Datasekretess och skydd – Skydda och styra data
Välkommen till steg 2 för att hantera datasekretess och dataskydd med Microsoft Priva och Microsoft Purview: Skydda och styra dina data.
När du vet vilka personuppgifter du har, var de finns och dina regelkrav är det dags att införa saker för att skydda dessa data. Microsoft tillhandahåller omfattande, robusta funktioner som hjälper dig att skydda personuppgifter på två sätt:
- Funktioner som IT-administratörer har konfigurerat för att kategorisera känsliga objekt och vidta skyddsåtgärder, och
- Funktioner som gör det möjligt för dina anställda att snabbt upptäcka och åtgärda problem med datasekretess och tränas på bra metoder för datahantering.
Åtgärder att vidta
| Åtgärd | Beskrivning | Hämta information |
|---|---|---|
| Identifiera typer av känslig information så att du vet vad som behöver skyddas. | Att identifiera och kategorisera känsliga objekt som hanteras av din organisation är det första steget i Information Protection disciplin. Microsoft Purview tillhandahåller tre sätt att identifiera objekt så att de kan kategoriseras a) manuellt av användare, b) automatisk mönsterigenkänning, till exempel typer av känslig information och c) maskininlärning. Typer av känslig information (SIT) är mönsterbaserade klassificerare. De identifierar känslig information som social trygghet, kreditkort eller bankkontonummer för att identifiera känsliga objekt. |
Läs mer om typer av känslig information Visa den fullständiga listan över typer av känslig information |
| Kategorisera och märka ditt innehåll så att du kan använda funktioner för att skydda det. | Att kategorisera och märka innehåll så att det kan skyddas och hanteras korrekt är startplatsen för informationsskyddsområdet. Microsoft 365 har tre sätt att klassificera innehåll. | Läs mer om träningsbara klassificerare |
| Använd känslighetsetiketter för att skydda data, även om de flyttas. | När du har identifierat känsliga data vill du skydda dem. Det är ofta svårt när människor samarbetar med andra både inom och utanför organisationen. Dessa data kan röra sig överallt, mellan enheter, appar och tjänster. När det överförs på det här sättet behöver du se till att det gör det på ett säkert och skyddat sätt som följer organisationens affärs- och efterlevnadsprinciper. Med känslighetsetiketter från Purview Microsoft Information Protection kan du klassificera och skydda organisationens data samtidigt som du ser till att användarnas produktivitet och möjlighet att samarbeta inte förhindras. |
Läs mer om känslighetsetiketter |
| Använd principer för dataförlustskydd för att förhindra delning av personuppgifter. | Organisationer har känslig information under sin kontroll, till exempel finansiella data, upphovsrättsskyddade data, kreditkortsnummer, hälsojournaler eller personnummer. För att skydda känslig information och minska risken behöver de ett sätt att förhindra att användarna delar den på ett olämpligt sätt med personer som inte borde ha den. Den här metoden kallas för dataförlustskydd (DLP). Med hjälp av Dataförlustskydd i Microsoft Purview implementerar du dataförlustskydd genom att definiera och tillämpa DLP-principer för att identifiera, övervaka och automatiskt skydda känsliga objekt i Microsoft 365-tjänster som Teams, Exchange, SharePoint och OneDrive. Office-program som Word, Excel och PowerPoint; Windows 10-, Windows 11- och macOS-slutpunkter (den aktuella versionen och de två tidigare versionerna av macOS), molnappar som inte kommer från Microsoft och lokala filresurser och lokal SharePoint. Den här DLP-lösningen identifierar känsliga objekt med hjälp av djup innehållsanalys, inte bara genom en enkel textgenomsökning. Innehållet analyseras för primära datamatchningar till nyckelord, genom utvärdering av reguljära uttryck, av intern funktionsvalidering och av sekundära datamatchningar som är i närheten av den primära datamatchningen. Utöver detta använder DLP även maskininlärningsalgoritmer och andra metoder för att identifiera innehåll som matchar dina DLP-principer. |
Läs mer om dataförlustskydd |
| Styra dina Microsoft 365-data för efterlevnads- eller regelkrav | Informationsstyrningskontroller kan användas i din miljö för att hantera efterlevnadsbehov för datasekretess, inklusive ett nummer som är specifikt för GDPR (General Data Protection Regulation), HIPAA-HITECH (USA health care privacy act), California Consumer Protection Act (CCPA) och Brazil Data Protection Act (LGPD). Livscykelhantering av data i Microsoft Purview och Hantering av arkivhandlingar i Microsoft Purview tillhandahålla dessa kontroller i form av kvarhållningsprinciper, kvarhållningsetiketter och hanteringsfunktioner för arkivhandlingar. | Lär dig hur du distribuerar en datastyrningslösning med Microsoft Purview |
| Konfigurera säker lagring av personliga data i Microsoft Teams. | Om du planerar att lagra mycket känsliga personuppgifter i Teams kan du konfigurera ett privat team och använda en känslighetsetikett som är specifikt konfigurerad för att skydda åtkomsten till teamet och filerna i det. | Läs mer om att konfigurera ett team med säkerhetsisolering |
| Ge användarna möjlighet att upptäcka potentiella risker och åtgärda problem. | Skapa principer för datahantering i Priva hantering av sekretessrisker så att användarna omedelbart kan identifiera risker i de data som de skapar och hanterar. E-postmeddelanden med meddelanden varnar användarna när de överför objekt med personliga data inom vår utanför organisationen, gör innehållet för brett tillgängligt eller håller fast vid personliga data för länge. Meddelandena uppmanar användarna att vidta omedelbara åtgärder för att skydda personliga data och innehåller länkar till organisationens prioriterade sekretessutbildning. |
Läs mer om hantering av sekretessrisk Skapa en princip för att förhindra dataöverföringar, överexponering eller hamstring Konfigurera meddelanden för användare för att åtgärda problem med innehåll som de hanterar |
| Använd hantering av arkivhandlingar för objekt med högt värde som måste hanteras för affärs-, juridiska eller regelmässiga registerhållningskrav. | Ett system för hantering av arkivhandlingar är en lösning för organisationer att hantera regelmässiga, juridiska och affärskritiska poster. Hantering av arkivhandlingar i Microsoft Purview hjälper en organisation att hantera sina juridiska skyldigheter, ger möjlighet att visa efterlevnad av regler och öka effektiviteten med regelbunden borttagning av objekt som inte längre behöver behållas, inte längre av värde eller som inte längre krävs för affärsändamål. |
Läs mer om hantering av arkivhandlingar |
Konfigurera din strategi för framgång
Att identifiera typer av känslig information (SIT), kategorisera och märka ditt innehåll och distribuera principer för dataförlustskydd (DLP) är viktiga steg i en informationsskyddsstrategi. Länkarna i tabellen ovan tar dig till detaljerad vägledning för att utföra dessa viktiga uppgifter.
Att skydda data är också ansvaret för varje användare i organisationen som visar, skapar och hanterar personuppgifter under arbetets gång. Varje användare måste känna till och följa organisationens interna och regelmässiga ansvarsområden för att skydda personuppgifter oavsett var de finns i din organisation. I detta syfte hjälper Priva dig att ge användarna möjlighet att känna till sina ansvarsområden, att informeras när de hanterar data på riskfyllda sätt och vidta omedelbara åtgärder för att minimera integritetsriskerna för organisationen.
De tre datahanteringsprinciperna som är tillgängliga i Priva hantering av sekretessrisker hjälpa användarna att spela en proaktiv roll i organisationens dataskyddsstrategi. Email meddelanden med inbyggda reparationsåtgärder uppmanar användarna att tillämpa de nödvändiga skydden och genomföra en sekretessutbildning som din organisation har utsett. Denna medvetenhet och förmåga att agera kan bidra till att odla bättre vanor för att förhindra framtida integritetsproblem.
Rekommendationer för din första priva-datahanteringsprincip
Vi rekommenderar att du distribuerar principer i en stegvis metod så att du kan lära dig hur de fungerar och optimera dem efter dina behov. För den första fasen rekommenderar vi att du skapar en anpassad princip som fungerar som grund för förståelsen. Låt oss använda exemplet med att skapa en princip för överexponering av data, som identifierar innehållsobjekt som innehåller personliga data som kan vara för brett tillgängliga för andra personer. Du hittar detaljerade anvisningar för hur du skapar principer från och med här.
När du kommer till steget Välj data för att övervaka steget i guiden för att skapa principer rekommenderar vi att du väljer alternativet Enskilda typer av känslig information och väljer de SIT som är mest relevanta för din organisation. Om du till exempel är ett företag för finansiella tjänster med kunder i Europa vill du förmodligen inkludera EU:s debetkortsnummer som ett av dina SIT-nummer. Hitta listan över SIT-definitioner här.
I steget Välj användare och grupper som omfattas av det här principsteget rekommenderar vi att du väljer Specifika användare eller grupper och väljer en liten inre cirkel med användare i omfånget för den här principen.
Under Välj villkor för principsteget rekommenderar vi att du bara väljer Externt så att du spårar data som du kan överväga mer i riskzonen samtidigt som du behåller den totala mängden data som du måste övervaka på mer hanterbara nivåer.
I steget Ange aviseringar och tröskelvärden rekommenderar vi att du aktiverar aviseringar och väljer frekvensalternativetAvisering när ett av villkoren nedan uppfylls. Om du aktiverar aviseringar kan administratörer mäta om allvarlighetsgraden och frekvensen för aviseringar uppfyller deras behov. Observera att principerna inte fungerar retroaktivt, så om du bestämmer dig för att hålla aviseringarna inaktiverade först och senare kan du inte se några aviseringar för matchningar som har inträffat innan du aktiverar aviseringar.
I tillståndet Bestäm principläge rekommenderar vi att du håller principen i testläge och övervakar dess prestanda i minst fem dagar. På så sätt kan du se vilken typ av matchning som principvillkoren tar upp, hur aviseringarna utlöses.
Gradvis konfigurera fler principer och finjustera prestanda
När du har konfigurerat och kört din första princip kanske du vill göra samma sak med de andra två principtyperna. Detta kan vara din andra fas, där du gradvis ökar användningen av funktioner när du går och optimerar deras inställningar. Du kan till exempel välja att inte skicka e-postaviseringar till användaren först medan du ser hur många matchningar som din princip identifierar. Slutligen kan du välja att aktivera e-postaviseringar medan principerna fortfarande är i testläge (i fasen Definiera resultat i principinställningarna). Om användarna får för många e-postmeddelanden går du tillbaka till principens resultatinställningar för att justera frekvensen för meddelandena. All den här finjusteringen kan hjälpa dig att mäta önskad inverkan på användarna innan du distribuerar principen bredare i hela organisationen.
Rekommenderade inställningar för de andra två principtyperna
Nedan visas specifika rekommendationer för viktiga inställningar när du skapar dina första principer för dataöverföring och överexponering av data .
Dataöverföring:
- För Data som ska övervakas väljer du specifika SIT:ar.
- För Välj användare och grupper som omfattas av den här principen väljer du en inre ring med användare.
- För Välj villkor för principen väljer du det villkor som är viktigast.
- För Definiera resultat när en principmatchning identifieras aktiverar du e-postaviseringar.
- För Ange aviseringar och tröskelvärden aktiverar du aviseringar för varje gång en aktivitet inträffar.
- För Bestäm principläge aktiverar du principläget (som inaktiverar testläget).
Dataminimering:
- För Data att övervaka väljer du specifika SIT eller klassificeringsgrupper.
- För Välj användare och grupper som omfattas av den här principen väljer du en inre ring med användare.
- För Välj villkor för principen väljer du 30, 60, 90 eller 120 dagar.
- För Bestäm principläge behåller du principen i testläge.
Maximera policyprestanda för att minimera integritetsrisker
Tillåt att dina principer körs i minst två till fyra veckor. Under den här tiden bör du granska och dokumentera följande resultat:
- Matchningarna som genereras av varje principtyp och instanserna av falska positiva och falska negativa identifieringar
- Påverkan och feedback från slutanvändare och administratörer
Baserat på dina resultat kan du nu justera principprestandan genom att göra följande:
- Inkludera eller exkludering av färdiga och anpassade SIT:er eller klassificeringsgrupper
- Skapa versioner av principerna med villkor och användargrupper för att göra målinriktningen mer effektiv
- Justera tröskelvärdena för principen, inklusive frekvensen för e-postmeddelanden till användare, antal dagar att övervaka osv.
Se det här som din tredje fas. Du kan skapa fler versioner av varje principtyp och distribuera dem till hela organisationen i två omgångar: en första omgång som omfattar 50 % av dina användare och en andra omgång som omfattar 100 % av användarna.
Det här är också den fas där du samlar utbildningar baserat på användarbeteende som anges i Priva och skapar specifik sekretessutbildning för dina användare, som du kan inkludera i dina principers e-postaviseringar för användare.
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för