelse af personlige oplysninger
Tillad, at dine politikker kører i mindst to til fire uger. I denne periode skal du gennemse og dokumentere følgende resultater:
- De matches, der genereres af hver politiktype, og forekomsterne af falske positive og falske negativer
- Effekten og feedbacken fra slutbrugere og administratorer
På baggrund af dine resultater kan du nu justere politikkens ydeevne ved at gøre følgende:
- Inkludering eller udeladelse af indbyggede og brugerdefinerede SIT'er eller klassificeringsgrupper
- Oprettelse af versioner af politikkerne med betingelser og brugergrupper for at gøre målretningen mere effektiv
- Ændring af tærsklerne for politikken, herunder hyppigheden af mails til brugere, antal dage, der skal overvåges osv.
Tænk på dette som din tredje fase. Du kan oprette flere versioner af hver politiktype og udrulle dem til hele organisationen i to runder: en første runde, der dækker 50 % af dine brugere, og en anden runde, der dækker 100 % af dine brugere.
Dette er også den fase, hvor du akkumulerer læring baseret på brugeradfærd, som nævnt i Priva, og opretter specifik oplæring af beskyttelse af personlige oplysninger for dine brugere, som du kan inkludere i dine politikkers meddelelser om brugermail.
Næste trin
Gå til trin 3. Hold styr på reglerne om beskyttelse af personlige oplysninger.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om