Microsoft 365 GDPR 行動計畫 — 前 30 天、90 天及過後的首要工作

本文包含當您工作以符合一般資料保護規定 (GDPR) 需求時可以遵循的優先行動計畫。這個行動計畫是與 Protiviti (這是一家致力於法規合規性的 Microsoft 合作夥伴) 共同開發。

GDPR 引入新的規則,供向歐盟 (EU) 人員提供產品及服務,或收集和分析繫結至歐盟居民資料的公司、政府機構、非營利組織及其他組織遵循。無論您或您的企業位於何處,都適用 GDPR。

行動計畫結果

這些建議橫跨有邏輯順序的三個階段,具有下列結果:

階段 結果
30 天 了解您的 GDPR 需求,並且考慮與 Microsoft GDPR 諮詢合作夥伴配合。
* 評定您的整備,並且取得後續步驟的建議。
* 與 Microsoft GDPR 諮詢合作夥伴合作,以建立回應資料主體要求 (DSR) 的內部指導方針,針對貴組織執行 GDPR 合規性差距分析,並且建立合規性的藍圖。

開始探索您儲存的個人資料類型及其所在位置,以符合 DSR。
* 使用安全性與合規性中心的內容搜尋和 eDiscovery,探索整個組織的個人資料。
* 使用大量內容時,請使用進階電子文件探索 (這個功能是由機器學習技術提供動力),以執行更有效率和更準確的內容搜尋。
90 天 開始使用 Microsoft 365 資料控管和合規性功能,實作合規性需求。
* 使用 Microsoft 合規性管理員評定並管理您的合規性風險。
* 協助使用者識別及分類個人資料,如同 GDPR 所定義。

使用 Microsoft 365 的安全性功能來防止資料外洩,並為個人資料實作保護。
* 保護系統管理員和使用者帳戶。
* 防範惡意程式碼,並實作資料外洩防護及回應。
* 使用稽核記錄以監視潛在的惡意活動,並啟用資料外洩的鑑識調查分析。
* 使用資料外洩防護 (DLP) 原則,以識別及保護敏感性資料。
* 防範最常見的攻擊,包括網路釣魚電子郵件和包含惡意連結和附件的 Office 文件。
超過 90 天 使用 Microsoft 365 進階資料控管工具和資訊保護,以實作個人資料的持續控管方案。
* 自動識別文件和電子郵件中的個人資訊。
* 保護整個組織儲存在裝置上的個人資料,並且確保使用符合公司規範的裝置來存取敏感性資料。
* 確保根據公司原則來儲存及存取機密個人資訊。
* 實作資料保留原則,協助確保僅視需要的時間保留個人資料。

監視整個 Microsoft 365 和其他雲端應用程式持續合規性。考慮解決 EU 個人資料的資料落地需求。
* 監視貴組織的雲端應用程式使用方式,並且實作進階警示原則。
* 以單一全域組織形式解決資料落地需求。

30 天 - 強力快速致勝

這些工作既快速且功能強大,並且對使用者的影響很低。

適用範圍 工作
了解您的 GDPR 需求,並且考慮與 Microsoft GDPR 諮詢合作夥伴配合。 * 使用 Microsoft 365 合規性中心Microsoft 合規性管理員評定並管理您的合規性風險,進行貴組織的 GDPR 評定。
* 與您的 Microsoft GDPR 諮詢合作夥伴合作,以建立回應資料主體要求 (DSR) 及從 DSR 排除的內部指導方針。
* 與您的 Microsoft GDPR 諮詢合作夥伴合作,為貴組織執行 GDPR 合規性的差距分析,並且發展規劃您的 GDPR 合規性旅程的藍圖。
* 深入了解如何使用 Microsoft 365 合規性中心的 GDPR 儀表板和資料主體要求功能 (部分機器翻譯)。
開始探索您儲存的個人資料類型及其所在位置,以符合 DSR。 * 使用內容搜尋電子文件探索案例,輕易地跨信箱、公用資料夾、Microsoft 365 群組、Microsoft Teams、SharePoint Online 網站、商務用 One Drive 網站及商務用 Skype 交談進行搜尋。了解如何使用敏感性資訊類型,以尋找歐盟公民的個人資料
* 使用大量內容時,以進階電子文件探索 快速地識別與特定主體 (例如合規性調查) 相關的文件,這項功能採用機器學習技術,相較於傳統關鍵字搜尋,具有更佳的準確度。
* 使用安全性與合規性中心,預覽搜尋結果、取得一或多個搜尋的關鍵字統計資料、大量編輯內容搜尋並從安全性&合規性中心匯出結果

90 天 — 增強的合規性

這些工作需要多一點時間來規劃及實作,但可提升整體 GDPR 合規性成果。

適用範圍 工作
開始使用 Microsoft 365 資料控管和合規性功能,實作合規性需求。 * 使用 Microsoft 365 合規性中心中的 Microsoft 合規性管理員,管理您的 GDPR 合規性。
* 協助使用者識別及分類個人資料,如同 GDPR 所定義,方法是對 Exchange 電子郵件、SharePoint 網站、商務用 OneDrive 網站及 Microsoft 365 群組使用分類結構描述以及相關聯的 Office 365 標籤。請參閱 GDPR 的資訊保護
使用 Microsoft 365 的安全性功能來防止資料外洩,並為個人資料實作保護。 * 藉由針對所有使用者帳戶啟用多重要素驗證,以及針對所有應用程式啟用新式驗證以在 Microsoft Cloud 中改善系統管理員和使用者的驗證。如需建議的原則組態,請參閱身分識別和裝置存取組態
* 將 Microsoft Defender 進階威脅防護部署至所有桌上型電腦以防範惡意程式碼、資料外洩防護和回應。
* 針對所有 Exchange 信箱啟用稽核記錄 (部分機器翻譯) 和信箱稽核 (部分機器翻譯),以監視潛在的惡意活動,並啟用資料外洩的鑑識調查分析。
* 設定、測試及部署資料外洩防護 (DLP) 原則 (部分機器翻譯),以在文件和電子郵件內識別、監視及自動保護 超過 80 個常見的敏感性資料類型,包括財務、醫療及個人識別資訊。
* 實作Office 365 安全性解決方案,協助防範最常見的攻擊,包括網路釣魚電子郵件和包含惡意連結和附件的 Office 文件。

超過 90 天 — 持續隱私權、資料控管和報告

這些是以上述工作為基礎建置的隱私權措施。

適用範圍 工作
使用 Microsoft 365 進階資料控管工具和資訊保護,以實作個人資料的持續控管方案。 * 使用敏感度標籤來識別文件和電子郵件中的個人資訊。
* 藉由部署 Microsoft Intune,保護儲存在整個組織裝置上的個人資料。
• 實作 AAD 條件式存取與 Microsoft Intune,以確保根據公司原則儲存及存取敏感性個人資訊。如需建議的原則設定,請參閱身分識別與裝置存取設定
* 使用敏感度、Microsoft 資訊控管,以及保留原則來實作資料保留原則,以視管轄地需要的時間保留個人資料。
監視整個 Microsoft 365 和其他雲端應用程式持續合規性。考慮解決 EU 個人資料的資料落地需求。 * 使用資料外洩防護報告Microsoft 雲端 App 安全性,以監視雲端應用程式的使用方式,並且根據啟發學習法和使用者活動實作進階警示原則。
* 解決組織、區域和當地資料落地需求,同時設定為單一全域組織,方法是使用適用於 Exchange Online 信箱商務用 OneDrive 網站和 SharePoint Online 網站的 Microsoft 多地理位置功能。

深入了解