Bedöm datasekretessrisker och identifiera känsliga objekt Microsoft 365

  • Artikel
  • 8 minuter för att läsa

Att utvärdera de bestämmelser och risker för datasekretess som gäller för organisationen är ett viktigt första steg innan relaterade förbättringsåtgärder implementeras, inklusive sådana som kan Microsoft 365 funktioner och tjänster.

Potentiellt tillämpliga sekretessregler för data

En bra referens om det bredare ramverket för bestämmelser om datasekretess finns i Microsoft Services Trust Portal och en serie artiklar om dataskyddsförordningen (GDPR)samt annat material om föreskrifter som du kan vara föremål för i din bransch eller region.

GDPR

GDPR, den mest välkända och citerade av datasekretessförordningen, reglerar insamling, lagring, bearbetning och delning av alla personuppgifter som relaterar till en identifierad eller identifierbar fysisk person som är bosatt i Europeiska unionen (EU).

Enligt GDPR, artikel 4:

  • "personuppgifter" avser all information som relaterar till en identifierad eller identifierbar naturlig person ('data subject'); En identifierbar fysisk person är en person som kan identifieras, direkt eller indirekt, särskilt genom referens till en identifierare som ett namn, ett identifikationsnummer, platsdata, en onlineidentifierare eller en eller flera faktorer som är specifika för den fysiska, genetiskt, mentala, ekonomiska, kulturella eller sociala identiteten hos den naturliga personen.

ISO 27001

Att följa andra standarder som ISO 27001 har också identifierats av flera europeiska övervakande myndigheter som en giltig proxy för allas användare, processer och teknikspektrum. De standarder som den anger överlappar och följer ISO-27001-drivna skyddsmetoder kan ses som proxy under vissa omständigheter och vissa sekretessåtaganden måste uppfyllas.

Andra sekretessregler för data

Andra framträdande bestämmelser om datasekretess anger också krav för hantering av personuppgifter.

I USA omfattar dessa California Consumer Protection Act(CCPA),HIPAA-HITECH (United States Health Care Privacy Act) och Graham Leach Bliley Act (GLBA). Ytterligare tillståndsspecifika bestämmelser är också på plats eller är under utveckling.

Runt om i världen kan ytterligare exempel vara Tysklands National GDPR Implementation Act (BDSG), Brazil Data Protection Act (LGPD) och många fler.

Regelmappning till Microsoft 365 kategorier för teknisk kontroll

Många av de datasekretessrelaterade bestämmelser har överlappande krav, så du bör förstå vilka bestämmelser de omfattas av innan du utvecklar ett tekniskt kontrollschema.

Den här tabellen innehåller utdrag från ett urval av sekretessregler för data för senare referens i artiklarna om den här övergripande lösningen.

Regler Artikel/avsnitt Utdrag Tillämpliga kategorier för teknisk kontroll
GDPR Artikel 5(1)(f) Personuppgifter ska bearbetas på ett sätt som säkerställer tillräcklig säkerhet för personuppgifter, inklusive skydd mot obehörig eller olaglig bearbetning och mot oavsiktlig förlust, intrång eller skada, genom att använda lämpliga tekniska åtgärder eller organisationsåtgärder ('integritet och konfidentialitet'. (Alla)
Identitet
Enhet
Skydd mot hot
Skydda information
Reglera information
Upptäcka och agera
Artikel (32)(1)(a) Med hänsyn till grafikens status, kostnader för implementering och typ, omfattning, sammanhang och syftet med bearbetningen samt risken för olika sannolikheter och allvarlighetsgrad för rättigheter och funktionshinder för naturliga personer, ska kontrollanten och processorn implementera lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för risken. Även samspela efter behov: (a) anonymisering och kryptering av personuppgifter. Skydda information
Artikel (13)(2)(a) "... kontrollanten ska, vid den tidpunkt då personuppgifter inhämtas, ge datan till honom eller honom ytterligare information som behövs för att säkerställa en rättvis och transparent bearbetning: (a) den period då personuppgifterna ska lagras, eller, om det inte är möjligt, de villkor som används för att fastställa den perioden. Reglera information
Artikel (15)(1)(e) Den registrerade har rätt att från kontrollanten bekräfta huruvida personuppgifter om honom eller henne bearbetas och, i sådana fall, åtkomst till personuppgifter och följande information: (e) det finns rätt att begära från kontrollanten för att radera eller radera personliga data eller begränsning av bearbetningen av personuppgifter om de data som är aktuella eller objekt för sådana data bearbetar Upptäcka och agera
LGPD Artikel 46 Bearbetande ombud ska vidta säkerhets-, tekniska och administrativa åtgärder som kan skydda personuppgifter mot obehörig åtkomst och oavsiktliga eller olagliga situationer av intrång, förlust, ändring, kommunikation eller någon typ av obehörig behandling. Skydda information
Reglera information
Upptäcka och agera
Artikel 48 Kontrollanten måste informera den nationella behörigheten och till den registrerade om ett säkerhetstillbud som kan skapa risk eller relevant skada för datapersonerna. Upptäcka och agera
HIPPA-HITECH 45 CFR 164.312(e)(1) Implementera tekniska säkerhetsåtgärder för att skydda mot obehörig åtkomst till elektronisk skyddad hälsoinformation som skickas via ett elektroniskt kommunikationsnätverk. Skydda information
45 C.F.R. 164,312(e)(2)(ii) Implementera en mekanism för att kryptera elektronisk skyddad hälsoinformation när det anses lämpligt. Skydda information
45 CFR 164.312(c)(2) Implementera elektroniska mekanismer för att bekräfta att elektronisk skyddad hälsoinformation inte har ändrats eller destruerats på ett obehörigt sätt. Reglera information
45 CFR 164.316(b)(1)(i) Om en åtgärd, aktivitet eller bedömning krävs av den här underdelen för att dokumenteras, ska du föra en skriftlig (som kan vara elektronisk) post för åtgärden, aktiviteten eller utvärderingen Reglera information
45 CFR 164.316(b)(1)(ii) Behåll den dokumentation som krävs enligt paragraf (b)(1) i det här avsnittet i sex år från datumet då den skapades eller det datum då den senast var i kraft, beroende på vilket som inträffar senare. Reglera information
45 C.F.R. 164,308(a)(1)(ii)(D) Implementera procedurer för att regelbundet granska poster för informationssystems aktivitet, till exempel granskningsloggar, åtkomstrapporter och rapporter om säkerhetsincidenter Upptäcka och agera
45 C.F.R. 164,308(a)(6)(ii) Identifiera och svara på misstänkta eller kända säkerhetsincidenter minimera, i den utsträckning som kan vara tillåtna, skadliga effekter av säkerhetstillbud som är kända för den täckta enheten eller affärsrelationen och dokumentera säkerhetstillbud och deras resultat. Upptäcka och agera
45 C.F.R. 164,312(b) Implementera maskinvara, programvara och procedurmekanismer som registrerar och undersöker aktivitet i informationssystem som innehåller eller använder elektronisk skyddad hälsoinformation. Upptäcka och agera
CCPA 1798.105(c) Ett företag som får en verifierbar begäran från en konsument om att radera användarens personliga information enligt indelningen (a) i detta avsnitt ska radera konsumentinformation från sina arkivhandlingar och dirigera alla tjänsteleverantörer till att radera konsumentinformation från sina arkivhandlingar Upptäcka och agera
1798.105(d) (undantag till 1798.105(c)
Ett företag eller en tjänsteleverantör har inte krav på sig att följa en konsument begäran om att radera konsumentinformation om det är nödvändigt för företaget eller tjänsteleverantören att upprätthålla konsumenters personliga information för att: (mer information finns i den aktuella lagstiftningen).		 Upptäcka och agera

Viktigt

Listan är inte uttömmande. Mer information om tillämpligheten i de citerade avsnitten i de angivna kategorierna för teknisk kontroll finns i Efterlevnadshanteraren eller den juridiska rådgivaren eller efterlevnadsrådgivaren.

Känna till dina data

Oavsett vilka bestämmelser du är beroende av, där olika användardatatyper inom och utanför organisationen interagerar med dina system, så är det viktiga faktorer som kan påverka din övergripande strategi för dataskydd, enligt bransch- och myndighetsföreskrifter som gäller för din organisation. Det omfattar var personliga data lagras, vilken typ av data det är och hur mycket av dem det finns och under vilka omständigheter de har samlats in.

Känna till dina data: Vilken typ av data är och hur mycket av dem det finns, och under vilka omständigheter de har samlats in.

Dataporterbarhet

Data flyttas också över tiden när de bearbetas, förfinas och andra versioner härleds från den. En första ögonblicksbild räcker aldrig. Det måste finnas en pågående process för att känna till dina data. Det representerar en av de största utmaningarna för stora organisationer som hanterar stora mängder personlig information. Organisationer som inte tar itu med problemet "känner till dina data" kan potentiellt hamna med mycket hög risk och eventuellt bot från regleringsföretag.

Datalivscykeln.

Var dina personliga data finns

För att ta itu med sekretessregler för data kan du inte förlita dig på allmänna frågor om var du tror att personuppgifter kan finnas, antingen nu eller i framtiden. Sekretessregler för data kräver att organisationer bevisar att de kontinuerligt vet var personuppgifter finns. Det här gör det viktigt att ta en första ögonblicksbild av alla dina datakällor för möjlig lagring av personlig information, inklusive din Microsoft 365-miljö, och skapa mekanismer för kontinuerlig övervakning och identifiering.

Använd följande 3-stegsram för att komma igång om du inte redan har gjort en bedömning av din övergripande beredskap och risker som är kopplade till bestämmelser om datasekretess.

Steg för att bedöma den övergripande beredskapen och riskerna med datasekretessbestämmelser.

Anteckning

Denna artikel och dess innehåll är inte avsedda att i stället för juridiska rådgivningstjänster. Den innehåller bara några grundläggande vägledning och länkar till verktyg som kan vara till hjälp i de tidiga stegen av utvärderingen.

Steg 1: Utveckla en grundförståelse av organisationens personliga datascenarier

Du måste mäta exponering av datasekretessrisker baserat på vilken typ av personuppgifter den hanterar för närvarande, var den lagras, vilka skyddskontroller som sätts på den, hur livscykeln hanteras och vem som har åtkomst till den.

Som en utgångspunkt är det viktigt att inventera vilka typer av personlig information som finns i din Microsoft 365 miljö. Använd följande kategorier:

  • Data om anställda som krävs för att utföra dagliga affärsfunktioner
  • Data som organisationen har om sina företagskunder, partner och andra relationer i scenariot B2B (företag till företag)
  • Data som organisationen har om konsumenter som tillhandahåller information till onlinetjänster som organisationen hanterar i scenariot företag till kund (B2C)

Här är ett exempel på de olika typerna av data för typiska avdelningar i en organisation.

Typer av personlig information.

En stor del av den personliga information som omfattas av sekretesskydd för data samlas vanligtvis in och lagras utanför Microsoft 365. All personlig information från webbprogram eller mobila program som tillhör konsumenter måste ha exporterats från sådana program till Microsoft 365 för att kunna bli granskad av datasekretess inom Microsoft 365.

Exponering av datasekretess i Microsoft 365 kan vara mer begränsad i förhållande till dina webbprogram och CRM-system, vilket inte åtgärdas av den här lösningen.

Det är också viktigt att tänka på följande vanliga utmaningar med datasekretessefterlevnad när du utvärderar din riskprofil:

  • Distribution av personliga data. Hur utspritt är information om ett visst ämne? Är det känt att det är tillräckligt bra för att övertyga reglerande myndigheter att det finns rätt kontroller? Kan den undersökas och åtgärdas vid behov?
  • Skyddar mot exfiltrering. Hur skyddar du personliga data av en viss typ eller källa från att komprometteras och hur du svarar om de var det?
  • Skydd kontra risk. Vilka informationsskyddsmetoder är lämpliga i förhållande till risken och hur du bevarar affärskontinuiteten och produktiviteten och minimerar påverkan från slutanvändarna om det krävs åtgärder från slutanvändaren? Ska till exempel manuell klassificering eller kryptering användas?
  • Lagring av personliga data. Hur länge måste information som innehåller personuppgifter sparas av giltiga affärsorsaker och hur du kan undvika en tidigare metod för evigheter, balanserad med bevarandebehov för affärskontinualitet?
  • Hantera förfrågningar från dataförfrågningar. Vilka mekanismer kommer att behövas för att hantera DSR-begäranden (Data Subject Requests) och alla åtgärder, till exempel anonymisering, redaion och borttagning?
  • Löpande övervakning och rapportering. Vilken typ av teknik för dagliga övervakning, tidpunkter och rapportering är tillgängliga för olika datatyper och källor?
  • Begränsningar i databearbetningen. Finns det begränsningar för dataanvändning för information som samlas in eller lagras med de här metoderna som organisationen måste återspegla i sekretesskontroller? Till exempel kan åtaganden som personliga data inte kommer att användas av säljpersonal kräva att organisationen använder mekanismer för att förhindra överföring eller lagring av informationen i system som är associerade med säljorganisationen.

Data om anställda som krävs för att utföra dagliga affärsfunktioner

Organisationer måste samla in data om anställda i elektronisk identitet och personalsyfte, enligt vad de samtycker till i sina anställningsavtal. Så länge en person arbetar på ett företag är detta vanligtvis inte ett problem. Organisationen kan vilja införa mekanismer för att förhindra att skadliga aktör exfiltrerar eller läcker personaldata.

Om en person lämnar ett företag har organisationer vanligtvis processer, procedurer och scheman för bevarande och borttagning för att ta bort användarkonton, inaktivera postlådor och personliga enheter och ändra status för anställda i till exempel personalsystem. I situationer där rättstvist ingår kan en anställd eller en annan part i en juridisk undersökning ha giltiga skäl till att skaffa information om personuppgifter som lagras i organisationens system. Under vissa tillfällen kan parten begära att sådana data tas bort eller anonymiseras.

För att tillgodose sådana behov bör organisationer ha processer och procedurer som tillgodoser preventativa, administrativa och korrigerande behov för att underlätta sådana förfrågningar, och se till att viss information om en anställd rimligen kan anses vara viktig för affärskontinuering. Till exempel information som en enskild person har redigerat en fil eller utfört en funktion.

Anteckning

Information om tekniker för att åtgärda personliga data i Microsoft 365 finns i artikeln om att övervaka och åtgärda. Du kanske även vill använda automatiska klassificerings- och skyddsscheman för att se till att personuppgifter kontrolleras medan de finns i organisationen, samt förhindra att de lämnar organisationen i skadliga aktörssituationer. Mer information finns i artikeln om att skydda information.

Data som organisationen har om sina företagskunder i B2B-scenariot

Insamling av B2B-information är också en utmaning eftersom din organisation kan behöva föra register över kundnamn och transaktioner i sina olika system för affärskontinuktion och ändå skydda informationen från oavsiktlig eller skadlig exfiltrering. Liksom med anställdas data måste organisationer ha principer, procedurer och tekniska kontroller för att skydda sådana data och ålderskontroller i enlighet med definierade scheman för bevarande och borttagning.

Vanligtvis har avtal med externa kunder, partner och andra enheter som organisationen gör affärer med språk för hantering av sådana data, inklusive skydd, lagring och borttagning både under och efter att entitet har en relation med organisationen.

Data som organisationen har om konsumenter som tillhandahåller information till onlinetjänster som organisationen hanterar i B2C-scenariot

Den här kategorin är den som många tänker på när det gäller datasekretess, på grund av många offentliga förekomster av läckage av kunddata. Detta kan vara avsiktligt, till exempel en tredje part som omfattas av kontrakt till leverantören, eller oavsiktlig, till exempel exfiltrering av en illvillig aktör. Konsumentdataskydd är en av de primära anledningarna till att EU och andra har antagit dessa bestämmelser. Sekretessregler som GDPR och CCPA kräver att du planerar för:

Om organisationen inte använder så mycket insamling direkt från konsumentdata kan den här kategorin vara mindre av ett problem. Du kan dock fortfarande behöva gå igenom processerna som beskrivs i dessa artiklar för att uppnå efterlevnad.

Steg 1-sammanfattning

Att förstå exponeringen mot risk- och datasekretess är ett viktigt första steg, baserat på en grundläggande förståelse av organisationens personliga datascenarier.

Om du inte har personuppgifter från konsumenter i din Microsoft 365-miljö eller om den begränsas till vissa delar av miljön och det finns en teknisk kontroll där det står att det finns exponering av data av konsumenttyp, kanske den tekniska kontrollen bara behöver användas i delar av miljön med hög risk, inte överallt.

Även om en rekommendation för en extern organisation eller standardkontrolluppsättning, till exempel från Efterlevnadshanteraren i Microsoft 365, kan hjälpa dig att informera om din kontrollstrategi, bör ditt val av implementering drivs av information om datainventeringen för att mäta den verkliga risken.

De flesta organisationer kommer att ha en viss exponering för någon av ovanstående scenarier. Det är viktigt att ta en metod där det är viktigt att ha en metod att bedöma.

Steg 2: Utvärdera din beredskap att följa sekretessregler för data

Även om det är specifikt för GDPR, så är frågorna som det kostnadsfria Microsoft GDPR-utvärderingsverktyget ger en bra början på att förstå din övergripande beredskap med datasekretess.

Organisationer som omfattas av andra bestämmelser om datasekretess, till exempel CCPA i USA eller Brasiliens LGPD, kan också dra nytta av det här verktygets lager av beredskap på grund av överlappande bestämmelser med GDPR.

GDPR-utvärdering består av följande avsnitt:

Avsnitt Beskrivning
Styrning
  1. Anger din sekretesspolicy uttryckligen vilken datainformation som bearbetas?
  2. Kör du regelbundet bedömningar av sekretesseffekter (PIAs)?
  3. Använder du ett verktyg för att hantera personlig information (PI)?
  4. Har du juridisk behörighet att göra affärer med PI-data för en enskild person? Spårar du medgivande för data?
  5. Spårar, implementerar och hanterar du granskningskontroller? Övervakar du när data läcker ut?
Borttagning och avisering
  1. Ger du explicita instruktioner om hur användarnas data kan nås?
  2. Har du dokumenterat processer för hantering av avanmälning av medgivande?
  3. Har du en automatiserad borttagningsprocess för data?
  4. Har du en process för att verifiera identitet när du kontaktar en kund?
Minskning av risker och informationssäkerhet
  1. Använder du verktyg för att söka igenom ostrukturerade data?
  2. Är alla servrar uppdaterade och använder du brandväggar för att skydda dem?
  3. Säkerhetskopierar du servrarna regelbundet?
  4. Övervakar du aktivt för att se om data läcker ut?
  5. Krypterar du data vilan och vid överföring?
Principhantering
  1. Hur hanterar du dina bindningsregler (BCR-regler)?
  2. Spårar du medgivande för data?
  3. Omfattar kontrakten dataklassificering och hanteringskrav från 1 till 5 och 5 är helt övertäckta?
  4. Har du och regelbundet testar en svarsplan för incidenter?
  5. Vilken princip använder du för att hantera åtkomst?

Steg 3: Identifiera typer av känslig information som förekommer i Microsoft 365 miljö

Det här steget omfattar identifiering av särskilda typer av känslig information som omfattas av särskilda regler och förekomst av dem i din Microsoft 365 miljö.

Att hitta innehåll i din miljö som innehåller personligt kan vara en överväldigande uppgift, tidigare med en kombination av att använda efterlevnadssökning, eDiscovery, Advanced eDiscovery, DLP och granskning.

Med den nya lösningen för dataklassificering i administrationscentret för Microsoft-efterlevnad har det blivit mycket enklare med funktionen Innehållsutforskaren, som fungerar med inbyggda eller anpassade typer av känslig information, inklusive sådana som rör personuppgifter.

Typer av känslig information

Administrationscentret för Microsofts efterlevnad är förinstallerat med över 100 typer av känslig information och de flesta är relaterade till att identifiera och hitta personuppgifter. Dessa inbyggda typer av känslig information kan hjälpa till att identifiera och skydda kreditkortsnummer, bankkontonummer, passnummer med mera, baserat på mönster som definieras av ett reguljärt uttryck (regex) eller en funktion. Mer information finns i Vad typer av känslig information letar efter.

Om du behöver identifiera och skydda en organisationsspecifik eller regional typ av känsliga objekt, till exempel ett anpassat format för anställnings-ID eller annan personlig information som inte redan omfattas av en inbyggd typ av känslig information, kan du skapa en anpassad typ av känslig information med följande metoder:

Du kan också anpassa en befintlig, inbyggd typ av känslig information.

Mer information finns i följande artiklar:

Innehållsutforskaren

Ett viktigt verktyg för att fastställa förekomsten av känsliga objekt i din miljö är den nya Innehållsutforskaren i administrationscentret för Microsoft 365 efterlevnad. Det är ett automatiskt verktyg för första och pågående genomsökning av hela Microsoft 365-prenumerationen för förekomst av typer av känslig information och visning av resultaten.

Med det nya verktyget Innehållsutforskaren kan du snabbt identifiera platser för känsliga objekt i din miljö med hjälp av inbyggda typer av känslig information eller anpassade. Det kan innebära att upprätta en process och tilldelad ansvar att regelbundet undersöka närvaro och plats för känsliga objekt.

Tillsammans med de andra stegen som beskrivs i den här artikeln utgör detta en utgångspunkt för att identifiera den totala risken exponering, beredskap och plats för känsliga objekt som ska skyddas genom planerad Microsoft 365 konfiguration och övervakning.

Andra metoder för att identifiera personuppgifter i din miljö

Förutom Innehållsutforskaren har organisationer tillgång till funktionen Innehållssökning för att skapa anpassade sökningar för att hitta personliga data i miljön, med hjälp av avancerade sökvillkor och anpassade filter.

Detaljerade instruktioner om hur du använder innehållssökning för identifiering av personuppgifter finns i den här artikeln. Innehållssökning och andra identifieringstekniker utforskas också i DSR för GDPR och CCPA.

Ytterligare insikter om undersöknings- och åtgärdsteknik för personuppgifter i Microsoft 365 finns i artikeln om övervakning och svar.

Anteckning

Information om hur du hittar känslig information i filer som lagras lokalt finns i Azure Information Protection.