隐私风险管理中的数据过度暴露策略

你的组织可以在不同访问级别存储内容,包括可公开访问的区域和其他受限区域。 数据过度暴露策略可帮助你检测和处理组织存储的数据不够安全的情况。 例如,如果对内部网站的访问权限对太多人开放,或者未维护您的权限设置,则存储在该站点上的个人数据可能容易受到泄露。 数据过度暴露策略可以评估数据是否存在这些风险,并提醒你注意潜在问题。

检测到策略匹配项后,可以向用户发送包含修正选项电子邮件通知以解决问题。 对于数据过度暴露,这些包括将内容项设置为私有、通知内容所有者或标记项目以供进一步查看。

我们的策略设置过程可以轻松设置策略条件。 你可以完全控制提醒时间和电子邮件的频率,这些电子邮件可让用户注意安全数据处理做法。

有两种方法可以创建策略:从 模板创建策略,即使用默认设置的快速“现成”选项;或 自定义 选项,这是设置条件、警报和通知的引导式过程。

快速设置:使用具有默认设置的模板

默认数据过度暴露策略评估所有三个访问级别的个人数据:公共、外部和内部。

按照以下步骤创建默认数据传输策略:

  1. Microsoft Purview 合规门户,在左侧导航中找到Priva 隐私风险管理,然后选择“策略”。

  2. 选择屏幕右上角的“ 创建策略 ”,此时会显示一个浮出控件窗格,其中列出了所有策略创建选项。

  3. “数据过度暴露 ”框中,选择“ 创建”。

  4. 浮出控件窗格包含策略详细信息。 选择“ 查看设置” 将显示默认设置。 可以从此处编辑设置,这会引导你进入下面概述的引导过程。 若要继续使用默认设置创建策略,只需输入描述性名称,然后选择“ 创建策略”。

策略将创建,并会在 “策略 ”页面上列出。 它以 测试模式 开始,因此你可以在将其打开之前监视其执行方式。

默认数据过度暴露策略设置

从模板创建的数据过度暴露策略将检测:

  • 当用户提供对包含存储在组织的 OneDrive 或 SharePoint 中的个人数据的项目的过度广泛访问权限时。 例如,该策略将通过以下方式检测个人数据的共享:
    • 通过公众中任何人都可以访问的链接
    • 通过链接或因为允许组织中的每个人访问的权限
    • 向外部用户或来宾授予对 OneDrive 或 SharePoint 文件的访问权限
  • 基于以下 分类组的数据类型:
    • 欧盟一般数据保护条例 (GDPR)
    • 美国个人身份信息
    • 美国爱国者法案
    • 美国州违反通知法
    • 美国格拉姆-利奇-布莱利法案 (GLBA)
    • 美国健康保险可移植性和责任法案 (HIPAA)
    • 澳大利亚健康记录法 (HRIP)
    • 澳大利亚隐私法
    • 日本个人身份信息
    • 日本个人信息保护

自定义设置:引导式策略创建过程

自定义策略选项是一个引导式过程,通过设置条件、指定警报严重性和频率以及打开用户电子邮件通知来创建新策略。

完成以下步骤以创建新的数据过度暴露策略:

  1. Microsoft Purview 合规门户,在左侧导航中找到Priva 隐私风险管理,然后选择“策略”。

  2. 选择屏幕右上角的“ 创建策略 ”按钮,其中会显示一个浮出控件窗格,其中列出了所有策略创建选项。

  3. “自定义 ”框中,选择“ 创建”。

  4. “名称和类型 ”页上,选择“ 数据过度曝光 ”策略模板。 在“策略”页上输入有助于轻松识别其列表中的 策略 名称,并输入可选说明,然后选择“ 下一步”。

  5. “要监视的数据 ”页上,选择策略要监视的个人数据的类型。 有两个选项:

    • 分类组:用于检测与个人数据或特定法规相关的内容的敏感信息类型的分组。 如果选择此选项,则需要选择“ +添加分类组 ”,从提供的列表中选择一个或多个组。
    • 单个敏感信息类型:选择此选项可从单个 敏感信息类型的列表中选择。

    详细了解如何 选择要监视的数据。 选择要监视的数据后,选择“ 下一步”。

  6. “用户和组 ”页上,选择要应用策略的组织中的哪些用户。 可以选择所有单个用户和所有Office 365通讯组,也可以选择特定的用户和组。 详细了解 如何选择用户和组。 完成后,选择“ 下一步”。

  7. 在“ 位置 ”页上,选择希望策略涵盖的 Microsoft 365 中的所有数据位置。 从 OneDrive 帐户和 SharePoint 网站中进行选择。

    在 SharePoint 中,可以指定所有网站或特定网站。 如果选择“ 特定 SharePoint 网站”,则可以在“URL”字段中输入网站 URL。 还可以选择“+选择网站”,然后在浮出控件窗格中,检查要选择的网站名称左侧的框。

    详细了解 如何选择位置。 选择完位置后,选择“ 下一步”。

  8. 在“ 条件 ”页上,选择策略将检测的数据类型过度暴露条件:

    • 公共:具有链接的任何人都可以访问内容。
    • 外部:组织外部的特定人员具有访问权限。
    • 内部:组织中的所有用户都具有访问权限。

    选择多个访问级别将扩大数据范围,并可能产生大量警报和用户通知。

    将检查放在选择旁边的框中,然后选择“下一步”。

  9. “结果 ”页上,决定是否在用户与策略设置的条件匹配时通知用户。 如果检查“电子邮件通知”框,当用户的操作与策略条件匹配时,用户将收到电子邮件通知。 电子邮件将包含直接从电子邮件执行修正操作的说明,以及隐私培训的链接。 你将指定电子邮件的频率和首选隐私培训的 URL。

    详细了解如何设置 用户通知。 完成选择结果后,选择“ 下一步”。

  10. “警报”页上,使用切换开关打开管理员将在隐私风险管理的“策略”部分的“警报”页上看到的警报。 你将指定生成警报的频率、生成警报之前的匹配阈值以及警报严重性。 详细了解 如何为策略匹配设置警报。 完成后,选择“ 下一步”。

  11. 在“ 模式 ”页上,选择要将策略置于哪个模式: 先测试策略立即将其打开。 在测试模式下,不会发送任何警报或通知。 详细了解建议以及 测试策略时要分析的内容。 完成后,选择“ 下一步”。

  12. “完成” 页上,查看你的选择。 选择任意部分下方的 “编辑 ”以调整设置。 如果对策略的设置感到满意,请选择“ 提交 ”以创建策略。

几秒钟后,你将看到已创建策略的确认信息。 在确认页上选择“ 完成 ”,这会将你带到 “策略 ”页,你将在表格顶部看到新策略。

后续步骤

有关如何编辑和管理策略的详细信息,请访问 隐私风险管理策略

Microsoft Priva法律免责声明