一般資料保護規定 (GDPR)
針對 Microsoft 環境簡化的 GDPR 法規遵循
一般資料保護規範 (GDPR) 自 2018 年 5 月 25 日起生效,將要求各個組織強化資料保護和安全措施,以保護歐盟公民的個人可識別資訊 (PII)。 具體來說,組織應確保只有擁有 PII 存取權的人員才能存取 PII, 並應採取合理措施,以保護資料不致遭到未經授權的存取,同時證明存取者的責任。
GDPR 將影響所有的組織,包括各個產業和地區;甚至包括在歐盟地區外收集與儲存歐盟公民個人資訊的組織。 GDPR 也對各個組織帶來重大的挑戰,包括:
- 持續符合法規遵循與稽核的需求:組織必須能夠隨時展現其法規遵循。
- 強制性資料外洩通知:組織應於資料外洩 72 小時內通知當地資料保護機關 (DPA) 和所有受影響客戶,否則須承擔鉅額罰鍰和聲譽受損的風險。
如何做好 GDPR 法規遵循的準備
能力
為了避免在 GDPR 生效後成為第一個受罰對象,現在就可以開始未雨綢繆,改善您的安全態勢並強化整個內部部署、雲端及混合式 Microsoft 環境的資料保護安全措施。 如此一來,您就可以達成並維持 GDPR 法規遵循,以及避免鉅額罰鍰和聲譽受損。 透過 Quest 解決方案,您將能持續評估、監控及控管您的環境,以便維持更高的生產效益、更安全的環境,同時符合 GDPR 的規範。
探索與評估
瞭解誰能存取可能存在於整個 Windows 檔案伺服器、NAS 裝置、SQL 伺服器、Office 365、Active Directory (AD) 等環境中非結構化的個人資料。 透過評估與報告現有的安全性原則、系統組態設定及優先存取權,識別不具適當存取權的使用者,以降低資料外洩的風險。 評估重要 IT 資產的目前狀態,例如使用者、電腦與群組資訊、直接與巢狀群組成員資格、OU 與檔案/資料夾權限、擁有權等等,確保僅有正確的人員可存取這些資產。
監控
透過對整個 Windows 檔案伺服器、NAS 裝置、SQL 伺服器、Office 365、AD 等環境的所有重要組態、使用者和管理員變更,進行即時的稽核、深度鑑識和全面性安全監控,來簡化 GDPR 法規遵循報告,並降低個人資料外洩的風險。 偵測可疑的活動或任何未經授權存取含有個人資料之檔案或系統的行為,並迅速判定哪些人員執行哪些變更,以及執行變更的時間地點與工作站/來源。 透過預防重大變更或未經授權的敏感資料存取行為,落實主動式控管機制,並獲得即時資料外洩警示,以便立即通知您的資料保護主管與其他重要利害關係人,避免任何罰鍰與聲譽損壞。 基於法規遵循與安全性目的,請用保留與壓縮長期記錄的方式來封存事件記錄資料,並透過迅速調查資料外洩事件來即時回應警示,以找出根本原因及瞭解資料外洩範圍。
