Microsoft 365 GDPR 작업 계획 - 처음 30일, 90일 및 그 이상 기간에 대한 최고 우선 순위 지정

이 문서에는 GDPR(일반 데이터 보호 규정)의 요구 사항을 충족하기 위해 작업할 때 따를 수 있는 우선 순위가 지정된 작업 계획이 포함되어 있습니다. 이 작업 계획은 규정 준수를 전문으로 하는 Microsoft 파트너인 Protiviti와 협력하여 개발되었습니다.

GDPR은 기업, 정부 기관, 비영리 단체 및 유럽 연합 (EU)의 사람들에게 상품과 서비스를 제공하거나 EU 거주자의 데이터를 수집하고 분석하는 기타 조직에 대한 새로운 규칙을 도입했습니다. GDPR은 귀하 또는 귀하의 기업이 어디에 있든 상관없이 적용됩니다.

작업 계획 결과

논리적 순서에 따라 3단계로 구성된 권장 사항과 결과는 다음과 같습니다.

작업 단계 결과
30일 GDPR 요구 사항을 이해하고 Microsoft GDPR 자문 파트너와 함께 작업하는 것이 좋습니다.
* 준비 상황을 벤치마크하고 다음 단계에 대한 권장 사항울 받습니다.
* Microsoft GDPR 자문 파트너와 함께 DSR(데이터 주체 요청)에 응답하기 위한 내부 지침을 설정하고, 조직을 위한 GDPR 준수 간격 분석을 수행하고, 준수에 대한 로드맵을 설정합니다.

DSR 준수를 위해 저장하는 개인 데이터의 형식과 상주 위치를 검색합니다.
* 보안 및 준수 센터의 콘텐츠 검색 및 eDiscovery를 사용하여 조직 전체에서 개인 데이터를 검색합니다.
* 방대한 양의 콘텐츠로 작업할 때 기계 학습 기술로 구동되는 Microsoft Purview eDiscovery(프리미엄)를 사용하여 보다 효율적이고 정확한 콘텐츠 검색을 수행합니다.
90일 Microsoft 365 데이터 거버넌스 및 준수 기능을 사용하여 준수 요구 사항을 구현합니다.
* Microsoft Purview 준수 관리자를 사용하여 규정 준수 위험을 평가하고 관리합니다.
* 사용자가 GDPR로 정의된 개인 데이터를 식별하고 분류하도록 지원합니다.

Microsoft 365 보안 기능을 사용하여 데이터 위반을 방지하고 개인 데이터를 보호합니다.
* 관리자 및 최종 사용자 계정을 보호합니다.
* 악성 코드로부터 보호하고 데이터 위반 방지 및 응답을 구현합니다.
* 감사 로깅을 사용하여 위험할 수 있는 활동을 모니터링하고 데이터 위반에 대한 법과학 분석을 사용하도록 설정합니다.
* DLP(데이터 손실 방지) 정책을 사용하여 중요한 데이터를 식별하고 보호합니다.
* 악성 링크와 첨부 파일이 들어 있는 피싱 전자 메일과 Office 문서를 포함하는 가장 일반적인 공격 벡터를 방지합니다.
90일 초과 Microsoft 365 고급 데이터 거버넌스 도구 및 정보 보호를 사용하여 개인 데이터에 대한 지속적인 거버넌스 프로그램을 구현합니다.
* 문서와 전자 메일에서 개인 정보를 자동으로 식별합니다.
* 조직 전체의 장치에 저장된 개인 데이터를 보호하고, 중요한 데이터에 액세스할 때 규격 회사 장치를 사용하도록 합니다.
* 회사 정책에 따라 중요한 개인 정보가 저장되고 액세스되도록 합니다.
* 필요한 기간 동안만 개인 데이터를 보존하도록 데이터 보존 정책을 구현합니다.

Microsoft 365 및 기타 클라우드 응용 프로그램에서 지속적인 준수를 모니터링합니다. EU 개인 데이터에 대한 데이터 보존 요구 사항을 해결하는 것이 좋습니다.
* 조직의 클라우드 응용 프로그램 사용을 모니터링하고 고급 경고 정책을 구현합니다.
* 하나의 전역 조직으로 데이터 보존 요구 사항을 해결합니다.

30일 - 강력한 빠른 승리

이러한 작업은 빠르고 강력하며 사용자에게 미치는 영향이 작습니다.

영역 작업
GDPR 요구 사항을 이해하고 Microsoft GDPR 자문 파트너와 함께 작업하는 것이 좋습니다. * Microsoft Purview 규정 준수 포털 Microsoft Purview 준수 관리자를 사용하여 organization GDPR 평가를 수행하여 규정 준수 위험을 평가하고 관리합니다.
* Microsoft GDPR 자문 파트너와 협력하여 DSR(데이터 주체 요청) 및 DSR 제외에 대응하기 위한 내부 지침을 설정합니다.
* Microsoft GDPR 자문 파트너와 협력하여 조직의 GDPR 준수에서 차이점 분석을 수행하고 GDPR 준수 과정을 차트로 나타내는 로드맵을 개발합니다.
* Microsoft Purview 규정 준수 포털 GDPR 대시보드 및 데이터 주체 요청 기능을 사용하는 방법을 알아봅니다.
DSR 준수를 위해 저장하는 개인 데이터의 형식과 상주 위치를 검색합니다. * 콘텐츠 검색eDiscovery(표준) 사례를 사용하여 사서함, 공용 폴더, Microsoft 365 그룹, Microsoft Teams, SharePoint 사이트, 비즈니스용 One Drive 사이트 및 비즈니스용 Skype 대화를 쉽게 검색할 수 있습니다. 중요한 정보 유형을 사용하여 EU 시민의 개인 데이터를 찾는 방법을 알아봅니다.
* 방대한 양의 콘텐츠로 작업할 때 기계 학습 기술로 구동되는 Microsoft Purview eDiscovery(프리미엄)을 사용하여 기존 키워드(keyword) 검색보다 빠르고 정밀하게 특정 주제(예: 규정 준수 조사)와 관련된 문서를 식별합니다.
* 검색 결과를 미리 보기하고, 하나 이상의 검색에 대한 키워드(keyword) 통계를 가져오고, 콘텐츠 검색을 대량 편집하고, 보안 & 규정 준수 센터를 사용하여 결과를 내보냅니다.

90일 - 향상된 규정 준수

이러한 작업은 계획 및 구현하는 데 시간이 좀 더 걸리지만 전반적인 GDPR 규정 준수 노력을 높일 수 있습니다.

영역 작업
Microsoft 365 데이터 거버넌스 및 준수 기능을 사용하여 준수 요구 사항을 구현합니다. * Microsoft Purview 규정 준수 포털 내에서 Microsoft Purview 규정 준수 관리자를 사용하여 GDPR 규정 준수를 관리합니다.
* 사용자가 GDPR에 정의된 대로 분류 스키마 및 Exchange 전자 메일, SharePoint 사이트, 회사 및 학교 사이트용 OneDrive 및 Microsoft 365 그룹 대한 관련 Office 365 레이블을 사용하여 개인 데이터를 식별하고 분류하는 데 도움이 됩니다. Microsoft 365를 사용하여 데이터 개인 정보 보호에 대한 정보 보호 배포를 참조하세요.
Microsoft 365 보안 기능을 사용하여 데이터 위반을 방지하고 개인 데이터를 보호합니다. * 모든 사용자 계정에 대해 다단계 요소 인증을, 모든 앱에 대해 최신 인증을 사용하도록 설정하여 Microsoft 클라우드에서 관리자 및 최종 사용자에 대한 인증을 향상시킵니다. 권장되는 정책 구성은 ID 및 장치 액세스 구성을 참조하세요.
* 악성 코드로부터의 보호, 데이터 위반 방지 및 대응을 위해 모든 데스크톱에 엔드포인트용 Microsoft Defender를 배포합니다.
* 모든 Exchange 사서함에 대해 감사 로깅사서함 감사를 사용하도록 설정하여 잠재적으로 악의적인 활동이 있는지 모니터링하고 데이터 위반에 대한 법과학 분석을 설정합니다.
* DLP(데이터 손실 방지) 정책을 구성, 테스트 및 배포하여 재무, 의료 및 개인 식별 가능 정보를 포함하여 문서 및 전자 메일 내에 포함된 80가지가 넘는 중요한 데이터 유형을 식별, 모니터링 및 자동으로 보호합니다.
* Office 365 보안 솔루션을 구현하여 악성 링크 및 첨부 파일이 포함된 피싱 전자 메일 및 Office 문서를 포함하여 가장 일반적인 공격 벡터를 방지합니다.

90일 이상 — 지속적인 개인 정보 보호, 데이터 관리 및 보고

이러한 구성은 이전 작업에서 구축하는 중요한 개인 정보 보호 조치입니다.

영역 작업
Microsoft 365 고급 데이터 거버넌스 도구 및 정보 보호를 사용하여 개인 데이터에 대한 지속적인 거버넌스 프로그램을 구현합니다. * 민감도 레이블을 사용하여 문서 및 전자 메일에서 개인 정보를 식별합니다.
* Microsoft Intune을 배포하여 조직 전체에서 장치에 저장된 개인 데이터를 보호합니다.
* Microsoft Inture과 함께 AAD 조건부 액세스 정책을 구현하여 중요한 개인 정보가 회사 정책에 따라 저장되고 액세스되도록 합니다. 권장되는 정책 구성은 ID 및 장치 액세스 구성을 참조하세요.
* 민감도 레이블, Microsoft Purview 데이터 수명 주기 관리보존 정책을 사용하여 데이터 보존 정책을 구현하여 관할 구역에서 필요한 한 개인 데이터를 보존합니다.
Microsoft 365 및 기타 클라우드 응용 프로그램에서 지속적인 준수를 모니터링합니다. EU 개인 데이터에 대한 데이터 보존 요구 사항을 해결하는 것이 좋습니다.
  • 데이터 손실 방지 보고서Microsoft Defender for Cloud Apps 사용하여 클라우드 애플리케이션의 사용량을 모니터링하고 추론 및 사용자 활동을 기반으로 고급 경고 정책을 구현합니다.
  • Exchange Online 사서함, 회사 및 학교 사이트용 OneDrive 및 SharePoint 사이트에 대한 Microsoft의 다중 지역 기능을 사용하여 하나의 글로벌 organization 구성하면서 조직, 지역 및 로컬 데이터 상주 요구 사항을 해결합니다.
  • 자세히 알아보기