План обеспечения соответствия GDPR для Microsoft 365: основные приоритеты на первые 30, 90 и больше дней
В этой статье содержится план приоритетных действий, который можно следовать при выполнении требований Общего регламента по защите данных (GDPR). Этот план действий был разработан в сотрудничестве с Protiviti, партнером Майкрософт, специализирующимся на соблюдении нормативных требований.
GDPR ввел новые правила для компаний, государственных учреждений, некоммерческих организаций и других организаций, которые предлагают товары и услуги людям в Европейском союзе (ЕС) или которые собирают и анализируют данные для жителей ЕС. GDPR применяется независимо от того, где находятся вы или ваше предприятие.
Результаты выполнения плана действий
Эти рекомендации разделены в соответствии с тремя этапами в логической последовательности, результаты выполнения каждого из них указаны ниже.
| Этап | Результаты |
|---|---|
| 30 дней |
Ознакомьтесь с требованиями GDPR и рассмотрите возможность обращения к партнеру Майкрософт по консультациям касательно GDPR. * Оцените свою готовность и получите рекомендации по дальнейшим действиям. * В сотрудничестве с партнером Майкрософт по консультациям касательно GDPR установите внутренние правила реагирования на запросы субъектов данных (DSR), проанализируйте недочеты в соответствии вашей организации требованиям GDPR и определите план обеспечения соответствия. Начните определять типы хранящихся у вас персональных данных и их расположение, чтобы выполнять запросы субъектов данных. * Используйте средство "Поиск контента" и обнаружение электронных данных в центрах безопасности и соответствия требованиям, чтобы находить в организации персональные данные. * При работе с большим количеством содержимого используйте Microsoft Purview eDiscovery (Премиум) на основе технологий машинного обучения, чтобы выполнять более эффективный и точный поиск контента. |
| 90 дней |
Начните внедрять нормативные требования с помощью включенных в Microsoft 365 возможностей управления данными и обеспечения соответствия. * Оценка рисков соответствия требованиям и управление ими с помощью Диспетчера соответствия требованиям Microsoft Purview. * Помогите пользователям выявлять и классифицировать персональные данные, соответствующие определениям из GDPR. Используйте возможности защиты в Microsoft 365, чтобы предотвратить нарушения безопасности и реализовать защиту персональных данных. * Защитите учетные записи администраторов и пользователей. * Защититесь от вредоносного кода, предотвращайте нарушения безопасности данных и реализуйте средства защиты от них. * Ведите журнал аудита, чтобы выявлять потенциально опасные действия и проводить экспертный анализ нарушений безопасности данных. * Используйте политики защиты от потери данных (DLP) для идентификации и защиты конфиденциальных данных. * Защититесь от наиболее распространенных видов атак, в том числе фишинговых писем и документов Office, содержащих вредоносные ссылки и вложения. |
| Более 90 дней |
Используйте расширенные средства управления данными и их защиты в Microsoft 365, чтобы реализовать программы непрерывного управления персональными данными. * Автоматически выявляйте персональные данные в документах и электронных письмах. * Защитите персональные данные на всех устройствах в организации и обеспечьте использование соответствующих корпоративных устройств для доступа к конфиденциальным данным. * Обеспечьте хранение и использование конфиденциальных персональных данных в соответствии с корпоративными политиками. * Реализуйте политики хранения данных, чтобы гарантировать, что персональные данные хранятся только до тех пор, пока это необходимо. Постоянно контролируйте соответствие требованиям в Microsoft 365 и других облачных приложениях. Рассмотрите возможность удовлетворения требований к размещению данных для персональных данных ЕС. * Отслеживайте использование облачных приложений и реализуйте расширенные политики оповещения в своей организации. * Учитывайте требования к месту расположения данных для единой международной организации. |
30 дней — мощные быстрые победы
Это быстрые и эффективные задачи, которые почти не влияют на пользователей.
| Область | Tasks |
|---|---|
| Ознакомьтесь с требованиями GDPR и рассмотрите возможность обращения к партнеру Майкрософт по консультациям касательно GDPR. | * Оценка рисков соответствия требованиям и управление ими с помощью Microsoft Purview Compliance Manager в Портал соответствия требованиям Microsoft Purview для проведения оценки GDPR вашей организации. * В сотрудничестве с вашим партнером Майкрософт по консультациям касательно GDPR установите внутренние правила реагирования на запросы субъектов данных (DSR) и исключения из DSR. * В сотрудничестве с вашим партнером Майкрософт по консультациям касательно GDPR проанализируйте недочеты соответствия требованиям GDPR в вашей организации и составьте план обеспечения полного соблюдения GDPR. * Узнайте, как использовать панель мониторинга GDPR и возможность запроса субъекта данных в Портал соответствия требованиям Microsoft Purview. |
| Начните определять типы хранящихся у вас персональных данных и их расположение, чтобы выполнять запросы субъектов данных. | * Используйте варианты Поиск содержимого и обнаружения электронных данных (стандартный), чтобы легко выполнять поиск по почтовым ящикам, общедоступным папкам, Группы Microsoft 365, Microsoft Teams, сайтам SharePoint, сайтам One Drive for Business и Skype для бизнеса беседам. Узнайте, как использовать типы конфиденциальной информации для поиска персональных данных граждан ЕС. * При работе с большим количеством содержимого быстро и с большей точностью выявляйте документы, относящиеся к определенной теме (например, исследование соответствия требованиям), чем традиционные ключевое слово выполняет поиск с помощью Microsoft Purview eDiscovery (Премиум) на основе технологий машинного обучения. * Предварительный просмотр результатов поиска, получение ключевое слово статистики для одного или нескольких поисковых запросов, массовое изменение контента и экспорт результатов с помощью Центра соответствия требованиям безопасности &. |
90 дней — расширенное соответствие требованиям
Планирование и реализация этих задач занимают немного больше времени, но могут повысит общую эффективность ваших усилий по соответствию требованиям GDPR.
| Область | Tasks |
|---|---|
| Начните внедрять нормативные требования с помощью включенных в Microsoft 365 возможностей управления данными и обеспечения соответствия. | * Управление соответствием GDPR с помощью Диспетчера соответствия требованиям Microsoft Purview в Портал соответствия требованиям Microsoft Purview. * Помогите пользователям идентифицировать и классифицировать персональные данные, как определено в GDPR, с помощью схемы классификации и связанных Office 365 меток для электронной почты Exchange, сайтов SharePoint, OneDrive для рабочих и учебных сайтов и Группы Microsoft 365. См . статью Развертывание защиты информации для правил конфиденциальности данных с помощью Microsoft 365. |
| Используйте возможности защиты в Microsoft 365, чтобы предотвратить нарушения безопасности и реализовать защиту персональных данных. | * Усовершенствуйте проверку подлинности администраторов и пользователей в Microsoft Cloud, включив многофакторную проверку подлинности для всех учетных записей пользователей и современную проверку подлинности для всех приложений. Рекомендуемая конфигурация политик представлена в статье Конфигурации доступа для удостоверений и устройств. * Разверните Microsoft Defender для конечной точки на всех настольных компьютерах, чтобы обеспечить защиту от вредоносного кода, предотвращать нарушения безопасности данных и реагировать на них. * Включите ведение журнала аудита и аудит почтовых ящиков для всех почтовых ящиков Exchange, чтобы выявлять потенциально опасную деятельность и проводить экспертный анализ нарушений безопасности данных. * Настройте, протестируйте и разверните политики защиты от потери данных (DLP), чтобы выявлять, отслеживать и автоматически защищать конфиденциальные данные более чем 80 распространенных типов в документах и электронных письмах, в том числе финансовые, медицинские и личные сведения. * Внедрите решения Безопасности Office 365, чтобы защититься от наиболее распространенных векторов атаки, в том числе фишинговых писем и документов Office, содержащих вредоносные ссылки и вложения. |
Более 90 дней — непрерывная конфиденциальность, управление данными и создание отчетов
Это важные меры обеспечения конфиденциальности, основанные на предыдущих наработках.
| Область | Tasks |
|---|---|
| Используйте расширенные средства управления данными и их защиты в Microsoft 365, чтобы реализовать программы непрерывного управления персональными данными. | * Используйте метки конфиденциальности, чтобы выявлять персональные данные в документах и электронных письмах. * Защитите персональные данные на всех устройствах в организации, развернув Microsoft Intune. * Реализуйте политики условного доступа AAD с Microsoft Intune, чтобы обеспечить хранение конфиденциальных персональных данных и доступ к ним в соответствии с корпоративными политиками. Рекомендуемая конфигурация политик представлена в статье Конфигурации доступа для удостоверений и устройств. * Реализуйте политики хранения данных с метками конфиденциальности, Управление жизненным циклом данных Microsoft Purview и политиками хранения, чтобы хранить персональные данные до тех пор, пока это необходимо в вашей юрисдикции. |
| Постоянно контролируйте соответствие требованиям в Microsoft 365 и других облачных приложениях. Рассмотрите возможность удовлетворения требований к размещению данных для персональных данных ЕС. |